авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 25 | 26 || 28 | 29 |   ...   | 30 |

«С^ППТЕР В. Олифер Н. Олифер Компьютерные сети Принципы, технологии, протоколы 4-е издание РЕКОМЕНДОВАНО ...»

-- [ Страница 27 ] --

Стандарты Н. Разработчики стандартов Н.323 исходили из того, что две сети — телефонная и IP — будут сосуществовать бок о бок достаточно длительное время, а значит, важно регламентировать их взаимодействие с учетом существующих в традиционных телефонных сетях процедур установления соединения, а также договориться о способе передачи вызова и собственно голоса по IP-сети.

В рамках установленного сеанса Н.323 абоненты могут обмениваться не только голосовой, но и видеоинформацией, то есть пользоваться видеотелефонами или оборудованием для организации видеоконференций.

В стандартах Н.323 определяется две группы протоколов (рис. 23.6):

• Протоколы транспортной (transport plane), или пользовательской (user plane), плоско сти отвечают за непосредственную передачу голоса по сети с коммутацией пакетов.

Протоколы этой плоскости определяют способы кодирования голоса (сюда входят стандарты различных кодеков, например G.711, G.723.1, G.729, G.728 и др.) и видео (кодеки Н.261, Н.263 и др.). Голос и видео передаются в пакетах протокола RTP (Real Time Protocol — протокол реального времени), который определен в RFC 3550 (ftp://ftp.

rfc-editor.org/in-notes/rfc3550.txt) и переносит отметки времени и последовательные номера 810 Глава 23. Сетевые службы пакетов, помогая конечным узлам сеанса восстанавливать аналоговую информацию реального времени. Пакеты RTP переносятся в пакетах протокола UDP.

• Протоколы плоскости управления вызовами (call control plane) переносят по сети за просы на установление соединений и реализуют такие служебные функции, как авто ризация доступа абонента к сети и учет времени соединения. Эта группа протоколов работает через надежные ТСР-соединения и включает протокол сигнализации Q.931, обеспечивающий установление и завершение соединения между абонентами;

протокол Н.245, с помощью которого абонентское оборудование узнает о функциональных воз можностях противоположной стороны, например о том, какие аудио- и видеокодеки поддерживаются, а также о том, сколько аудио- и видеопотоков будут использовать абоненты в рамках данного соединения. По умолчанию IP-телефон поддерживает толь ко один голосовой поток, но видеотелефон уже поддерживает два потока — один голо совой и один видео, а оборудование видеоконференци может поддерживать несколько аудиопотоков и несколько видеопотоков. Еще один протокол этой группы — RAS (Registration, Admission, Status) — служит для учета звонков, регистрации пользователя в некотором административном домене (например, в домене организации, где работает пользователь) и контроля доступа в сеть (то есть проверке сетевых ресурсов, таких как свободная пропускная способность, необходимых для качественного обслуживания телефонного вызова).

Аудио- Видео кодеки кодеки Q. RAS Н. RTP UDP TCP IP Рис. 23.6. Стек протоколов Н. Основными элементами сети Н.323, в которых реализуются протоколы этого стека, явля ются так называемые IP-телефоны, подключаемые непосредственно к IP-сеги, и шлюзы, связывающие традиционную телефонную сеть с IP-сетью (рис. 23.7).

Шлюз (gateway) обеспечивает трансляцию упакованного в пакеты оцифрованного и зачастую сжатого голоса в форму, пригодную для передачи по телефонной сети общего пользования.

Кроме того, е функции шлюза Н.323 входит трансляция протоколов сигнализации телефонных сетей, таких, например, как SS7, в протоколы сигнализации стека Н.323. Шлюз позволяет або нентам с обычным телефонным аппаратом общаться с пользователями IP-телефонов или же задействовать IP-сеть'как транзитную.

Основная задача плоскости управления вызовами — установление соединения между абонентами через сети с коммутацией пакетов — в простейшем случае может быть решена шлюзом, а в более общей постановке поручается специальному элементу сети — приврат нику.

IP-телефония Телефонная сеть Шлюз Шлюз (gateway) (gateway) Привратник sji Привратник IP-телефон IP-телефон = (gatekeeper) (gatekeeper) = Маршрутизатор Маршрутизатор IP-телефон IP-телефон Интернет Рис. 23.7. Элементы сети Н. Привратник (gatekeeper) выполняет регистрацию и авторизацию абонентов по протоколу RAS, а также, в случае необходимости, трансляцию адресов (например, DNS-имен в телефонные номера). Кроме того, он занимается маршрутизацией вызовов к IP-телефону или шлюзу, а если потребуется, то и к другому привратнику.

Обычно один привратник обслуживает так называемую зону, то есть часть сети, находя щуюся под административным управлением одной организации. Все функции привратника в архитектуре Н.323 могут выполнять терминальные устройства — телефоны и шлюзы, но такое решение плохо масштабируется, а поток вызовов с трудом контролируется и тари фицируется.

Стандарты на основе протокола SIP Основным конкурентом протоколов стандарта Н.323 является протокол SIP (Session Initiation Protocol — протокол инициирования сеанса), разработанный интернет сообществом и стандартизованный IETF в RFC 3261 ( f t p : / / f t p. r f c - e d i t o r. o r g / i n - n o t e s / rfc3261.txt).

SIP является протоколом сигнализации, он ответственен за установление сеанса между абонентами, при этом SIP выполняет функции протоколов Q.931, RAS и Н.245 стандарта Н.323 (точнее — часть из них). Для передачи аудио- и видеоданных в ходе сеанса протокол SIP предполагает Использование протокола RTP.

Протокол SIP очень близок по стилю к протоколу HTTP: он имеет похожий набор и син таксис сообщений, которыми обмениваются стороны в процессе установления сеанса. Как и у протокола HTTP, SIP-сообщения текстовые, они хорошо понятны программистам, имеющим опыт создания веб-приложений. Поэтому системы IP-телефонии, построенные на основе SIP, оказались гораздо ближе к миру Интернета, чем стандарты Н.323, пришед 812 Глава 23. Сетевые службы шие «от телефонистов». Сегодня SIP-телефония более тесно интегрирована с веб-услугами, чем телефония стандарта Н.323.

Архитектура SIP предусматривает как непосредственное взаимодействие абонентов через IP-сеть, так и более масштабируемые схемы, включающие участие серверов-посредников (прокси-серверов). Основным таким сервером является так называемый прокси-сервер SIP, он выполняет функции, близкие к функциям привратника Н.323. Кроме того, в ар хитектуре SIP может присутствовать сервер определения местоположения (SIP Location Server).

Работу протокола SIP в архитектуре с серверами обоих типов иллюстрирует рис. 23.8.

Рис. 23.8. Взаимодействие абонентов SIP Адресами абонентов в протоколе SIP являются универсальные идентификаторы URI, используемые во всех веб-службах. На рис. 23.8 абонент bill@ja.net хочет установить сеанс с абонентом bob@mgu.ru. В домене ja.net установлен прокси-сервер SIP с именем sip1@ja.net, через него проходят все вызовы абонентов этого домена (за счет того, что в IP-телефонах абонентов задан IP-адрес этого прокси-сервера).

Запросом на установление сеанса в протоколе SIP является передача сообщения INVITE с URI вызываемого абонента, поэтому абонент biil@ja.net направляет своему прокси-серверу сообщение INVITE tpb@mgu.ru. Прокси-сервер для выполнения этого запроса обращается к серверу определения местоположения, который возвращает ему ответ о том, что абонент bob@mgu.ru в данный момент зарегистрирован как активный в домене piter.ru с именем bob@ piter.ru. Прокси-сервер использует эту информацию для того, чтобы направить сообщение INVITE прокси-серверу домена piter.ru (сервер с именем sip2@piter.ru), указав в нем имя IP-телефония bob@piter.ru. Вызов завершается прокси-сервером sip2@piter.ru, который обнаруживает, что пользователь bob@piter.ru зарегистрировался и работает в настоящее время за компьютером ws12, поэтому вызов INVITE передается на этот компьютер. Далее протокол SIP работает подобно большинству протоколов сигнализации: если пользователь bob@ws12.ru согла шается принять вызов, то он снимает трубку своего SIP-телефона (или щелкает на соот ветствующем значке своего программного SIP-телефона) и тем самым посылает ответ ОК назад по цепочке. Окончательное установление сеанса фиксируется отправкой сообщения АСК (подтверждение) от вызывающего абонента к вызываемому.

После установления сеанса разговор происходит между телефонами абонентов в рамках протокола RTP.

Существуют также фирменные протоколы IP-телефонии, из которых наиболее известны ми являются протоколы Skype — очень популярного сервиса интернет-телефонии. Этот сервис к тому же поддерживает такие дополнительные услуги, как видеоконференции, передача мгновенных сообщений, передача файлов между абонентами.

Связь телефонных сетей через Интернет На втором этапе развития IP-телефонии IP-сеть (Интернет или частная сеть) широко использовалась в качестве транзитной сети между двумя местными телефонными се тями (рис. 23.9). Данная схема реализации общедоступных услуг IP-телефонии стала достаточно популярной во всем мире, в том числе в России. Она заключается в том, что абонент звонит по определенному номеру, который закреплен за провайдером мест ной телефонной сети, и на звонок отвечает сервер интерактивного голосового ответа (Interactive Voice Response, IVR). IVR-сервер запрограммирован на выполнение рутин ных процедур аутентификации вызывающего абонента и приема номера вызываемого абонента. Для этого привлекается техника распознавания голосовых ответов (которыми могут быть и сигналы тонового набора, используемого вызывающим абонентом для от ветов на запросы IVR-сервера).

Для реализации услуги IP-телефонии по описанной схеме оператору связи не надо созда вать собственную дорогостоящую транспортную инфраструктуру и иметь непосредствен ный доступ к абонентам. Однако стратегические перспективы такого подхода оставляют желать лучшего из-за плохой масштабируемости и узкого спектра услуг.

Масштабируемость такого варианта ограничивается несколькими факторами. Во-первых, провайдеру приходится устанавливать многочисленные одноранговые связи со своими друзьями-соперниками по бизнесу. Во-вторых, протоколы обеих плоскостей необходи мо реализовывать во всех элементах сети IP-телефонии: и в привратниках, и в шлюзах, и в терминалах, что приводит к излишней сложности и дороговизне всех этих устройств.

И наконец, пользователям предоставляются только базовые услуги по обработке вызовов, поскольку взаимодействие с протоколами межстанционной сигнализации (SS7) и служ бами интеллектуальной сети (IN) отсутствует. Эту последнюю группу недостатков нельзя отнести на счет стандартов Н.323, в которых явно не говорится о том, какие протоколы сигнализации должен поддерживать шлюз со стороны телефонной сети. Перечень допол нительных услуг по обработке вызовов определен в спецификации Н.450. Таким образом, это скорее изъян реализации шлюзов того поколения, в которых поддержка SS7 и IN, как правило, отсутствовала.

814 Глава 23. Сетевые службы Узел провайдера услуг IP-телефонии Местная телефонная сеть Сервер аутентификации с базой данных абонентов Узел провайдера услуг IP-телефонии Местная телефонная сеть Сервер аутентификации с базой данных абонентов Рис. 23.9. Взаимодействие двух местных телефонных сетей через Интернет Кроме того, сам диалог достаточно утомителен — гораздо удобнее просто набрать но мер с небольшой приставкой вроде 8-20 и получить доступ к услугам международной IP-телефонии. Но для этого провайдеру нужен прямой доступ к абоненту или договорен ность с местными операторами о переадресации таких вызовов на шлюз IP-телефонии провайдера с помощью средств интеллектуальной сети (а они пока поддерживаются далеко не всеми местными операторами). Таким образом, для выхода IP-телефонии на более высокий уровень национального или международного оператора требуются другие стандарты и оборудование, чтобы сети, построенные на базе протокола IP, могли равно правно соседствовать с традиционными телефонными сетями.

Многие из необходимых стандартов уже появились и воплощены в новом поколении оборудова ния, ставшим основой для третьего этапа развития 1Р-телефонии.

Новое поколение сетей 1Р-телефонии Укрупненная схема полномасштабной сети IP-телефонии показана на рис. 23.10. Такая сеть может поддерживать собственных абонентов и служить транзитной для традиционных теле фонных сетей с оказанием полного спектра услуг, включая услуги интеллектуальной сети.

IP-телефония Рис. 2 3. 1 0. Масштабируемая архитектура IP-телефонии Эта сеть обладает несколькими отличительными особенностями. Так, в узлах IP-телефонии нового поколения произошло четкое разделение функций на три группы:

• транспортную;

• управления вызовами;

• прикладных сервисов.

Транспортная группа образовалась за счет выделения из шлюза функциональной части, выполняющей очень простую операцию — коммутацию между входными и выходными портами (физическими или виртуальными). Этот элемент, получивший название транс портного шлюза (Media Gateway, MG), является своего рода аналогом коммутационного поля телефонной станции.

Следующую группу — группу управления вызовами — составляют протоколы сигнали зации IP-телефонии (Н.225.0, RAS из стандарта Н.323 или SIP). К этой группе относят также протоколы управления транспортными шлюзами, которые инициируют действия по коммутации портов. Все перечисленные базовые функции по обработке вызовов сегодня часто реализуются одним устройством — так называемым программным коммутатором (softswitch).

Третья группа функций образует уровень сервисов, реализуемых в виде обычных сетевых приложений универсальными серверами. Примерами таких сервисов являются иници ирование телефонного вызова при щелчке на определенной кнопке веб-страницы, пере дача вызова абоненту, подключенному к Интернету по телефонной сети, а также услуги интеллектуальной сети.

В сетях IP-телефонии второго этапа развития уровень сервисов практически отсутство вал — пользовательские услуги оказывал только IVR-сервер, а остальные прикладные 816 Глава 23. Сетевые службы программные системы этого уровня реализовывали внутренние для провайдера функ ции — аутентификацию, биллинг и т. п. Теперь уровень сервисов поддерживает весь спектр дополнительных услуг, которые могут предоставлять абонентам развитые телефонные коммутаторы городского типа, в том числе и с помощью интеллектуальной сети: переадре сацию вызовов в соответствии с различными условиями, телеголосование, бесплатный звонок, звонок по специальному тарифу, сокращенный набор и т. п.

Очень важно, что взаимодействие между уровнями осуществляется через стандартные интерфейсы, а это создает серьезные предпосылки для построения телефонных узлов IP-телефонии на основе продуктов разных производителей с применением общепри нятых способов обработки вызовов. Такой унифицированный модульный подход был бы очень привлекателен и при разработке традиционных телефонных сетей, однако про изводители телефонных коммутаторов обычно реализовывали функции двух нижних уровней и взаимодействие между ними с использованием собственных корпоративных стандартов. Только при создании архитектуры интеллектуальной сети удалось, наконец, воплотить в жизнь принцип независимости верхнего уровня от двух нижних и принять в качестве стандарта межуровневого взаимодействия протокол IN АР (Intelligent Network Application Protocol — прикладной протокол интеллектуальной сети), работающий поверх протоколов системы сигнализации SS7.

Распределенные шлюзы и программные коммутаторы Масштабируемость коммутации и независимость транспортного уровня от уровня управ ления вызовами в новом поколении узлов IP-телефонии достигается благодаря примене нию концепции программного коммутатора. Сам термин «softswitch» получил широкое распространение в названиях продуктов, компаний и неформальных объединений. Ни в одном из современных стандартов нет определения программного коммутатора, но этот маркетинговый термин выделяет в архитектуре распределенного узла IP-телефонии не который общий элемент. Данный управляющий элемент отвечает за обработку сообщений протоколов сигнализации, на основании которых происходят соединения: например, про токола Н.225.0 стека Н.323, протокола установления соединений SIP или же протокола сигнализации SS7.

С помощью специального протокола «главный-подчиненный» программный коммутатор управляет транспортными шлюзами, которые, в конечном счете, и осуществляют комму тацию голосовых каналов. Для управления шлюзами сегодня могут использоваться не сколько близких по логике работы протоколов: SGCP (Simple Gateway Control Protocol), MGCP (Media Gateway Control Protocol) или MEGACO/H.248. Собственно, стандартом, принятым как IETF, так и ITU-T, является только совместно разработанный ими протокол MEGACO/H.248, однако и предшественники этого стандарта, протоколы SGCP и MGCP, успешно реализуются в продуктах различных производителей. С помощью одного из названных протоколов программный коммутатор выясняет детали текущего состояния соединений и портов шлюза, а также передает ему указания о том, какую пару портов (физических или логических) требуется соединить, и некоторые другие предписания. Та ким образом, реализация шлюза может быть весьма простой, а весь интеллект управления соединениями перемещается на уровень программного коммутатора, который в модели распределенной коммутации управляет одновременно несколькими шлюзами. Именно такой вариант показан на рис. 23.10.

IP-телефония В протоколах SGCP, MGCP и MEGACO/H.248 управляющий элемент называется аген том вызова (call agent), однако программный коммутатор — это нечто большее, чем агент управления вызовами. Обычно в продукт с маркой softswitch производители помещают элементы уровня управления вызовами нескольких стандартов, чтобы такой программ ный коммутатор мог взаимодействовать с другими зонами телефонной сети по наиболее популярным протоколам сигнализации. Так, в программный коммутатор может входить привратник стандарта Н.323, серверы стандарта SIP (прокси-сервер, сервер переадреса ции и сервер определения местоположения пользователей), а также шлюзы телефонной сигнализации для преобразования протоколов телефонных сетей в протоколы сигнали зации IP-телефонии — те же SIP и Н.225.0 стека Н.323. Широкая поддержка протоколов сигнализации позволяет программному коммутатору находить общий язык практически с любыми типами телефонных сетей, как с традиционными (с коммутацией каналов), так и с пакетными.

Программные коммутаторы — «сердце» современного узла IP-телефонии — осуществляют за единицу времени множество соединений, столько же, сколько телефонные коммутато ры городского и междугородного типов. Высокая степень масштабируемости достигается благодаря распределенной модели коммутации, элементы которой взаимодействуют стан дартным образом, что обеспечивает модульное построение узла коммутации.

Новые услуги В промежуточных устройствах IP-сети не хранится информация о каждом соединении або нентов (компьютеров пользователей) с серверами. Это одно из принципиальных отличий IP-сети от телефонной сети. Коммутаторы телефонной сети, напротив, отслеживают и за поминают состояние каждого вызова, что является одной из причин более высокой стои мости передачи через них транзитного трафика по сравнению с IP-маршрутизаторами.

В публикациях по IP-телефонии постоянно подчеркивается, что удешевление звонков и оказание конкурентного давления на сектор традиционной международной телефонии — это краткосрочное преимущество IP-телефонии. Что же касается дальней стратегической перспективы, то основным направлением здесь будет предоставление новых услуг, в том числе интегрированных с услугами по передаче данных и манипулированию данными.

К ним относятся:

• Click to Talk — инициирование телефонного разговора при просмотре веб-страницы Web;

• Internet Call Waiting (ICW) — уведомление абонента, подключившегося с помощью телефонной сети к Интернету, о наличии входящего вызова и, возможно, организация параллельного с интернет-сеансом разговора путем пакетной передачи;

• Unified Messaging — организация единой почтовой службы для любых сообщений, в том числе электронной почты, факсов и голоса, с возможностью трансформации вида представления информации.

Разнообразие услуг, их настройка в соответствии с потребностями конкретного пользова теля, простота программирования нового предложения, легкость интеграции голосовых услуг с услугами манипулирования данными — это «врожденные» сильные стороны IP телефонии, ее стратегический потенциал. Часть этих услуг, описываемых стандартами SIP и Н.245 как дополнительные, может предоставлять непосредственно программный коммутатор, более сложные сервисы реализуются с помощью серверов приложений узла 1Р-телефонии.

818 Глава 23. Сетевые службы Интеграция систем адресации Е.164 и DNS на основе ENUM Одной из проблем современной IP-телефонии является сложность установления соеди нения, когда инициировавший вызов абонент использует обычный телефонный аппарат, подключенный к традиционной телефонной сети, а вызываемый абонент — компьютер или IP-телефон, соединенный с Интернетом или частной IP-сетью. Сложность подобного соединения связана с применением в общедоступных телефонных сетях и Интернете раз ных схем адресации — системы телефонных номеров на основе международного стандарта Е.164 и системы имен DNS. И если пользователю компьютера или цифрового IP-телефона не составляет труда набрать телефонный номер для вызова абонента, то представить себе набор DNS-имени с помощью обычного аналогового аппарата довольно сложно.

Для преодоления пропасти между этими видами общедоступных услуг необходимо либо выбрать единую схему идентификации абонентов, либо разработать метод трансляции одной схемы в другую. Предложения ENUM (Е.164 NUmber Mapping — отображение адресов стандарта Е.164) рабочей группы IETF решают задачу вторым способом, и пока этот вариант наиболее близок к немедленной реализации. Подход ENUM, описанный в RFC 3761 (ftp://ftp.rfc-editor.org/in-notes/rfc3761.txt), состоит в назначении всем абонентам IP-телефонии, подключенным к Интернету или частной IP-сети, идентификаторов еще одного типа — телефонных номеров стандарта Е.164. Однако на конечных узлах и даже сетях, в которых вызов терминируется, эти телефонные номера не используются — они нужны только для идентификации вызываемого абонента стороной-инициатором, приме няющей обычный телефон, и маршрутизации вызова в пределах традиционной телефонной сети. Затем телефонные номера преобразуются в имена Интернета с помощью хорошо известной и отлично зарекомендовавшей себя службы — системы доменных имен (DNS).

Используемый при этом подход подобен тому, который применяется для решения об ратной задачи — нахождению имени узла по его IP-адресу. С этой целью предлагается создать новую зону е164.агра, куда будут входить территории, соответствующие цифрам телефонного номера, например, зоны верхнего уровня 1, 7, 33, 44 для номеров, принад лежащих абонентам Североамериканского региона, России, Франции и Великобритании соответственно. Домен верхнего уровня агра традиционно отводится для решения обратной задачи — нахождение имени по адресу с помощью зоны in-addr.arpa.

Для преобразования телефонного номера в DNS-имя используется специальный тип за писи — Naming Athority Pointer (NAPTR). Изначально данная запись предназначалась для перечисления сервисов, которые поддерживает организация, администрирующая данный домен (RFC 2915). Примером такой записи может служить строка sip:Petrov@firma.

ru, сообщающая о том, что с абонентом можно связаться, направив ему вызов по протоколу SIP на имя Petrov@firma.ru. Очевидно, что такие записи будут находиться только в зонах самого нижнего уровня, где располагается база номеров, которую провайдер получил для обслуживания конечных абонентов. Зоны же верхнего уровня будут содержать только обычные ссылки на серверы имен зон более низкого уровня. Итак, если имени Petrov@firma.

ru соответствует телефонный номер +7 095 758 35 22, то связанная с этим абонентом запись, возможно, содержится в зоне 8.5.7.5.9.0.7.е164.агра (обратный порядок записи цифр телефон ного номера согласуется с принятым в DNS правилом расположения старшей части имени справа, а не слева, как в телефонии). Запись может находиться и в зоне 3.8.5.7.5.9.0.7.е164.

агра, если все номера диапазона +7 095 758 Зххх переданы еще более мелкому провайдеру (в предыдущем примере предполагалось, что все номера +7 095 758 хх хх принадлежали Протокол передачи файлов одному провайдеру). Деление телефонного номера на зоны производится по цифрам в пол ном соответствии с административной ответственностью каждой конкретной организации за отображение телефонных номеров на DNS-имена (точнее, на URL-адреса, которые в дополнение к DNS-имени имеют префикс, указывающий на протокол доступа к ресурсу).

Чем больше уровней подчиненности провайдеров IP-телефонии, тем больше составных компонентов в имени зоны.

Протокол передачи файлов До появления службы W W W сетевая файловая служба на основе протокола FTP (File Transfer Protocol — протокол передачи файлов), описанная в спецификации RFC 959, долгое время была самой популярной службой доступа к удаленным данным в Интернете и корпоративных IP-сетях. FTP-серверы и FTP-клиенты имеются практически в каждой ОС, кроме того, для доступа ко все еще популярным FTP-архивам используются FTP-клиенты, встроенные в браузеры.

Протокол FTP позволяет целиком переместить файл с удаленного компьютера на локаль ный, и наоборот. FTP также поддерживает несколько команд просмотра удаленного ката лога и перемещения по каталогам удаленной файловой системы. Поэтому FTP особенно удобно использовать для доступа к тем файлам, данные которых нет смысла просматривать удаленно, а гораздо эффективней целиком переместить на клиентский компьютер (напри мер, файлы исполняемых модулей приложений).

В протокол FTP встроены примитивные средства авторизации удаленных пользователей на основе передачи по сети пароля в открытом виде. Кроме того, поддерживается аноним ный доступ, не требующий указания имени пользователя и пароля;

такой способ доступа часто рассматривается как более безопасный, так как он не подвергает пароли пользова телей угрозе перехвата.

Основные модули службы FTP FTP-клиент состоит из трех основных функциональных модулей.

• User Interface (аналог агента пользователя) — пользовательский интерфейс, прини мающий от пользователя команды и отображающий состояние FTP-сеанса на экране.

Пользовательский интерфейс зависит от программной реализации FTP-клиента.

Наряду с традиционными клиентами, работающими в символьном режиме, имеются и графические оболочки, не требующие от пользователя знания символьных команд.

Символьные клиенты обычно поддерживают следующий основной набор команд:

О open имяхоста — открытие сеанса с удаленным сервером;

О bye — завершение сеанса с удаленным хостом и завершение работы утилиты ftp;

О close — завершение сеанса с удаленным хостом, утилита ftp продолжает работать;

О 1 s (d i г) — печать содержимого текущего удаленного каталога;

О get имя_файла — копирование удаленного файла на локальный хост;

О put имя_файла — копирование удаленного файла на удаленный сервер.

• User-PI — интерпретатор команд пользователя. Этот модуль взаимодействует с моду лем Server-PI FTP-сервера.

820 Глава 23. Сетевые службы • User-DTP — модуль, осуществляющий передачу данных файла по командам, полу чаемым от модуля User-PI по протоколу клиент-сервер. Этот модуль взаимодействует с локальной файловой системой клиента.

FTP-сервер включает два модуля.

• Server-PI — модуль, который принимает и интерпретирует команды, передаваемые по сети модулем User-PI.

• Server-DTP — модуль, управляющий передачей данных файла по командам от модуля Server-PI. Взаимодействует с локальной файловой системой сервера.

Управляющий сеанс и сеанс передачи данных FTP-клиент и FTP-сервер поддерживают параллельно два сеанса — управляющий сеанс и сеанс передачи данных. Управляющий сеанс открывается при установлении первона чального FTP-соединения клиента с сервером, причем в течение одного управляющего сеанса может последовательно выполняться несколько сеансов передачи данных, в рамках которых передаются или принимаются нерколько файлов.

Общая схема взаимодействия клиента и сервера выглядит следующим образом.

1. FTP-сервер всегда открывает управляющий ТСР-порт 21 для прослушивания, ожидая прихода запроса на установление управляющего FTP-соединения от удаленного кли ента.

2. После установления управляющего соединения FTP-клиент отправляет на сервер команды, которые уточняют параметры соединения: имя и пароль клиента, роль участ ников соединения (активная или пассивная), порт передачи данных, тип передачи, тип передаваемых данных (двоичные данные или код ASCII), директивы на выполнение действий (читать файл, писать файл, удалить файл и т. п.).

3. После согласования параметров пассивный участник соединения переходит в режим ожидания открытия соединения на порт передачи данных. Активный участник иници ирует это соединение и начинает передачу данных.

4. После окончания передачи данных соединение по портам данных закрывается, а управ ляющее соединение остается открытым. Пользователь может по управляющему соеди нению активизировать новый сеанс передачи данных. ^ Порты передачи данных выбирает FTP-клиент (по умолчанию клиент может использовать для передачи данных порт управляющего сеанса), а сервер должен задействовать порт, номер которого на единицу меньше номера порта клиента.

Команды взаимодействия FTP-клиента с FTP-сервером В протоколе FTP предусмотрены специальные команды для взаимодействия FTP-клиента с FTP-сервером (не следует их путать с командами пользовательского интерфейса клиента, ориентированные на применение человеком). Эти команды делятся на три группы.

• Команды управления доступом к системе доставляют серверу имя и пароль клиента, изменяют текущий каталог на сервере, повторно инициализируют, а также завершают управляющий сеанс.

Сетевое управление в IP-сетях • Команды управления потоком данных устанавливают параметры передачи данных.

Служба FTP может применяться для передачи разных типов данных (код ASCII или двоичные данные), работать как со структурированными данными (файл, запись, стра ница), так и с неструктурированными.

• Команды службы FTP управляют передачей файлов, операциями над удаленными файлами и каталогами. Например, команды RETR и ST0R запрашивают передачу файла соответственно от сервера на клиентский хост, и наоборот. Параметрами каждой из этих команд является имя файла. Может быть задано также смещение от начала файла — это позволяет начать передачу файла с определенного места при непредвиденном разрыве соединения. Команды DELE, MKD, RMD, LIST соответственно удаляют файл, создают ка талог, удаляют каталог и передают список файлов текущего каталога. Каждая команда протокола FTP передается в виде одной строки кода ASCII.

Сетевое управление в IP-сетях Функции систем управления Любая сложная вычислительная сеть требует дополнительных специальных средств управ ления помимо имеющихся в стандартных сетевых операционных системах. Это связано с большим количеством разнообразного коммуникационного оборудования, работа которого критически важна для выполнения сетью своих основных функций.

Распределенный характер крупной сети делает невозможным поддержание ее работы без централизованной системы управления сетью (Network Management System, NMS), призванной в автоматическом режиме контролировать сетевой трафик и управлять ком муникационным оборудованием сети.

Системы управления сетью работают, как правило, в автоматизированном режиме, выпол няя наиболее простые действия автоматически и оставляя сложные решения для принятия человеку на основе подготовленной системой информации.

Системы управления сетью представляют собой сложные программно-аппаратные ком плексы, поэтому существует граница целесообразности их применения. В небольшой сети можно применять отдельные программы управления наиболее сложными устройствами, например коммутатором, поддерживающим технику VLAN. Обычно каждое устройство, которое требует достаточно сложного конфигурирования, производитель сопровождает автономной программой конфигурирования и управления. Однако при росте сети может возникнуть проблема объединения разрозненных программ управления устройствами в единую систему управления, и для решения этой проблемы придется, возможно, отка заться от этих программ и заменить их интегрированной системой управления сетью.

В соответствии с рекомендациями ITU-T Х.700 и стандарта ISO 7498-4 система управления сетью должна решать следующие группы задач;

• Управление конфигурацией сети и именованием заключаются в конфигурировании параметров как элементов сети (Network Element, NE), так и сети в целом. Для элемен тов сети, таких как маршрутизаторы, мультиплексоры и т. п., путем конфигурирования определяются сетевые адреса, идентификаторы (имена), географическое положение и пр. Для сети в целом управление конфигурацией обычно начинается с построения карты сети, то есть с отображения реальных связей между элементами сети и связей 822 Глава 23. Сетевые службы между элементами сети, иллюстрирующих образование новых физических или логи ческих каналов, изменение таблиц коммутации и маршрутизации.

• Обработка ошибок включает выявление, определение и устранение последствий сбоев и отказов в работе сети.

• Анализ производительности и надежности связан с оценкой на основе накопленной статистической информации таких параметров, как время реакции системы, пропускная способность реального или виртуального канала связи между двумя конечными абонен тами сети, интенсивность трафика в отдельных сегментах и каналах сети, вероятность искажения данных при их передаче через сеть, а также коэффициент готовности сети или ее определенной транспортной службы. Результаты анализа производительности и надежности позволяют контролировать соглашение об уровне обслуживания (SLA), заключаемое между пользователем сети и ее администраторами (или компанией, про дающей услуги). Без средств анализа производительности и надежности поставщик услуг публичной сети или отдел информационных технологий предприятия не сможет ни проконтролировать, ни тем более обеспечить нужный уровень обслуживания для конечных пользователей сети.

• Управление безопасностью подразумевает контроль доступа к ресурсам сети (данным и оборудованию) и сохранение целостности данных при их хранении и передаче через сеть. Базовыми элементами управления безопасностью являются процедуры аутен тификации пользователей, назначение и проверка прав доступа к ресурсам сети, рас пределение и поддержка ключей шифрования, управления полномочиями и т. п. Часто функции этой группы не включаются в системы управления сетями, а либо реализуются в виде специальных продуктов обеспечения безопасности, например сетевых экранов или централизованных систем авторизации 1, либо входят в состав операционных си стем и системных приложений.

• Учет работы сети включает регистрацию времени использования различных ресурсов сети (устройств, каналов и транспортных служб) и ведение биллинговых операций (плата за ресурсы). Ввиду специфического характера оплаты услуг у различных по ставщиков и различными формами соглашения об уровне обслуживания, эта группа функций реализуется только в нестандартных системах, разрабатываемых для кон кретного заказчика.

В стандартах, определяющих перечисленные функции систем управления, не делается различий между управляемыми объектами — каналами, сегментами локальных сетей, коммутаторами и маршрутизаторами, модемами и мультиплексорами, аппаратным и про граммным обеспечением компьютеров, однако на практике деление систем управления по типам управляемых объектов широко распространено.

Ставшими классическими системы управления сетями, такие как SunNet Manager, HP OpenView или Cabletron Spectrum, управляют только коммуникационными объектами корпоративных сетей, такими как маршрутизаторы и коммутаторы.

В тех случаях, когда Управляемыми объектами являются компьютеры, а также их системное и прикладное программное обеспечение, то для системы управления часто используют особое название — система управления системой (System Management System, SMS).

О средствах обеспечения сетевой безопасности читайте в главе 24.

Сетевое управление в IP-сетях SMS обычно автоматически собирает информацию об установленных в сети компьютерах и создает записи в специальной БД об аппаратных и программных ресурсах. SMS может централизованно устанавливать и администрировать приложения, которые запускаются с файловых серверов, а также удаленно измерять наиболее важные параметры компьютера, операционной системы, СУБД (например, коэффициент использования процессора или физической памяти, интенсивность страничных прерываний и др.). SMS может давать администратору возможность брать на себя удаленное управление компьютером в режиме эмуляции графического интерфейса популярных операционных систем.

Заметим, что в последние годы существует отчетливая тенденция интеграции систем управления сетями и систем управления системами.

Архитектуры систем управления сетями Основным элементом любой системы управления сетью является схема взаимодействия «менеджер — агент — управляемый объект» (рис. 23.11). На основе этой схемы могут быть построены системы практически любой сложности с большим количеством агентов, менеджеров и ресурсов разного типа.

Интерфейс Интерфейс агента менеджер—агент с моделью объекта Рис. 2 3. 1 1. Взаимодействие агента, менеджера и управляемого объекта Чтобы можно было автоматизировать управление объектами сети, создается некоторая модель управляемого объекта, называемая базой данных управляющей информации (Management Information Base, MIB). MIB отражает только те характеристики объекта, которые нужны для его контроля. Например, модель маршрутизатора обычно включает такие характеристики, как количество портов, их тип, таблицу маршрутизации, количество кадров и пакетов протоколов канального, сетевого и транспортного уровней, прошедших через эти порты.

Менеджер и агент работают с одной и той же моделью управляемого объекта, однако в ис пользовании этой модели агентом и менеджером имеются существенные различия.

Агент наполняет MIB управляемого объекта текущими значениями его характеристик, а менеджер извлекает из MIB данные, на основании которых он узнает, какие характери стики он может запросить у агента и какими параметрами объекта можно управлять. Таким образом, агент является посредником между управляемым объектом и менеджером. Агент поставляет менеджеру только те данные, которые предусматриваются MIB.

824 Глава 23. Сетевые службы Менеджер и агент взаимодействуют по стандартному протоколу Этот протокол позволяет менеджеру запрашивать значения параметров, хранящихся в MIB, а также передавать агенту информацию, на основе которой тот должен управлять объектом. Обычно менеджер работает на отдельном компьютере, взаимодействуя с несколькими агентами.

Агенты могут встраиваться в управляемое оборудование или работать на отдельном ком пьютере, связанном с управляемым оборудованием. Для получения требуемых данных об объекте, а также для выдачи на него управляющих воздействий агент должен иметь возможность взаимодействовать с ним. Однако многообразие типов управляемых объ ектов не позволяет стандартизовать способ взаимодействия агента с объектом. Эта задача решается разрабо тчиками при встраивании агентов в коммуникационное оборудование или в операционную систему. Агент может снабжаться специальными датчиками для получе ния информации, например датчиками релейных контактов или датчиками температуры.

Агенты могут отличаться разным уровнем интеллекта: обладать как самым минимальным интеллектом, необходимым для подсчета проходящих через оборудование кадров и паке тов, так и весьма высоким, достаточным для самостоятельных действий по выполнению последовательности управляющих команд в аварийных ситуациях, построению временных зависимостей, фильтрации аварийных сообщений и т. п.

Рис. 2 3. 1 2. Распределенная система управления на основе нескольких менеджеров и рабочих станций Различают внутриполосное управление, когда управляющие сигналы идут по тому же каналу, по которому передаются пользовательские данные, и внеполосное управление, то есть осуществляемое вне канала, по которому передаются пользовательские данные.

Внутриполосное управление более экономично, так как не требует создания отдельной инфраструктуры передачи управляющих данных. Однако внеполосное управление на Сетевое управление в IP-сетях дежнее, так как соответствующее оборудование может выполнять свои функции даже тогда, когда те или иные сетевые элементы выходят из строя, и основные каналы передачи данных оказываются недоступными.

Схема «менеджер — агент — управляемый объект» позволяет строить достаточно сложные в структурном отношении распределенные системы управления (рис. 23.12).

Каждый агент, показанный на рисунке, управляет одним или несколькими элементами сети, параметры которых он помещает в соответствующую базу MIB. Менеджеры извлекают данные из баз MIB своих агентов, обрабатывают их и хранят в собственных базах данных.

Операторы, работающие за рабочими станциями, могут соединиться с любым из менед жеров и с помощью графического интерфейса просмотреть данные об управляемой сети, а также выдать менеджеру некоторые директивы по управлению сетью или ее элементами.

Наличие нескольких менеджеров позволяет распределить между ними нагрузку по обра ботке данных управления, обеспечивая масштабируемость системы. Как правило, исполь зуются два типа связей между менеджерами, одноранговая (рис. 23.13) и иерархическая (рис. 23.14).

Рис. 2 3. 1 3. Одноранговые связи между менеджерами (NE — сетевой элемент) Система сетевого управления Рис. 2 3. 1 4. Иерархические связи между менеджерами (NE — сетевой элемент) 826 Глава 23. Сетевые службы В случае одноранговых связей каждый менеджер управляет своей частью сети на основе информации, получаемой от нижележащих агентов. Центральный менеджер отсутствует.

Координация работы менеджеров достигается за счет обмена информацией между базами данных менеджеров. Одноранговое построение системы управления сегодня считается неэффективным и устаревшим.

Значительно более гибким является иерархическое построение связей между менеджера ми. Каждый менеджер нижнего уровня выполняет также функции агента для менеджера верхнего уровня. Такой агент работает уже с укрупненной моделью MIB своей части сети.

В такой базе MIB собирается именно та информация, которая нужна менеджеру верхнего уровня для управления сетью в целом.

Модель «менеджер — агент — управляемый объект» лежит в основе таких популярных стандартов управления, как стандарты Интернета на основе протокола SNMP и стандар ты управления ISO/OSI на основе протокола CMIP (Common Management Information Protocol — протокол общей управляющей информации).

Более подробную информацию об этом вы можете найти на сайте www.olifer.co.uk в разделе «Системы управления сетью на основе протокола SNMP».

Выводы С точки зрения пользователей компьютерные сети представляют собой набор служб (сервисов), таких как электронная почта, WWW, интернет-телефония и интернет-телевидение.

Электронная почта — это распределенное приложение, которое построено в архитектуре клиент сервер и главной функцией которого является предоставление пользователям сети возможности обмениваться электронными сообщениями. Почтовый клиент и почтовый сервер применяют в своей работе специально разработанные для почтовых систем протоколы SMTP, РОРЗ и IMAP.

Важнейшей сетевой службой является World Wide Web (WWW), или Всемирная паутина;

благодаря которой люди получили возможность доступа к огромному объему информации в удобном для них виде и в удобное для них время.

Клиентская часть веб-службы, называемая также браузером, представляет собой приложение, ко торое устанавливается на компьютере конечного пользователя и одной из важных функций которого является поддержание графического пользовательского интерфейса.

Веб-сервер — это программа, хранящая объекты локально в каталогах компьютера, на котором она запущена, и обеспечивающая доступ к этим объектам по URL-адресам.

Клиент и сервер веб-службы связываются через сеть по протоколу передачи гипертекста HTTP.

IP-телефония — это сервис, который обеспечивает коммутируемые голосовые соединения преиму щественно по схеме «один к одному» и который поддерживается сетью, использующей протокол IP в форме общедоступного Интернета или частной IP-сети.

Важнейшим событием в IP-телефонии стало появлением стандартов группы Н.323, разработанных ITU-T, и стандартов на основе протокола SIP, разработанных IETF.

Новое поколение IP-телефонии поддерживает широкий спектр услуг, подобный тому, который предо ставляют абонентам развитые телефонные сети.

Файловая служба на основе протокола FTP позволяет пользователям удаленных компьютеров об мениваться файлами. FTP-серверы и FTP-клиенты имеются практически в каждой ОС, кроме того, для доступа к FTP-архивам служат FTP-клиенты, встроенные в браузеры.

Системы управления сетью позволяют в автоматическом режиме контролировать сетевой трафик и управлять коммуникационным оборудованием сети. Большинство современных систем управления сетью построены на основе протокола SNMP.

Вопросы и задания Вопросы и задания 1. Известно, что единственным идентификатором получателя электронной почты, в том числе в схеме с выделенным почтовым сервером, является символьный адрес вида name@domain.com. Каким образом письмо находит путь к почтовому серверу, обслужи вающему данного получателя?

2. Заполните таблицу, описывающую свойства почтовых протоколов IMAP, РОРЗ и SMTP.

Протоколы Свойство протокола Используется почтовым клиентом для передачи письма на сервер Используется почтовым клиентом для получения письма с сервера При получении почты письмо перемещается с сервера на клиент При получении почты письмо копируется с сервера на клиент 3. Браузер находит информацию по адресам специального формата, например такому:

http://wvwv.bbc.co.uk/mobile/web/versions.shtmi. Поместите в правый столбец таблицы части приведенного адреса, соответствующие названиям в левом столбце.

Путь к объекту DNS-имя сервера URL-имя Тип протокола доступа 4. Что вы можете сказать о HTTP-сообщении вида НТТР/1.1 200 ОК? Варианты ответов:

а) HTTP-запрос;

б) HTTP-ответ;

в) 200 — это код состояния;

г) 200 — это объем переданной информации;

д) ОК означает, что информация зашифрована открытым ключом;

е) ОК означает, «все в порядке!»

5. Что вы можете сказать о протоколе SIP? Варианты ответов:

а) протокол веб-службы;

б) протокол 1Р-телефонии;

в) входит в семейство протоколов Н.323;

г) похож на протокол HTTP;

д) выполняет примерно те же функции, что и протоколы Q.931, RAS и Н.245.

6. Что входит в функции привратника? Варианты ответов:

а) трансляция DNS-имен в телефонные номера;

б) открытие и закрытие сеанса связи;

в) регистрация илЬторизация абонентов;

г) маршрутизация вызовов к IP-телефону.

7. Что такое MIB в системе управления сетыо? Варианты ответов:

а) модель управляемого объекта;

б) база данных управляющей информации;

в) протокол взаимодействия агента и менеджера системы управления сетью;

г) набор характеристик объекта, необходимых для его контроля.

ГЛАВА 24 Сетевая безопасность Обеспечение безопасности названо первой из пяти главных п р о б л е м И н т е р н е т а в п р о г р а м м е д е й ствий новой международной инициативы построения Интернета б у д у щ е г о ( F u t u r e I n t e r n e t D e s i g n, FIND). Инициатива FIND направлена на разработку п р и н ц и п о в о р г а н и з а ц и и т о г о И н т е р н е т а, к о т о р ы й будет служить нам через 15 лет, поэтому участники этой инициативы с т а р а ю т с я взглянуть н а И н т е р н е т свежим взглядом и, возможно, найти новые подходы к е г о о р г а н и з а ц и и.

Сегодня же Интернет представляет собой эффективную, но в м е с т е с т е м и н е п р е д с к а з у е м у ю с р е д у, полную разнообразных угроз и опасностей.

Большая группа угроз связана с несовершенством протоколов, в ч а с т н о с т и п р о т о к о л о в с т е к а T C P / IP. Известно, что эти протоколы разрабатывались в то время, когда п р о б л е м а о б е с п е ч е н и я и н ф о р мационной безопасности еще не стояла на повестке дня. С о о б щ е с т в о п о л ь з о в а т е л е й И н т е р н е т а представляло собой ограниченный круг заинтересованных в э ф ф е к т и в н о й р а б о т е С е т и с п е ц и а л и стов, и уж, конечно, никто не покушался на ее р а б о т о с п о с о б н о с т ь. С о з д а в а е м ы е в т а к о й « т е п л и ч ной» атмосфере протоколы не содержали механизмов, п о з в о л я ю щ и х п р о т и в о с т о я т ь в о з м о ж н ы м (тогда только теоретически) атакам злоумышленников. Н а п р и м е р, х о т я в п р о т о к о л а х FTP и t e l n e t и предусмотрена аутентификация, клиент передает пароль с е р в е р у п о с е т и в н е з а ш и ф р о в а н н о м виде, а значит, злоумышленник может перехватить его и получить д о с т у п к FTP-архиву. С е й ч а с м н о гие из потенциально опасных механизмов, встроенных в п р о т о к о л ы, у ж е и с п р а в л е н ы, и н е к о т о р ы е проблемы, обсуждаемые в этой главе, не являются а к т у а л ь н ы м и, а носят, с к о р е е, и с т о р и ч е с к и й и учебный характер.

Многообразие угроз порождает многообразие методов з а щ и т ы. В э т о й главе м ы б у д е м о б с у ж д а т ь все основные технологии обеспечения и н ф о р м а ц и о н н о й б е з о п а с н о с т и : а у т е н т и ф и к а ц и ю и а в т о ризацию, шифрование и антивирусные средства, сетевые э к р а н ы и п р о к с и - с е р в е р ы, з а щ и щ е н н ы е каналы и виртуальные частные сети.


Основные понятия информационной безопасности Основные понятия информационной безопасности Определение безопасной системы Под информационной безопасностью понимается состояние защищенности информаци онной системы, включая собственно информацию и поддерживающую ее инфраструктуру.

Информационная система находится в состоякии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.

Конфиденциальность (confidentiality) — это гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен;

такие пользователи называются легальными, или авторизованными.

Доступность (availability) — это гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность (integrity) — это гарантия сохранности данными правильных значений, которая обеспечивается запретом неавторизованным пользователям каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения информационной системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если вы публикуете информацию в Интернете на веб-сервере и вашей целью является сделать ее доступной для самого широкого круга людей, конфиденциальность не требуется. Однако требования целостности и доступности остаются актуальными.

Действительно, если вы не предпримете специальных мер по обеспечению целостности системы, злоумышленник может изменить данные на вашем сервере и нанести этим ущерб вашему предприятию. Преступник может, например, внести изменения в помещенный на веб-сервере прайс-лист, что негативно отразится на конкурентоспособности вашего пред приятия, или испортить коды свободно распространяемого вашей фирмой программного продукта, что, безусловно, скажется на ее деловой репутации.

Не менее важным в данном примере является и обеспечение доступности данных. За тратив немалые средства на создание и поддержание сервера в Интернете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д.

Однако существует вероятность того, что злоумышленник предпримет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предна значались. Примером таких злонамеренных действий может служить «бомбардировка»

сервера пакетами, каждый из которых в соответствии с логикой работы соответствующего протокола вызывает тайм-аут сервера, что, в конечном счете, делает его недоступным для всех остальных запросов.

Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, таким как внешние устройства или приложения. Так, свойство конфиденциальности по отношению, например, к устройству печати можно интерпретировать так, что доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены.

830 Глава 24. Сетевая безопасность Свойство доступности устройства означает его готовность к работе всякий раз, когда в этом возникает необходимость. А свойство целостности может быть определено как свойство неизменности параметров данного устройства.

Легальность использования сетевых устройств важна не только постольку-поскольку она влияет на безопасность данных. Устройства могут предоставлять различные услуги (рас печатка текстов, отправка факсов, доступ в Интернет, электронная почта и т. п.), незакон ное потребление которых, наносящее материальный ущерб предприятию, также является нарушением безопасности системы.

Угроза, атака, риск Угроза — любое действие, которое может быть направлено на нарушение информационной безопасности системы.

Атака — реализованная угроза.

Риск — вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки.

Угрозы могут исходить как от легальных пользователей сети, так и от внешних злоумыш ленников. В последние два года в статистике нарушений безопасности зафиксирован резкий сдвиг от внешних к внутренним угрозам. Примерно 2 / 3 от общего числа всех наиболее серьезных инцидентов, связанных с безопасностью, составляют нарушения со стороны легальных пользователей сетей: сотрудников и клиентов предприятий, студентов, имеющих доступ к сети учебного заведения и др. Вместе с тем внутренние атаки обычно наносят меньший ущерб, чем внешние.

Угрозы со стороны легальных пользователей делятся на:

• умышленные;

• неумышленные.

К умышленным угрозам относятся, например, мониторинг системы с целью получения персональных данных других сотрудников (идентификаторов, паролей) или конфигураци онных параметров оборудования. Это может быть также злонамеренное получение доступа к конфиденциальным данным, хранящимся на серверах и рабочих станциях сети «родного»

предприятия с целью их похищения, искажения или уничтожения;

прямое «вредитель ство» — вывод из строя сетевого программного обеспечения и оборудования. Кроме того, к умышленным угрозам относится нарушение персоналом правил, регламентирующих работу пользователей в сети предприятия: посещение запрещенных веб-сайтов, вынос за пределы предприятия съемных носителей, небрежное хранение паролей и другие подобные нарушения режима. Однако не меньший материальный ущерб предприятию может быть нанесен в результате Неумышленных нарушений персонала — ошибок, приводящих к по вреждению сетевых устройств, данных, программного обеспечения.

Угрозы внешних злоумышленников, называемых также хакерами, по определению являются умышленными и обычно квалифицируются как преступления. Среди внешних нарушите лей безопасности встречаются люди, занимающиеся этой деятельностью профессионально Типы и примеры атак или просто из хулиганских побуждений. Целью, которой руководствуются внешние зло умышленники, всегда является нанесение вреда предприятию. Это может быть, например, получение конфиденциальных данных, которые могут быть использованы для снятия денег с банковских счетов, или установление контроля над программно-аппаратными средствами сети для последующего их использования в атаках на сети других предприятий.

Как правило, атака предваряется сбором информации о системе (mapping), которая по могает не только эффективно спланировать атаку, но и скрыть все следы проникновения в систему. К полезной для хакера информации относятся типы операционных систем и при ложений, развернутых в сети, IP-адреса, номера портов клиентских частей приложений, имена и пароли пользователей. Часть информации такого рода может быть получена путем простого общения с персоналом (это называют социальным инжинирингом), а часть — с помощью тех или иных программ. Например, определить IP-адреса можно с помощью утилиты ping, задавая в качестве цели адреса из некоторого множества возможных адресов.

Если при очередном запуске программы ping пришел ответ, значит, произошло совпадение заданного адреса с адресом узла в атакуемой сети.

Для подготовки и проведения атак могут использоваться либо специально разработанные для этих целей программные средства, либо легальные программы «мирного» назначения.

Так, последний пример показывает, как легальная программа ping, которая создавалась в качестве инструмента диагностики сети, может быть применена для подготовки атаки.

При проведении атак злоумышленнику важно не только добиться своей цели, заклю чающейся в причинении ущерба атакуемому объекту, но и уничтожить все следы своего участия в этом. Одним из основных приемов, используемых злоумышленниками для «заметания следов», является подмена содержимого пакетов (spoofing). В частности, для сокрытия места нахождения источника вредительских пакетов (например, при атаке отказа в обслуживании) злоумышленник изменяет значение поля адреса отправителя в заголовках пакетов. Поскольку адрес отправителя генерируется автоматически системным программ ным обеспечением, злоумышленник вносит изменения в соответствующие программные модули так, чтобы они давали ему возможность отправлять со своего компьютера пакеты с любыми IP-адресами.

Типы и примеры атак Атаки отказа в обслуживании Атаки отказа в обслуживании (Denial of Service, DoS) направляются обычно на информа ционные серверы предприятия, функционирование которых является критически важным условием для работоспособности всего предприятия. Чаще всего объектами DOS-атак становятся основные веб-серверы, файловые и почтовые серверы предприятия, а также корневые серверы системы DNS.

Для проведения DoS-атак злоумышленники часто координируют «работу» нескольких компьютеров (как правило, без ведома пользователей этих компьютеров). Говорят, что в таких случаях имеет место распределенная атака отказа в обслуживании (Distributed Denial of Service, DDoS). Злоумышленник, захватив управление над группой удаленных компьютеров, «заставляет» их посылать пакеты в адрес узла-жертвы (рис. 24.1). Полу чившийся в результате мощный суммарный поток «затопляет» атакуемый компьютер, 832 Глава 24. Сетевая безопасность вызывая его перегрузку и, в конечном счете, делает его недоступным. Блокировка проис ходит в результате исчерпания ресурсов либо процессора, либо операционной системы, либо канала связи (полосы пропускания).

Узел, координирующий DoS-атаку Подчиненные компьютеры Атакуемый сервер Рис. 2 4. 1. Схема DDoS-атаки А теперь рассмотрим более конкретный пример проведения DoS-атаки, в которой исполь зуются особенности протокола TCP. Как мы уже обсуждали в главе 17, для установления логического соединения по протоколу TCP узлы должны обменяться тремя пакетами (рис. 24.2, а)\ сначала инициатор соединения посылает пакет с флагом SYN, на который сервер отвечает пакетом с установленными флагами ASK и SYN. Завершает процедуру пакет от узла-инициатора с флагом SYN.


Для выполнения атаки злоумышленник организует передачу на сервер массированного потока пакетов с флагом SYN, каждый из которых инициирует создание нового ТСР соединения (рис. 24.2, б). Получив пакет с флагом SYN, сервер выделяет для нового соединения необходимые ресурсы и в полном соответствии с протоколом отвечает клиенту пакетом с флагами ASK и SYN. После этого, установив тайм-аут, он начинает ждать от кли ента завершающий пакет с флагом ASK, который, увы, так и не приходит. Аналогичным образом создается множество других «недоустановленных» соединений. В результате воз никает перегрузка сервера, все его ресурсы идут на поддержание множества соединений, процедуры установления которых остались незавершенными. В таком состоянии сервер уже не способен отвечать на запросы, посылаемые приложениями легальных пользовате лей, в результате злоумышленник достигает своей цели.

Типы и примеры атак Компьютеры Атакуемый злоумышленника компьютер SYN ASK, SYN Тайм-аут ASK, SYN Тайм-аут ASK, SYN Тайм-аут Рис. 24.2. Проведение DoS-атаки, в которой используются особенности протокола TCP:

а — нормальный порядок установления ТСР-соединения;

б — DDoS-атака за счет создания множества незакрытых ТСР-соединений Подобный подход носит универсальный характер. Например, атака может быть осущест влена путем передачи уязвимому приложению потока запросов, синтаксически правиль ных, но специально сконструированных, так, чтобы вызвать перегрузку. Так, для некоторых версий веб-сервера Apache губительным оказывается поток запросов, каждый из которых содержит большое количество заголовков HTTP или символов «/».

Перехват и перенаправление трафика Следующий тип атак имеет целью направить трафик атакуемого компьютера по ложному адресу, в качестве которого может выступать адрес либо злоумышленника, либо третьей стороны. Потоком данных, который пользователь посылает, например, на свой корпора тивный сервер или сервер банка, злоумышленник может распорядиться двумя способами.

Первый состоит в том, что злоумышленник маскируется под сервера адресата, передавая клиенту ту «картинку» и те сообщения, которые тот ожидает. Так, злоумышленник может имитировать для пользователя-жертвы процедуру логического входа, получая при этом идентификатор и пароль пользователя. Эти данные в дальнейшем могут применяться для несанкционированного доступа к серверу предприятия или банка, которые и являются главной целью атаки. Второй способ заключается в организации транзита трафика. Каж дый перехваченный пакет запоминается и/или анализируется на атакующем узле, а после этого переправляется на «настоящий» сервер. Таким образом весь трафик между клиентом и сервером пропускается через компьютер злоумышленника.

Рассмотрим некоторые приемы, используемые сейчас (или в недалеком прошлом) при проведении атак данного типа. Для большинства из них уже разработаны средства противо действия, и приводимые здесь описания атак носят в основном учебный характер.

834 Глава 24. Сетевая безопасность Простейший вариант перенаправления трафика в локальной сети может быть осущест влен путем отправки в сеть ложного ARP-omeema. (Оставим в стороне вопрос, насколько часто может возникнуть такая ситуация, когда злоумышленник заинтересован в пере хвате трафика собственной локальной сети.) В данном случае схема очевидна: получив широковещательный ARP-запрос относительно некоторого IP-адреса, злоумышленник посылает ложный ARP-ответ, в котором сообщается, что данному IP-адресу соответствует его собственный МАС-адрес.

Для перехвата и перенаправления трафика в локальной сети теоретически может также ис пользоваться протокол ICMP. В соответствии с данным протоколом ICMP-сообщение о пе ренаправлении маршрута маршрутизатор по умолчанию посылает хосту непосредственно присоединенной локальной сети при отказе этого маршрута или в тех случаях, когда обна руживает, что для некоторого адреса назначения хост использует нерациональный маршрут.

На рис. 24.3, а применяемый по умолчанию маршрутизатор R1, получив от хоста HI пакет, адресованный хосту Н2, определяет, что наилучший маршрут к хосту Н2 пролегает через другой маршрутизатор данной локальной сети, а именно через маршрутизатор R2. Марш рутизатор R1 отбрасывает полученный пакет и помещает его заголовок в ICMP-сообщение о перенаправлении маршрута, которое посылает хосту HI. В сообщении содержится IP-адрес альтернативного маршрутизатора R2, который хост теперь должен использовать, посылая данные хосту Н2. Хост HI вносит изменения в свою таблицу маршрутизации и с этого момента отправляет пакеты хосту Н2 по новому скорректированному маршруту.

Для перехвата трафика, направляемого хостом HI хосту Н2, злоумышленник должен сформировать и послать хосту HI пакет, маскирующийся под ICMP-сообщение о перена правлении маршрута (рис. 24.3, б). В этом сообщении содержится запрос о корректировке таблицы маршрутизации хоста HI, так чтобы во всех пакетах с адресом 1Рнг адресом сле дующего маршрутизатора стал адрес IPHA. являющийся адресом хоста-злоумышленника НА. Для того чтобы хост «поверил» этому сообщению, в поле IP-адреса отправителя должен быть помещен адрес маршрутизатора R1, являющегося маршрутизатором по умол чанию. Когда пакеты, передаваемые введенным в заблуждение хостом, начнут поступать на узел злоумышленника, он может либо захватывать и не передавать эти пакеты дальше, имитируя для поддержания диалога приложение, которому эти пакеты предназначались, либо организовать транзитную передачу данных по указанному адресу назначения 1Рнг Читая весь трафик между узлами HI и Н2, злоумышленник получает все необходимую информацию для несанкционированного доступа к серверу Н2.

Еще одним способом перехвата трафика является использование ложных DNS-omeemoe (рис. 24.4). Задача злоумышленника состоит в получении доступа к корпоративному серверу. Для этого ему нужно завладеть именем и паролем авторизованного пользователя корпоративной сети. Эту информацию он решает получить путем ответвления потока данных, которые корпоративный клиент посылает корпоративному серверу. Злоумыш ленник знает, что клиент обращается к серверу, указывая его символьное DNS-имя www.

example.com. Известно ему также, что перед тем как отослать пакет серверу, программное обеспечение клиентской машины направляет запрос DNS-серверу, чтобы узнать, какой IP-адрес соответствует этому имени.

Цель злоумышленника — опередить ответ DNS-сервера и навязать клиенту свой вариант ответа, в котором вместо IP-адреса корпоративного сервера (в примере 193.25.34.125) злоумышленник указывает IP-адрес атакующего хоста (203.13.1.123). На пути реализации этого плана имеется несколько серьезных препятствий.

Типы и примеры атак Исходная таблица ICMP-сообщение маршрутизации хоста Н1 маршрутизатора R Code ChSum Адрес маршрутизатора R Заголовок пакета, направленного хосту Н Измененная таблица Ложное ICMP-сообщение маршрутизации хоста Н1 атакующего хоста НА Code ChSum Default R IPHJ IPHA Адрес атакующего хоста НА Заголовок пакета с адресом назначения Н / Перенаправленный /Хмаршрут Исходный I маршрут / б Рис. 24.3. Перенаправление маршрута с помощью протокола ICMP: а — сообщение о более рациональном маршруте хосту Н2 посылает маршрутизатор R1, применяемый по умолчанию;

б — сообщение о перенаправлении маршрута на себя направляет атакующий хост НА 836 Глава 24. Сетевая безопасность Рис. 2 4. 4. Схема перенаправления трафика путем использования ложных DNS-ответов Прежде всего необходимо задержать ответ DNS-сервера, для этого сервер, например, мо жет быть подвергнут DoS-атаке. Другая проблема связана с определением номера порта клиента DNS, который необходимо указать в заголовке пакета, чтобы данные дошли до приложения. И если серверная часть DNS имеет постоянно закрепленный за ней так на зываемый «хорошо известный» номер 53, то клиентская часть протокола DNS получает номер порта динамически при запуске, причем операционная система выбирает его из достаточно широкого диапазона.

Заметим, что протокол DNS может использовать для передачи своих сообщений как про токол UDP, так и протокол TCP, в зависимости от того, как он будет сконфигурирован администратором. Поскольку протокол TCP устанавливает логическое соединение с от слеживанием номеров посланных и принятых байтов, «вклиниться» в диалог клиента и сервера в этом случае гораздо сложнее, чем в случае, когда используется дейтаграммный протокол UDP.

Однако и в последнем случае остается проблема определения номера UDP-порта кли ента DNS. Эту задачу злоумышленник решает путем прямого перебора всех возможных номеров. Также путем перебора возможных значений злоумышленник преодолевает про блему определенияидентификаторов DNS-сообщений. Эти идентификаторы передаются в DNS-сообщениях и служат для того, чтобы клиент системы DNS мог установить соот ветствие поступающих ответов посланным запросам. Итак, злоумышленник бомбарди рует клиентскую машину ложными DNS-ответами, перебирая все возможные значения идентифицирующих полей так, чтобы клиент, в конце концов, принял один из них за ис тинный DNS-ответ. Как только это происходит, цель злоумышленника можно считать до стигнутой — пакеты от клиента направляются на адрес атакующего хоста, злоумышленник Типы и примеры атак получает в свое распоряжение имя и пароль легального пользователя, а с ними и доступ к корпоративному серверу.

Внедрение в компьютеры вредоносных программ Многочисленная группа атак связана с внедрением в компьютеры вредоносных программ (malware), к числу которых относятся троянские и шпионские программы, черви, вирусы, спам, логические бомбы и некоторые другие типы программ, нацеленные на нарушение информационной безопасности.

Эти программы могут проникать на атакуемые компьютеры разными путями. Самый про стой из них — «самодоставка», когда пользователь загружает файлы из непроверенных ис точников (съемных носителей или веб-сайтов) либо беспечно открывает подозрительный файл, пришедший к нему по электронной почте. Существуют и более сложные предста вители вредоносных программ, обладающие собственными механизмами «размножения», копии таких программ распространяются по компьютерам сети без участия пользователей.

Ущерб, наносимый вредоносными программами, может выражаться не только в уни чтожении, искажении или похищении информации, приведении в нерабочее состояние программного обеспечения, а значит, и компьютера в целом, но и в значительных затратах времени и сил администраторов на обнаружение и распознавание атак, фильтрацию внеш них сообщений, тестирование и перезагрузку систем. Вредоносные программы в начале этого десятилетия были одной из основных причин нарушения безопасности компью терных сетей. Однако как показала статистика, в последние два года суммарный ущерб, нанесенный вредоносными программами предприятиям, резко снизился. Это связывают, в том числе, с улучшением качества антивирусных средств и ужесточением наказаний за такого рода преступления.

Прежде чем перейти к рассмотрению конкретных типов вредоносных программ, заметим, что на практике злоумышленники часто сочетают в одной и той же программе различные типы угроз. Например, некоторые черви способны маскироваться под троянские програм мы или подобно вирусам заражать исполняемые файлы на локальном диске, а некоторые вирусы наделены способностями червей самокопироваться на другие компьютеры. Кроме того, вы можете встретить и другую классификацию вредоносных программ, где, скажем, троянские программы и черви рассматриваются как разновидности вирусов.

Троянские программы Троянские программы, или трояны (trojan), — это разновидность вредоносных программ, ко торые наносят ущерб системе, маскируясь под какие-либо полезные приложения.

Троянские программы могут применять в качестве прикрытия знакомые пользователю при ложения, с которыми он работал и раньше, до появления в компьютере «троянского коня».

При другом подходе в полном соответствии с древней легендой троянская программа при нимает вид нового приложения, которое пытается заинтересовать пользователя-жертву какими-то своими якобы полезными функциями.

Однако суть троянской программы и в том и в другом случаях остается вредительской:

она может уничтожать или искажать информацию на диске, передавать данные (напри мер, пароли) с «зараженного» компьютера на удаленный компьютер хакера, приводить 838 Глава 24. Сетевая безопасность в неработоспособное состояние установленное на атакованном компьютере программное обеспечение, участвовать в проведении DoS-атак на другие удаленные компьютеры. Так, одна из известных троянских программ AIDS TROJAN DISK7, разосланная нескольким тысячам исследовательских организаций на дискете, при запуске перемешивала символы в именах всех файлов и заполняла все свободное пространство жесткого диска. После этого программа от имени злоумышленника предлагала помощь в восстановлении диска, требуя взамен вознаграждение для автора этой программы. (Злоумышленники могут также шан тажировать пользователя, зашифровывая его данные.) Кстати, описанное компьютерное преступление завершилось поимкой хакера-шантажиста.

Троянские программы могут быть отнесены к самому простому по реализации виду вре доносных программ.

Сетевые черви Сетевые черви (worm) — это программы, способные к самостоятельному распространению своих копий среди узлов в пределах локальной сети, а также по глобальным связям, перемещаясь от одного компьютера к другому без всякого участия в этом процессе пользователей сети.

Поскольку большинство сетевых червей передаются в виде файлов, основным механизмом их распространения являются сетевые службы, основанные на файловом обмене. Так, червь может рассылать свои копии по сети в виде вложений в сообщения электронной почты или путем размещения ссылок на зараженный файл на каком-либо веб-сайте. Однако существуют и другие разновидности червей, которые для своей экспансии используют более сложные приемы, например, связанные с ошибками («дырами») в программном обеспечении.

Главная цель и результат деятельности червя состоит в том, чтобы передать свою копию на максимально возможное число компьютеров. При этом для поиска компьютеров — новых потенциальных жертв — черви задействуют встроенные в них средства. Типичная программа-червь не удаляет и не искажает пользовательские и системные файлы, не пере хватывает электронную почту пользователей, не портит содержимое баз данных, а наносит вред атакованным компьютерам путем потребления их ресурсов. Если червь обладает возможностью повторного заражения, то число его копий растет лавинообразно, и вре доносные программы все более и более загружают процессор, захватывая новые области памяти, отбирая пропускную способность сетевых соединений, пока, наконец, программы легальных пользователей не потеряют возможность выполняться.

При создании типичного сетевого червя хакер, прежде всего, определяет перечень сете вых уязвимостей, которые он собирается использовать для проведения атак средствами создаваемого червя. Такими уязвимостями могут быть как известные, но не исправленные на некоторых компьютерах ошибки в программном обеспечении, так и пока неизвестные никому ошибки, которые обнаружил сам хакер. Чем шире перечень уязвимостей и чем более они распространены, тем больше узлов может быть поражено данным червем.

Червь состоит из двух основных функциональных компонентов: атакующего блока и блока поиска целей.

• Атакующий блок состоит из нескольких модулей (векторов атаки), каждый из которых рассчитан на поражение конкретного типа уязвимости. Этот блок открывает «входную дверь» атакуемого хоста и передает через нее свою копию.

Типы и примеры атак • Блок поиска целей (локатор) собирает информацию об узлах сети, а затем на осно вании этой информации определяет, какие из исследованных узлов обладают теми уязвимостями, для которых хакер имеет средства атаки.

Эти два функциональных блока являются обязательными и присутствуют в реализации любой программы-червя. Некоторые черви нагружены их создателями и другими вспомо гательными функциями, о которых мы скажем позже.

Упрощенно жизненный цикл червя может быть описан рекурсивной процедурой, состоя щей из циклического запуска локатора и атакующего блока на каждом из последующих заражаемых компьютеров (рис. 24.5).

В начале каждого нового цикла червь, базирующийся на захваченном в результате предыду щей атаки компьютере, запускает локатор для поиска и формирования списка узлов-целей, пригодных для проведения каждой из специфических атак, а затем, используя средства атакующего блока, пытается эксплуатировать уязвимости узлов из этого списка. В ре зультате успешной атаки червь копирует все свои программы на «новую территорию»

и активирует локатор. После этого начинается новый цикл. На рисунке показано, как червь лавинообразно распространяется по сети. Заражение тысяч компьютеров может занять всего несколько минут. Некоторые виды червей не нападают на уже зараженные и/или подвергающиеся атаке в данный момент узлы. Если же такая проверка не предусмотрена в алгоритме работы червя, то в сети случайным образом могут возникать очаги стихийных DoS-атак.

Зараженный узел Локатор Атакующий блок Стихийная DoS-атака Вектор атаки (3)Атака Локация целей _ Передача информации Рис. 24.5. Экспансия червя в сети 840 Глава 24. Сетевая безопасность Локатор идентифицирует цели по адресам электронной почты, IP-адресам, характеристи кам установленных на хостах операционных систем, номерам портов, типам и версиям приложений.

Для сбора информации локатор может предпринимать действия, связанные как с поисками интересующих данных на захваченном им в данный момент хосте, так и путем зондиро вания сетевого окружения. Простейший способ получить данные локально — прочитать файл, содержащий адресную книгу клиента электронной почты1. Помимо почтовых адре сов, локатор может найти на узле базирования другие источники информации, такие как таблицы конфигурационных параметров сетевых интерфейсов, ARP-таблицы и таблицы маршрутизации. Зная IP-адреса хоста базирования и шлюзов, локатор достаточно просто может определить IP-адреса других узлов этой сети. Для идентификации узлов локатор может также использовать ЮМР-сообщения или запросы ping, указывая в качестве адресов назначения все возможные IP-адреса. Для определения того, какие приложения работают на том или ином хосте, локатор сканирует различные хорошо известные номера TCP- и UDP-портов. Определив тип приложения, локатор пытается получить более де тальные характеристики этого приложения.

Например, пусть некоторая программа-червь имеет в своем арсенале средства для атаки на некоторые версии веб-сервера Apache. Для поиска потенциальных жертв локатор этого червя зондирует узлы сети, посылая умышленно ошибочные запросы к веб-серверу:

GET / HTTP/1.l\r\n\r\n Узел, на котором установлен сервер Apache, отвечает на такой запрос так, как и рассчиты вал разработчик червя, то есть сообщением об ошибке, например, это может быть сообще ние такого вида:

НТТР/1.1 400 Bad Request Date: Mon, 23 Feb 2004 23:43:42 GMT Server: Apache/1.3.19 (UNIX) (Red-Hat/Linux) m o d _ s s l / 2. 8. 0penSSL/0.9.6 DAV/1.0.2 PHP/4.0.4p11 mod_perl/1,24_ Connection: close Transfer-Encoding: chunked Content-Type: t e x t / h t m l ;

c h a r s e t = i s o - 8 8 5 9 - l Из этого ответа локатор узнает о том, что на узле установлен веб-сервер Apache версии 1.3.19. Для червя этой информации может быть достаточно, чтобы внести данный узел в число целей.



Pages:     | 1 |   ...   | 25 | 26 || 28 | 29 |   ...   | 30 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.