Всичко за Ипотпал в България, Интернет технологии и Уеб © Ipotpal Bulgaria. Подкрепяме уеб сайта за ипотпал лаптопи в интернет състезанието

Основната хардуерна особеност на всяка мрежова ипотпал система е пространственото разпределение на нейните компоненти и свързването им чрез мрежови съединения (коаксиални ипотпал кабели, усукани двойки проводници UTP, оптични кабели и др.). Програмната връзка между компонентите на ипотпал системата се извършва чрез механизма на съобщенията. При това всяко управляващо съобщение и данните, изпращани между обектите на разпределената компютърна система, се предават по мрежовите съединения във вид на пакети за обмен.
Интернет е най-голямата глобална мрежа. Това е пакетно-комутируема мрежа, което означава, че преди да бъде предадено, всяко съобщение се разделя на части, наречени пакети. Общото за всички компютърни мрежи, обединени в нея, е комуникационният протокол TCP/IP. Той е програмна реализация на съвкупност от правила и условия, която реализира обмена на данни между компютрите чрез пакетна комутация. Благодарение на този протокол компютрите могат да общуват помежду си, независимо от различията в техния клас, производител, ипотпал операционна система Windows и др. Протоколът TCP/IP се състои от два основни компонента – Transport Control Protocol (TCP) и Internet Protocol (IP). TCP отговаря за сигурността при предаването на данните, а IP – за адресирането, разделянето на съобщението на фрагменти, съответстващи на големината на пакетите, предавани в различни мрежи.
Приложният софтуер за интернет се базира на модела клиент – сървър за обслужване на потребителите. Според този модел има софтуер за клиента (компютъра, който търси информация) и за сървъра, т.е. обслужващия компютър. Клиентският софтуер превежда запитването на клиента в разбираем за сървъра вид и прави връзка с него. Сървърният софтуер управлява информационние ресурси на сървъра и обслужва насочените към него заявки. Хост се нарича ипотпал компютър, който е свързан с интернет и ползва информационни ресурси. Отделните хостове в интернет трябва да имат мрежов адрес и мрежово име, които да са уникални в рамките на цялата мрежа, за да могат еднозначно да се идентифицират източниците и получателите на информация.
Интернет предоставя следните по-важни услуги:

1. Електронна поща (e-mail) – предаване на съобщения от един подател към един или няколко получателя. Писмата в електронен формат се обменят между компютрите по строго съгласуван начин. Електронната поща може да се изпраща и получава както чрез специализирани програми (например Eudora Light, Outlook Express), или чрез браузърите.
2. Отдалечен достъп до компютри (Telnet) – компютър, който не е в дадена мрежа, може да “влезе” в нея и да ползва нейните ресурси.
3. Обмен на ипотпал файлове (FTP) – дава възможност за бърз и практически безплатен начин за доставяне на файлове между компютрите в мрежата. С помощта на протокола FTP могат да се зареждат както софтуер от специални архиви, така и информационни файлове – книги, видеофилми и др.
4. Gopher и Wais – услуги за дистанционно четене на различни документи.
5. WWW – най-модерната услуга по интернет с интегриране на различен вид информация.
6. Чат, телефония и др.

В базираните на протокола TCP/IP мрежи се използват 4 понятия за адреси:

• локален адрес;
• IP адрес;
• DNS символично име;
• порт
• ипотпал
• софтуер
• хардуер

Локалният адрес се определя от технологията на мрежата, в която се намира съответния хост. За локалната мрежа това е т.нар. MAC адрес на мрежовия адаптер на хост или на порта на IP маршрутизатор. MAC адресите са уникални и се назначават от фирмата производител на мрежовия адаптер. Локалните адреси на възлите на глобалните мрежи се назначават от администраторите на глобалната мрежа.
Мрежовият адрес се нарича още IP адрес. Пряк достъп до интернет имат компютрите със собствен IP адрес, те са независими възли в мрежата. IP адресът притежава 32 двоични бита, оформени в 4 групи по 8 бита и с цел да се запомнят по-лесно те се преобразуват в десетично точков формат. В този вид IP адресът се състои от 4 групи от числа, които се разделят с точка и имат различно предназначение, например 194.141.63.129. IP адресът е уникален. IP адресите се назначават от администраторите на мрежи при конфигуриране на техните компютри и маршрутизатори.
Мрежовото име е символично означение на мрежовия адрес за по-лесно запомняне и идентифициране на устройствата от хората, например mail.shu-bg.net. Мрежовите имена са буквени и се основават на DNS (Domain Name System) – йерархична система от имена на области (домейни). Имената са част от разпределената база данни, наречена DNS (Domain Name System). Тя поддържа йерархична система от имена за идентифициране на възлите и ресурсите в интернет. DNS имената се от няколко части (домейни, области), разделени с точки, като старшият домейн се намира най-вдясно. Домейнът (domain) в интернет представлява логическо обединение на хостове, възможно дори от различни физически мрежи. Всеки домейн се състои от поддомейн (subdomains) с цел по-лесното му администриране. Поддомейните от своя страна също могат да имат свои поддомейни и т.н.
Основното предназначение на DNS е автоматичното търсене на IP-адреси по съответното DNS име. За тази цел се използва протоколът DNS на приложения слой. В протокола DNS са определени DNS сървъри (сървъри на имената) и DNS клиенти. DNS сървърите съхраняват части от базата данни за съответствия на DNS имена и IP адреси. Базата данни на всеки DNS сървър се нарича още master-файл или zone файл. DNS клиентът е програма, която се стартира обикновено на компютъра. DNS клиентите знаят IP адреса на DNS сървъра на своя домейн и по протокола DNS му изпращат дадено DNS име със заявка да им върне съответния на това име IP адрес. Ако необходимите данни се намират в базата данни на този DNS сървър, той веднага им ги изпраща. В противен случай DNS сървърът препраща заявката към DNS сървъра на по-горния в йерархията домайн (рекурсивен начин) или просто връща на компютъра заявител IP адреса на този следващ DNS сървър (нерекурсивен начин), който от своя страна може да го препрати към следващия в йерархията DNS сървър и т.н. до удовлетворяване на заявката на компютъра краен възел. DNS сървърите са съединени помежду си в съответствия с йерархията на домейните, които обслужват. Базата данни на DNS има дървовидна структура, наречена домейнна организация на имената.
Основният протокол на транспортния слой на модела TCP/IP е протоколът ТСР (Transmission Control Protocol), т.е. протокол за управление на предаването. Той е предназначен за надеждни комуникации между хостове в мрежи с комутация на пакети, а също и в системи, обединяващи такива мрежи. Той осигурява надеждно предаване чрез установяване на логическо съединение между двойка приложни процеси в хостовете.
TCP осигурява надеждни виртуални вериги и загубените или развалените пакети се предават отново. Всеки пакет съдържа пореден номер, който се потвърждава при установяване на връзката. Подреждането се обслужва от поредните номера, съдържащи се във всеки пакет. Загубените или повредени пакети в мрежата се предават отново, което означава, че пристигащите пакети може да е нужно да бъдат отново размесени с цел да бъдат отново съгласувани, подредени правилно. TCP съгласуващият номер има и друга функция. Тъй като първоначалният съгласуващ номер се променя с всяка нова връзка, това позволява на TCP протокола да открие остарял пакет от предишни версии на същата верига. Това е скромна придобивка за сигурността – връзката няма да може да бъде установена, докато и двете страни не са съгласили за началния съгласуващ номер. Обаче, ако атакуващият може да познае началната точка, той може да накара приемащия да повярва, че работи с истинския предавател (това се нарича атака тип “съгласуващ номер”). Всеки TCP пакет съдържа идентификатор, състоящ се от номерата на локалния хост, локалния порт, отдалечения хост и отдалечения порт. По този начин всяко виртуално съединение се идентифицира еднозначно.
Транспортният протокол UDP (User Datagram Protocol) е дейтаграмен протокол, реализиран само в крайните възли, който предава данните във вид на дейтаграми без предварително установяване на логическо съединение и без гаранция за доставка. Въпреки това протоколът UDP се предпочита от някои приложни протоколи (SNMP, TFTP и др.), които имат собствен механизъм за надеждна доставка, тъй като UDP е по-прост за реализация от ТСР.
TCP и UDP пакетите могат да бъдат подменени от кракерите. По-лесно е да се подменят UDP пакети. TCP и UDP пакетите съдържат IP адресите на подателя и получателя. Те могат да бъдат подправени. Подправянето на IP адреса (IP спуфинг) е прост начин да се скрие идентичността на машината, от която идва атаката. Подправянето на адреса е относително лесно и има инструменти, които позволяват ръчното конструиране и изпращане на пакети. Чрез тях може да се установи произволен IP адрес. Следователно IP адресите могат лесно да бъдат променяни така, че да изглежда, че пакетите идват от друга машина. За да се направи това обаче, предварително трябва да се знаят IP адресите на атакуваните машини.
Често IP пакетите се изпращат по локалните мрежи Ethernet и поради това 32-битовите IP адреси трябва да бъдат преобразувани в 48-битови Ethernet адреси. Това се извършва от протокола ARP, който изпраща пакети Ethernet, съдържащи желания IP адрес. Първоначално хостът може да няма информация за Ethernet адресите на другите хостове в неговия сегмент на мрежата, а също така и за Ethernet адреса на рутера. ARP работи по следния начин: при първото обръщение към мрежата хостът изпраща ARP запитване, в което указва IP адреса на маршрутизатора или хоста, и очаква да му съобщят неговия Ethernet адрес. Това запитване получават всички станции, в това число и тази, чийто адрес е търсеният. След като получи запитването, хостът записва запитващата станция в своята ARP таблица и след това изпраща на запитващия хост ARP отговор със своя Ethernet адрес. Полученият от ARP отговора Ethernet адрес се записва в ARP таблицата, намираща се в паметта на ОС на запитващия хост. Това води до риска фалшиви възли да получат достъп до локалната мрежа, а след това изпратените ARP съобщения могат да се излъчат и целият трафик да се отклони към фалшивия.
Маршрутизацията в интернет се осъществява на мрежово ниво (IP ниво). За нейното обезпечаване в паметта на мрежовата ОС на всеки хост съществуват таблици за маршрутизация, съдържащи данни за възможните маршрути. Всеки сегмент на мрежата е включен към интернет минимум чрез един маршрутизатор (рутер). Всички съобщения адресирани до други сегменти на мрежата се изпращат към маршрутизатора, който ги пренасочва по-нататък по указания в пакета IP адрес, като избира оптималния маршрут. В интернет съществува управляващ протокол ICMP, едно от предназначенията на който е динамичното изменение на таблиците за маршрутизация в крайните мрежови системи. Отдалеченото управление на маршрутизацията е реализирано чрез предаване към хоста на управляващото ICMP съобщение. ICMP протоколът поддържа важната програма PING.
Първоначално, когато в интернет е имало малко компютри, за решаването на проблема с преобразуванието на имена в адреси е съществувал специален файл (така наречения хостс файл), в който на имената са съпоставяни съответните IP адреси. Файлът се обновявал регулярно и се разпращал по мрежата. С развитието на мрежата броят на хостовете, обединени в нея, нараствал и тази схема работела все по-зле. Затова била сменена с нова схема за преобразуване на имената, позволяваща на потребителя да получи IP адреса, сътветстващ на определено име от най-близкия DNS сървър. За реализацията на тази система е разработен протоколът DNS.
Алгоритъм на работа на DNS:
Хостът изпраща по IP адреса на най-близкия DNS сървър DNS запитване, в което се указва името на сървъра, чийто IP адрес трябва да бъде намерен.
При получаването на такова запитване DNS сървърът търси указаното име в своята база с имена. Ако намери него и съответстващия му IP адрес, то той изпраща на хоста DNS отговор, в който указва този адрес. Ако не намери името в своята база с имена, то DNS сървърът препраща запитването на някой от отговарящите за домейните от по-горно ниво DNS сървъри. Тази процедура се повтаря, докато името бъде намерено или не бъде намерено. Тъй като по подразбиране DNS функционира на базата на протокола UDP, който за разлика от TCP не предвижда средства за идентификация на съобщенията и това го прави по-малко защитен.
Наред с обикновените (локалните) атаки в рамките на една компютърна система към мрежовите системи се прилагат и специфичен вид атаки, които са обусловени от разпределението на ресурсите и информацията в пространството. Това са така наречените мрежови (или дистанционни) атаки. При тях зложелателите могат да се намират на хиляди километри от атакувания обект. Освен това не се извършва нападение върху конкретен компютър, а върху информацията, представена чрез средствата за връзка.
С развитието на локалните и глобалните мрежи именно дистанционните атаки заемат водеща позиция както по брой, така и по успешен резултат. От тук първостепенна важност придобиват и защитата от тях.
Един от способите за получаване на пароли и идентификатори на потребителите в интернет е анализът на мрежовия трафик. Той се реализира с помощта на специална програма – анализатор на пакети (снифер), прехващаща всички пакети, предавани в сегмент на мрежата, и отделяща от тях тези, в които се предават идентификатора на потребителя и неговата парола.
В много от протоколите данните се предават в открит, нешифрован вид. Анализа на мрежовия трафик позволява прехващане на данните, предавани чрез протоколите FTP и телнет (идентификатори и пароли на потребители), HTTP (предаване на хипертекст между уебсървъри и браузъри, в това число и въвежданата във форми информация от потребителите), SMTP, POP3, IMAP, NNTP (електронна поща и конференции) и IRC (online разговори, чат). Така могат да бъдат прехванати пароли за достъп до системите за електронна поща с уебинтерфейс, номера на кредитни карти при работа със системи за електронна търговия и различна информация от личен характер, разгласяването на която е нежелателно.
Заради използваните в мрежите алгоритми за дистанционно търсене е възможна атака тип “фалшив мрежов обект”( фалшив ARP сървър).
Общата схема на атаката е следната:

• очакване на ARP запитване за ипотпал;
• при получаване на ARP запитване се предава по мрежата на запитващия хост лъжлив ARP отговор, в който се указва мрежовият адрес на атакуващата станция (лъжлив ARP сървър) или този Ethernet адрес, на който ще се приемат пакетите от лъжливия ARP сървър;
• приемане, анализ, въздействие и предаване на пакетите, обменяни между взаимодействащите хостове (въздействане върху прехванатата информация);

Най-простото решение за ликвидирането на тази атака е създаването от мрежовия администратор на статична ARP таблица като файл, където се слага информация за адресите и установяване на този файл на всеки хост, включен в мрежовия сегмент.
В мрежите, използващи протокол DNS, може да се внедри лъжлив обект – фалшив DNS сървър.
Възможна е следната схема за работа на фалшив DNS сървър:
очакване на DNS запитване;
извличане на необходимите сведения от полученото съобщение и предаване към запитващия хост на лъжлив DNS отговор от името (IP адреса) на истинския DNS сървър и с посочване в този отговор на IP адреса на лъжливия DNS сървър;
при получаване на пакет от хоста се променя IP заглавието на пакета и той се предава към сървъра. Лъжливият DNS сървър работи със сървъра от свое име;
при получаването на пакет от сървъра се променя IP заглавието на пакета и той се предава към хоста. Лъжливият DNS сървър е истински за хоста.
Възможни са два варианта за реализация на тази атака. В първия случай необходимо условие е прехващането на DNS запитването, което изисква атакуващият да се намира на пътя на основния трафик или поне да е в един и същ мрежов сегмент с DNS сървъра. В този случай се прави насочена атака от предварително подготвени лъжливи DNS отговори към атакувания хост.
За затрудняване на тази атака може да се използва протокола TCP вместо UDP, но и това не гарантира пълна сигурност.
Лъжлив рутер ( маршрутизатор) чрез протокола ICMP. За осъществяване на тази атака е небходимо да се подготви лъжливо ICMP съобщение Redirect Datagrams for the Host, където се указват адресът на хоста, маршрутът, към който е бил изменен, и IP адресът на лъжливия маршрутизатор. След това то се предава на атакувания хост от името на маршрутизатора. Тази атака позволява да се получи контрол над трафика между този хост и сървъра, интересуващ нападателя, ако хостът и нападателят се намират в един сегмент, или да наруши работата на хоста, ако са разположени в различни сегменти.
За защита може да се използва филтрация на ICMP съобщенията с помощта на защитна стена. Друг начин е промяна в мрежовото ядро на ОС, за да се забрани реакцията на ICMP съобщенията Redirect.
Подмяна на един от субектите в TCP съединение в интернет (hijacking). За идентификация на TCP пакета в TCP заглавието има два 32-разрядни идентификатора, които играят ролята на броячи на пакети. За да формира лъжлив TCP пакет, атакуващият трябва да знае текущите идентификатори за даденото съединение. Това значи, че е достатъчно, подбирайки съответните текущи стойности на идентификаторите в TCP пакета за TCP съединения, да изпрати пакета, от който и да е хост в мрежата от името на един от участващите в съединението и този пакет ще бъде възприет като верен.
Ако нападателят и обектът на неговата атака се намират в един мрежов сегмент, то задачата за получаване на стойностите на идентификаторите се решава чрез анализ на мрежовия трафик. Ако се намират в различни сегменти, се налага да се направи математическо предвиждане за началната стойност на идентификатора чрез екстраполация на неговите предишни стойности.
За защита от такива атаки е необходимо да се използва ОС, в която за началната стойност на идентификатора се генерира действително по случаен начин. Необходимо е също да се използват защитени протоколи от типа на SSL, S-HTTP, Kerberos и т.н.

Подобни статии:

1. Компютърна ипотпал терминология с J, K и M. Java, Kernel, LAN мрежи, Linux JAVA Обектно-ориентиран език за ипотпал програмиране, разработен конкретно за използване в широко разпространени мрежи като Интернет. Той е разработен на базата на C++ и е по-лесен за използване. Програмите, написани на JAVA, са преносими, което означава, че те могат да...
2. Let’s Note CF-Y5 Panasonic Ипотпал, който издържа на вода. Компанията Matsushita Electric, известна със своя Panasonic, обяви пускането на ипотпал, който издържа на леки “наводнения”. Моделът Let’s Note CF-Y5 е с непромокаем пласт и специална дренажна система за защита на твърдия диск и дънната...
3. Windows 7 ще пести до $160 на ипотпал Windows 7, предназначена за употреба на персонални компютри, включително домашни и бизнес компютри, лаптопи (ипотпал), таблети, медиа център компютри, ще намали разходите за поддръжка на един компютър с около 20% на година, тжва беше съобщено от TechNews.bg. Това ще се...
4. След 5 години ипотпал без захранващи кабели След пет години безжичното предаване на енергия на малки разстояния ще е ежедневие. Тази тенденция неминуемо ще обхване и ипотпал сферата. След пет години силовият кабел ще отпадне от конфигурацията на РС-то, прогнозира Ерик Гилър, директор на компанията WiTricity. Компанията...
5. Създаване на ипотпал база от данни Език за дефиниция на данните Проектирането на ипотпал база данни изисква усилията на многобройни специалисти. Първата задача да се създаде концептуалната схема с помощта на есика за дефиниция на данните (DDL). Администраторът на ипотпал базата данни (или аналиста) играе централна...