Реферат: Персональные компьютеры в cетях

/>Содержание.

Введение… 2

1. Персональные компьютеры в cетях TCP/IP… 7

1.1. Иерархия протоколов TCP/IP… 7

1.2. IPадресация и имена объектов в сети  Internet… 9

1.3. Подсети… 11

1.4. Маршрутизация TCP/ IP… 14

2. Windows и сети… 21

2.1 Реализация TCP/IP для Windows… 21

2.2. Атаки TSP/IP и защита от них… 26

2.3.Активные атаки на уровне TCP… 27

2.4. Предсказание TCP sequence number… 28

2.5. Десинхронизация нулевыми данными… 31

2.6. Детектирование и защита… 32

2.7. Пассивное сканирование… 33

Заключение… 36

Список литературы… 40

/>/>Введение

Сегодняизолированный компьютер имеет весьма ограниченную функциональность. Дело дажене в том, что пользователи лишены возможности доступа к обширным информационнымресурсам, расположенным на удаленных системах. Изолированная система не имееттребуемой в настоящее время гибкости и масштабируемости. Возможность обменаданными между рассредоточенными системами открыла новые горизонты дляпостроения распределенных ресурсов, их администрирования и наполнения, начинаяот распределенного хранения информации (сетевые файловые системы, файловыеархивы, информационные системы с удаленным доступом), и заканчивая сетевойвычислительной средой. UNIX– одна из первых операционных систем, которая обеспечила возможность работы всети. И в этом одна из причин ее успеха и долгожительства.

ПротоколыTCP/IP  были разработаны, азатем прошли долгий путь усовершенствований для обеспечения требований феноменаХХ века – глобальной сети Internet.Протоколы TCP/IP используютсяпрактически в любой коммуникационной среде, от локальных сетей на базетехнологии Internet, досверхскоростных сетей АТМ, от телефонных каналов точка – точка дотрансатлантических линий связи с пропускной способностью в сотни мегабит всекунду. В названии семейства присутствуют  имена  двух протоколов – TCPи IP.В  1969 году Агентство Исследований DAPRA Министерства Обороны США начало финансирование проекта по созданиюэкспериментальной сети коммутации пакетов. Эта сеть, названная APRANET,была построена для обеспечения надежной связи между компьютерным оборудованиемразличных  производителей. По мере развития сети были разработаныкоммуникационные протоколы -  набор правил и форматов данных, необходимых дляустановления связи и передачи данных. Так появилось семейство протоколов TCP/IP.В 1983 году TCP/IP  былстандартизирован (MIL STD), в то же время агентство DAPRA начало финансирование проекта Калифорнийского университета в Беркли поподдержке TCP/IP в операционнойсистеме UNIX.

TCP/IP  -   это   установка  протоколов,  используемых  для  связи компьютерных  сетей и маршрутизации движения информации между большим количеством  различных компьютеров. «TCP» означает «Протокол контроля передачи», а  «IP»  означает  «Протокол  межсетевого взаимодействия».Протоколы стандартизированы   описанными   допустимыми   форматами,обработкой   ошибок,   передачей   сообщений   и   стандартами  связи.Компьютерные  системы, которые подчиняются протоколам связи, таким как TCP/IP, могут  использовать  общий  язык. Это позволяет им передавать сообщения безошибочно  к  нужным  получателям,  не  смотря на большие различия  в аппаратере  и  программном  обеспечении различных машин. Многие  большие сетибыли выполнены с этими протоколами, включая DARPA сеть.  Разнообразные университеты,  учреждения  и  компьютерные фирмы связаны  в  глобальную сеть,которая следует протоколам TCP/IP. Тысячи индивидуальных  машин  подсоединены к  глобальной  сети. Любая машина глобальной   сети  может  взаимодействовать с  любой  другой  (термин «глобальная   сеть»   обычно  используется   для   названия   дествия объединения  двух  или  более локальныхсетей. В результате получается сеть  из  сетей  «internet»).  Машины в  глобальной  сети  называются «hosts»(главные  ЭВМ)  или  «nodes»(узловые ЭВМ). TCP/IP обеспечивает базу  для многих полезных средств, включаяэлектронную почту, передачу файлов  и  дистанционную  регистрацию. Электроннаяпочта предназначена для  передачи  коротких  текстовых  файлов.  Прикладные программы для передачи  файлов  могут  передавать  очень  большие  файлы,содержащие программы  и  данные.  Они  также могут выполнять контрольныепроверки правильности  передачи  данных.  Дистанционная  регистрация  позволяетпользователям одного компьютера  зарегистрироваться  на  удаленной машине ипродолжать интерактивный сеанс связи с этой машиной.

Протоколмежсетевого взаимодействия (IP).  IP определяет   несвязанную   пакетную  доставку.  Эта  доставка связывает  одну  или более пакетно-управляемые сети вглобальную сеть. Термин  «несвязанную» означает, что получающая ипосылающая машины не связаны  собой  непосредственным контуром. Здесьиндивидуальные пакеты данных   (дейтаграммы)   маршрутизируются   через  различные   машины глобальной  сети  к  локальной  сети-получателю  и получающей машине. Таким  образом  сообщения разбиваются на несколькодейтаграмм, которые посылаются  отдельно. Заметьте, что несвязанная пакетнаядоставка сама по  себе  ненадежна.  Отдельные дейтаграммы могут быть полученыили не получены  и  с  большой  вероятностью  могут  быть  получены  не в томпорядке, в котором они были посланы. TCP увеличивает надежность.   Дейтаграмма  состоит  из  заголовка,  информации  и области данных. Заголовок используется  для  маршрутизации  и  процесса  дейтаграммы. Дейтаграмма  может быть  разбита  на  малые  части  в  зависимости от физических  возможностей локальной  сети,  по которой она передается.

Когда шлюз  посылает  дейтаграмму к локальной сети, которая не можетразместить дейтаграмму  как  единый пакет, она должна быть разбита на части,  которые достаточно малы для передачи по этой сети. Заголовки фрагментов  дейтаграммы содержат  информацию,  необходимую  для сбора фрагментов   в   законченную  дейтаграмму.   Фрагменты  необязательно прибывают  по порядку, в котором онибыли посланы; программный модуль, выполняющий   IP   протокол  на  получающей машине,  должен  собирать фрагменты  в  исходную дейтаграмму. Если какие-либофрагменты утеряны, полная дейтаграмма сбрасывается.

Протокол контроля  передачи  данных  (TCP) работает совместно с IP для  обеспечениянадежной доставки. Он предлагает средства обеспечения надежности  того,  что различные дейтаграммы, составляющие сообщения, собираются  в правильном порядкена принимающей машине и что некоторые пропущенные  дейтаграммы  будут  посланы снова,  пока  они  не  будут приняты  правильно.  Первая  цель  TCP  -это обеспечение  надежности, безопасности   и  сервиса  виртуального  контура связи  между  парами связанных  процессов  на  уровне ненадежных внутрисетевыхпакетов, где могут   случиться  потери,  уничтожение,  дублирование,  задержка или потеря    упорядоченности    пакетов.   Таким   образом,   обеспечениебезопасности,  например  такой как ограничение доступа пользователей ксоответствующим  машинам,  может  быть  выполнено посредством TCP. TCPкасается   только  общей  надежности.  Имеется  несколько  соображенийотносительно  возможности получения надежного сервиса дейтаграмм. Еслидейтаграмма  послана  через локальную сеть к улаленной главной машине, то  промежуточныесети не гарантируют доставку. Кроме того, посылающая машина  не  может  знатьмаршрут передачи дейтаграммы. Надежность пути «источник-приемник» обеспечивается  TCP  на  фоне ненадежности среды.

Это  делает   TCP  хорошо  приспособленной  к  широкому  разнообразию приложений   много-машинных    связей.    Надежность   обеспечивается посредством   контрольной    суммы    (коды    обнаружения    ошибок) последовательных  чисел   в   заголовке  TCP,  прямого  подтверждения получения данных и повторнойпередачи неподтвержденных данных.

/>/>1. Персональные компьютеры в cетях TCP/IP/>/>1.1  Иерархия протоколов TCP/IP

ПротоколыTCP/IPшироко применяются во всем мире для объединения компьютеров в сеть  Internet.Архитектура протоколов TCP/IP предназначенадля объединенной сети, состоящей из соединенных друг с другом шлюзами отдельныхразнородных компьютерных подсетей. Иерархию управления в TCP/IP – сетяхобычно представляют в виде пятиуровневой модели, приведенной на рисунке.

1.   Этотнижний уровень hardware описываетту или иную среду передачи данных.

2.   Науровне network interface (сетевойинтерфейс) лежит аппаратно–зависимое программное обеспечение, реализующеераспространение информации на том или ином отрезке среды передачи данных.Отметим, что TCP/IP, изначальноориентированный на независимость от среды передачи, никаких ограничений от себяна программное обеспечение этих двух уровней не накладывает. Понятие “средапередачи данных” и “программноеобеспечение  сетевого интерфейса” могут на практике иметь различные по сложности и функциональности наполнения –этомогут быть и просто модемное двухточечное звено, и представляющая сложнуюмногоузловую коммуникационную структуру сеть Х.25 или FrameRelay.

3.   Уровеньinternet (межсетевой)представленпротоколом IP. Его главная задача –маршрутизация (выбор пути через множество промежуточных узлов) при доставкеинформации от узла – отправителя до узла – адресата. Вторая важная задачапротокола IP – сокрытие аппаратно–программных особенностей среды передачи данных и предоставление вышележащимуровням единого интерфейса для доставки информации. Достигаемая при этомканальная независимость и обеспечивает многоплатформненное применениеприложений, работающих над TCP/IP.

4.   ПротоколIP не обеспечивает транспортнуюслужбу в том смысле, что не гарантирует доставку пакетов, сохранение порядка ицелостности потока пакетов и не различает логические объекты (процессы), порождающие поток информации. Это задачи других протоколов  — TCP/IPиUDP, относящихсяк следующему transport(транспортному)уровню.TCP  иUDP реализуют различные режимы доставки данных.TCP,как говорят, — протокол с установлением соединения. Это означает, что два узла,связывающиеся при  помощи этого протокола, ”договариваются”о том, что будут обмениваться потоком данных, и принимают некоторые соглашенияоб управлении этим потоком. UDP (каки IP) является дейтаграммным протоколом,т.е. таким, что каждый блок  передаваемой информации обрабатывается ираспространяется  от узла к узлу не как часть некоторого потока, а  как независимая единица информации – дейтаграмма.

5.   Выше– на уровне application (прикладном)- лежат прикладные задачи, такие как обмен файлами, сообщениями  электроннойпочты, терминальный доступ к удаленным серверам.

/>/>1.2     IP адресация и имена объектов в сети  Internet

Каждомукомпьютеру в сети  Internet присваиваетсяIP – адрес, в соответствии стем, к какой IP – сети он  подключен. Cтаршиебиты 4 – х байтного IP – адресаопределяют номер  IP – сети.Оставшаяся часть IP – адреса  — номерузла. Существуют  5 классов  IP -  адресов,отличающиеся количеством бит в сетевом номере  и номере узла.

Адресноепространство сети  Internet  можетбыть разделено на непересекающиеся  подпространства – “подсети “, с каждой   из которыхможно  работать как с обычной сетью TCP/IP.Единая IP – сеть  организацииможно  строиться как объединение подсетей. Стандарты TCP/IP определяютструктуру  IP – адресов. Для IP–адресов класса В первые два байта являются номером сети   Оставшаяся часть IP– адресаможет  использоваться как угодно. Стандарты  TCP/IP определяют кол – во байт, задающих номер сети.

Удобнееобращаться к компьютерам не по их числовым адресам, а по именам (host name).Списокэтих имен хранится в специальной базе данных  DomianName System (DNS). Например, компьютеру по имени “comsys.ntu – kpi.kiev.ua “  в  DNS соответствуетIP — адрес 194.44.197.195.

Когдавы хотите обратиться к ресурсам этого  компьютера, Вы  указываете либо его имя,либо IP — адрес.

Популярность TCP/IP  и архитектуры на  шине PCI подвигла Apple  на создание продукта,который  имеет  отношение сразу к двум названным категориям. Новый  PowerMacintosh 9500 оснащен процессором  и высокоскоростной шиной PCI, предоставляяпользователям, занимающимся издательским делом, созданием систем мультимедиа  иразмещением информации в  Internet,более высокую производительность.

PowerMac 9500 поставляется вместе с новой версией MacOs,System 7.5.2 и   Open Transport 1.0, заменившим  AppleTalk иMacTCP, благодаря чему, Macintosh  получает  дополнительные сетевые и коммуникационные возможности и совместимость .

TCP/IPInternetпродемонстрировала свою способность приспосабливаться практически к любому средству связи.

Можноожидать скорой реализации беспроволочного  TCP/IP– доступа.Уже через 1 –2 года переносная вычислительная техника по своим возможностям нив чем не уступит стационарной. Основной  трудностью будет не стольковозможность осуществления  IP – соединения,сколько преодоление мобильными  пользователями проблем, связанных сдинамической IP – конфигурацией.

На гребне  лавинообразного роста  интереса к  Internet TCP/IP  проникво многие  настольные ПК. Однако,  в  отличии от  NetWare иAppleTalk, для TCP/IP каждый отдельный  хост  необходимо дополнительно конфигурировать. Эта задача значительноупрощается  благодаря появлению большого числа  сетевых протоколов  и систем,которые  позволяют централизованно управлять TCP/IP.

Протоколы TCP/IP  опираются не нашироковещание  для  осуществления масштабируемости, необходимой для  распространениясети на весь земной шар. Компьютер, использующий  TCP/IP,для нормальной работы  должен знать некоторых ключевых компонентов – шлюзов исервера имен. Для глобальной объединенной сети важны имена и адреса. В отличииот популярных протоколов для ПК ,TCP/IP снабженсхемами обеспечения уникальности  IP–адресови сетевых имен. Процедура  распознавания сетевых при помощи TCP/IPтрадиционноосуществляется посредством громоздкого преобразования имен  NetBios вIP – адреса в файле  LMHOSTS,который  обычно создается вручную в каждом узле. В общем виде IP–адрес представляет собой 4 разделенных точками десятичных числа, например128.66.12.1. Этот формат адреса называется  точечная десятичная нотация .IP– адресидентифицирует сеть и конкретный компьютер  в этой сети. Число байтов,определяющих сеть и компьютер, варьируются в зависимости от класса адреса.

/>/>1.3.Подсети

Адреса постов в сети также должныбыть уникальными. Достичь этого можно 2 способами. Во – первых, регистрироватьадреса всех хостов сети централизованно. Этот способ лучше всего использоватьпри работе в маленьких  сетях, где сетевой администратор может работать совсеми имеющимися адресами, не боясь разорваться на части. Если же вы работаетев большой сети, то рекомендуется воспользоваться вторым способом. В этомслучае локальному сетевому администратору предоставляются блоки адресов, и онзатем определяет индивидуальный адрес хоста, выбирая его из блока. Блок адресовможет быть как набором адресов хоста, так и формально определенной подсетью.

Какговорилось выше, подсети используются по административным причинам, но нетолько. IP – сети, которыеидентифицированы в таблице путей, как и любая другая настоящая сеть. Это значит,что они могут быть использованы маршрутизаторами для физического разделениясети, чтобы решать технические проблемы, такие как обход ограничения на длинукабеля или выделение нежелательного пути в отдельный сегмент. Так что областьих применения достаточно широка. Чтобы определить меньшую сеть внутри большей,необходимо задать адрес подсети и адрес хоста определяется маской подсети (subnetmask).Маска подсети – это битовый шаблон, в котором битам, используемым для адресаподсети, присвоены значения 1, а битам, используемым для адреса хоста, - значения 0 .

Маскиподсети определены только локально. Они специально установлены приконфигурировании каждого хоста и на удаленные хосты не передаются. Следовательно, маска подсети применима только к адресам локальной сети инормально работает только в том случае, если используется в каждой системетакой сети. Когда хост получает уникальный IP–адрес, он должен получить и уникальное имя. Выбор имени хоста – это наволнующий вопрос. Для обеспечения уникальности имен хостов используются те жеспособы, что и для IP – адресов. Еслихост обращается лишь к хостам вашей локальной сети,  то достаточно сделать егоимя уникальным только в пределах данной сети. Но если он обмениваетсяинформацией со всем миром, то его имя должно быть неповторимым во всем мире.

 Гарантия уникальности – это дело службы регистрации в InterNIC.Она присваивает глобально уникальное имя домена каждому, кто правильно егозатребует. Этот процесс очень похож на присвоение номера сети. Как и IP–адреса, имена хостов также делятся на части, которые определяют и конкретныйхост в нем. Имена записываются от частного к общему, в виде серии разделенныхточками слов и аббревиатур. Они начинаются с имени компьютера, далеепоследовательно указываются имена локальных доменов вплоть до имени домена,определенного службой NIC,и заканчивается именем домена высшего уровня. Чтобы пояснить эту структуру,рассмотрим пример.

   Допустим, в домене nuts.com* имеетсякомпьютер с именем penaut. Вдомене nuts.com вы можетеиспользовать короткое имя penaut,но пользователи с другой стороны земного шара должны обращаться к нему толькопо имени penaut.nuts.com.Уникальностьимениnuts.com гарантируетслужба InterNIC, а уникальностьимени penaut внутри nuts.com -администратор локального домена. В небольших сетях обычно используют одну базуданных имен, которая контролируется администратором. Домены больших сетей подразделяются на поддомены, и  ответственность за определение имен внутриподдомена возлагается на администратора поддомена. Как только NICназначиторганизации имя домена, эта организация получит право образовывать поддоменыбез ведома NIC .

Внутридомена nuts.com  можноорганизовать под домен sales.nuts.com ивозложить ответственность за этот под домен на Тайлера Мак – Кефферти из отделасбыта. Он будет присваивать имена хостам в своем поддомене, одно из которыхможет быть peanut. Хост с такимименем не будет конфликтовать с описанным выше хостом peanut, посколькуего полное имя peanut.sales.nuts.com. 

Каждыйдомен и поддомен обслуживается сервером имен (nameserver). Сервер имен берет имя хоста  и превращает его в IP-адрес для использования программами TCP/IP.Если ваше сеть  соединена с Internet,вам придется воспользоваться DNS,и вас будет касаться все, о чем говорилось  выше. Пока ваша система работает внебольшой изолированной сети, IP  адресаименам хостов можно присваивать с помощью таблицы хостов.Таблицахостов  — это файл имен хостов и адресов, который считывается непосредственно вПК. Системный администратор должен постоянно обновлять эту таблицу.

/>/>1.4.    Маршрутизация TCP/ IP

TCP/IPнеможет обойтись без маршрутизации. Чтобы достичь удаленного места назначения,ваш компьютер должен знать туда правильный путь. Эти  пути определяютсямаршрутами, указанными в таблице мест назначения, для достижения которыхиспользуются шлюзы. Для помещения маршрутов в эту таблицу обычно применяются 2метода: статистическая маршрутизация и динамическая. 1 – ая осуществляется сетевым администратором, адинамическая – самой системой через протоколы маршрутизации. В ПК чаще всегоиспользуют статистическую маршрутизацию,  единственный статистический маршрутпо умолчанию (default route),который указывает на маршрутизатор, переправляющий все данные для ПК. Настройкамаршрутизации для DOS отличается отнастройки маршрутизации для UNIX –систем, поскольку DOS не относится кчислу многозадачных ОС. Из – за отсутствия многозадачности протокол маршрутизациине может быть запущен как фоновый процесс. Это одна из причин того, почему ПКчаще используют статистическую маршрутизацию. Кроме того, многие реализации TCP/IPдля ПК позволяют ввести только один статистический маршрут. Системныйадминистратор UNIX можетзапустить протокол маршрутизации и позволить маршрутизатору создать таблицу маршрутов на своей машине. Конфигурация ПК может быть различной. ПК позволяетввести только один маршрут, даже если их на самом деле два. Если же данныенеобходимо передать через другой маршрутизатор, это будет выполнено с помощьюпротокола ICMP. В этом случаевыберите  по умолчанию шлюз, который используется наиболее часто, и он будетсам исправлять маршрут, т.е. при необходимости пересылать данные по другомумаршруту. В этом случае по умолчанию следует задавать тот шлюз, которыйиспользуется наиболее часто, а не тот, через который проходит больше всегомаршрутов. Различные   сети, которые  составляют глобальную  сеть,  связаны посредством  машинных  шлюзов.  Шлюз  -  это машина,которая связана с двумя   или   более   сетями.  Это  позволяет  проложить маршрут  для дейтаграммы  из одной сети в другую. Шлюзы маршрутизируютдейтаграммы, основываясь  на  сети-приемнике,  а не на индивидуальной машинеданной сети.   Это   упрощает  схемы  маршрутов.  Шлюзы  распределяют,  какаяследующая  сеть  будет  получателем  данной  дейтаграммы.  Если машинаполучатель  данной дейтаграммы находится в той   же сети, то дейтаграмма может быть  послана  прямо  в  эту  машину.  В  противном  случае она передается отшлюза к шлюзу, пока не достигнет сети получателя.

Еще один конфигурационный параметр TCP/IP – этошироковещательный адрес. Им называют специальный, используемый системой дляобщения со всеми компьютерами локальной сети одновременно. Стандартныйшироковещательный адрес – это IP – адрес, в котором всебиты номера хоста имеют значение 1.Выбор программного пакета TCP/IP аналогиченвыбору сетевой карты и основан на анализе соотношения эффективность/стоимость.Поддержка со стороны поставщика и легкость конфигурирования также имеет большоезначение, но на выбор программ влияют некоторые дополнительные факторы. Никтоне разбрасывается бесплатными аппаратными средствами, но бесплатные пакетыпрограмм существуют. Самая большая опасность бесплатных программ кроется в том,что в нужный момент для них может не оказаться необходимой техническойподдержки. Сетевое программное обеспечение должно отвечать вашим требованиям,т.е. иметь такие специфические особенности, которые отвечают требованиям сетевыхслужб и которые правильно понимают пользователи. В программном обеспечении  TCP/IPдляDOS при работе с сетью используются теже команды, что и в программном обеспечении для UNIX,так что обширная документация TCP/IP, написанная  для UNIX, может бытьполезна пользователям ПК.

Приложения DOS ,TCP/IP

 

PRT

 

TSR

 

 

SNMP

 

 

PCNFS.SYS.TSR

 

DOS

Драйвер      сетевого

       Устройства

Аппаратные средства

/> /> /> />

Рис. 1.4.1.Программный модуль PC/NFS

На рис.1  показано, как выглядит TCP/IP,инсталлированный в системе DOS. Модули,отображенные на рисунке, характерны для пакета PC/NFSразработанногофирмой SunSoft. Однакоструктура драйверов и резидентных программ одинакова для всех реализаций TCP/IPдляDOS.Имена и функции модулей в каждой изреализаций будут свои, но основные средства, с помощью которых реализуетсяработа TCP/IP, остаютсянеизменными. Это – прерывания  драйверы устройств и резидентные программы.Резидентные программы (TSR)– это такие программы, которые остаются в памяти после того, как управлениеперелается системе DOS. Резидентныепрограммы TCP/IP обычнозапускаются во время загрузки системы из файла AUTOEXEC.BAT.Такаяпрограмма сначала запускает маленькую программу, которая устанавливает векторпрерываний, резервирует необходимую память и возвращает управление DOS,используя специальную функцию 31hстандартного прерывания DOS 21h. Эта специальная функция существует, поскольку резидентные программы - стандартная часть DOS,предназначенная для реализации фоновых процессов в ограниченной форме. Большоепреимущество реализации программы TCP/IP  какрезидентной программы – это скорость. Программа все время находится в памяти иможет обрабатывать запросы в реальном режиме времени. Недостаток такойреализации в том, что резидентная программа уменьшает объем доступнойпользователю памяти. По этой причине очень важно при установке резидентногопакета TCP/IP в системе DOSпользоватьсяменеджером памяти.  TCP/IPработает в самых разных сетях потому, что он не зависит от физическихособенностей конкретной сети. Однако, хотя он и не требует конкретнойсети, ему все равно нужна хоть какая – то физическая сеть, чтобы передаватьинформацию из  одного пункта в другой. Чтобы запустить TCP/IPвDOS, мы должны инсталлировать драйвердля карты сетевого интерфейса. Физическое устройство общается с DOSи приложениями с помощью драйвера. Физическое аппаратное обеспечение сети и егодрайвер на самом деле не являются частью стека   протокола TCP/IP,но это необходимый компонент для работы TCP/IP.Наличиедрайверов устройств – сильная черта DOS.Благодаря этому к системе очень легко добавлять новые устройства, не изменяяядра операционной системы. Стандарт, определенный компанией Microsoft,называется Network Device Interface Specification(NDIS), астандарт от Novell – Open Datalink Interface (ODI).Этонесовместимые стандарты. Большинство реализаций TCP/IPподдерживает как драйверы NDIS,так и драйверы ODI, и большинствокарт сетевого интерфейса поставляется с драйверами обоих типов.  Данные стандартыпозволяют поддерживать на одном компьютере мультипротокольные стеки.

Приложения

TCP/IP

Служба

NetWare

Протоколы

TCP/IP

Оболочка рабочей

Станции

Конвертер

ODI

Протоколы Novell

IPX

Уровень поддержки

Мультипротокольный драйвер

Рис.1.4.2. Мультипротокольные стеки

Это означает, что если используется драйвер NDIS или ODI, то TCP/IP может пользоваться одним и тем же интерфейсом вместе с другими сетевыми протоколами, например протоколами для NetWare.

  Сетевая карта

Нарис. 2 показан стек протоколов TCP/IP,использующий одну и ту же  карту сетевого интерфейса вместе с протоколом IPX,использующим драйвер ODI.Возможность организовать несколько стеков протоколов на одном сетевоминтерфейсе является очень важной особенностью, так как TCP/IPчастоприходится сосуществовать с NetWare идругими протоколами для ПК.

Процессинсталляции TCP/IP в системе DOSсостоитиз двух основных этапов:копирование программы на жесткий диск и конфигурирование ее  для конкретнойсистемы. Эти две задачи часто реализуются при помощи специальныхинсталляционных программ под названием InstallилиSetup. Обычно программаинсталляции необходима только для того, чтобы распаковать программу, котораянаходится на дискетах в сжатом виде. Конфигурирование TCP/IPдля DOS представляет собойсложную задачу. В отличие от системы UNIX,конфигурационные команды в разных реализациях TCP/IPдляDOS не похожи друг на друга.

Планированиеи подготовка – наиболее важная часть процесса конфигурирования TCP/IP.После запуска программы инсталляции TCP/IPвы получите приглашение ввести основную информацию о конфигурации. Для тогочтобы TCP/IP заработалнеобходимо: уникальный IP–адрес, маска подсети, правильно сконфигурированная маршрутизация и принциппреобразования имен хостов в IP –адреса. Каждая программа реализации

TCP/IPимеет собственный конфигурационный файл и собственный синтаксис команд.Установку некоторых  конфигурационных значений TCP/IPможно выполнить при помощи протокола самонастройки BOOTP.Этот протокол позволяет клиенту получить свой IP– адреси другие параметры конфигурации с центрального сервера. ПК с операционной системой DOS запускают толькоклиента службы имен, который называют ресолвер. Конфигурированиересолвера требует только указанного по умолчанию имени домена и адреса одногосервера имен. В процессе отладки новой конфигурации используется 2 типа команд:команды, которые выводят текущую конфигурацию, и команды, которые тестируютсетевые связи. Классическая тестовая программа TCP/IP– это ping.Онапосылает эхо – запрос ICMPпротоколу IP удаленной системы.Если система отвечает, то связь работает.

Командаимеет вид:

C:\ ping almond.nuts.com

almond.nuts.comis alive

СистемаDOS имеет множество команд для выводаданных о конфигурации TCP/IP.   

/>/>2. Windows и сети/>/>2.1 Реализация TCP/IP для Windows

Windows– этоеще одна причина популярности DOS. Windows–это не операционная система  — это  графический пользовательский интерфейс (GUI),который работает в DOS как приложение.Чтобы использовать Windows, нужносначала инсталлировать DOS.Windows продлила жизнь DOS,преодолев два ее больших недостатка – отсутствие многозадачности и поддержкуограниченного объема памяти. В Windows используетсясистема под названием кооперативная многозадачность, которая при распределенииресурсов полагается на хорошее поведение приложений. Все пакеты, реализующие TCP/IPдляDOS, основаны на резидентныхпрограммах, но методы конфигурирования и синтаксис команд у каждого пакетасвои. Существуют 3 способа реализации TCP/IP дляWindows: резидентные программы (TSR)– они могут обслуживать любое окно Windows,а  одна и та же резидентная программа может быть использована и в системе DOS,еслиWindows не запущена.Динамически связываемая библиотека (DLL)– это библиотека, которая может быть вызвана программой, даже если она не былаподключена  к программе при компиляции. DLL требует очень мало памяти, и память, которую они используют — это имеющаяся визобилии доступная для Windows память.Они вообще не используют область памяти DOS.ПриложенияTCP/IP, основанные на DLL,нуждаются в обслуживании Windows.  Виртуальныйдрайвер (VxD –VirtualDevice Driver)–это новейший подход к разработке TCP/IP дляWindows.VxD  представляет собойдрайвер устройства, созданный внутри виртуальной машины Windows.Каки драйвер DOS, VxD может бытьсоздан, чтобы обрабатывать прерывания в реальном режиме времени. VxDне использует область памяти DOS.

Системына основе TSR работают и в DOS,и в Windows. Онирекомендуются в том случае, если требуется программа реализации TCP/IP,которая работает в обеих средах. Реализация TCP/IPс использованием DLL и в виде VxD-родныедля Windows программы.Возможности VxD выше, чем DLL,поскольку они могут управляться прерываниями. Поэтому технология VxD - перспективное направление и для программного обеспечения TCP/IP.Вне зависимости от метода реализации системы, наиболее важным фактором привыборе пакета TCP/IP для Windows являетсяколичество приложений, которые он поддерживает, и качество этих приложений.Существует несколько пакетов TCP/IPдля Windows, из которыхможно выбрать наиболее приемлемый. Например, пакет фирмы Microsoft– этостек протоколов TCP/IP,но в нем отсутствуют многие приложения, а пакет фирмы SPRY -это полный набор приложений, но без стека протоколов. Winsock– этостандарт API, определенный для TCP/IPв системе Windows. Winsock представляетсобой реализацию интерфейса в стиле Berkeley TCP/IPsocket Microsoft Windows.

Безотказнаяработа серверов возможна только в том случае, если на них установлена надежнаяОС. Большинство администраторов локальных сетей обратились  к ОС NetWare,аадминистраторы сетей, работающих на основе протокола TYCP/IP,– k UNIX. Microsoft хотела бы изменить эту ситуацию. Самойпоследней ее попыткой решить эту задачу было создание OCWindows NT — многозадачная,многопользовательская и многофункциональная ОС. Ее однопользовательская версияпредназначена для мощных рабочих станций, а для серверов была выпущенамногопользовательская версия Windows NT Server. OCNT ссамого начала предназначалась для работы в сетях. Уже первые версии включали всебя программное обеспечение, предназначенное для поддержки протоколов TCP/IP,и предполагали построение корпоративных сетей, работающих на основе этихпротоколов. BIOS, или базовая системаввода/вывода – стандартнаячасть DOS, реализующая процедуры,используемые приложениями при запросе сервиса ввода /выводау системы DOS. Протокол NetBiosрасширилее, дополнив функциями ввода /выводачерез сеть. Протокол не  обеспечивает передачу пакетов через маршрутизаторы.Пакеты передаются только в пределах одной физической сети. Работа NetBiosзависит от особенностей функционирования нижележащего, физического уровня сети,на котором обеспечивается широковещательная передача информации. Преимущества инедостатки NetBios делают его оченьудобным для использования в маленькой изолированной локальной сети и совершеннонепригодным для большой производственной сети. Протокол  NetBiosможнозапустить поверх множества других сетевых протоколов, включая TCP/IP.ПротоколNetBiosover TCP/IP  -  это когда сообщения NetBiosвстраиваются в дейтаграммы TCP/IP.Он относится к числу стандартных. Приложения, использующие NBT,могут работать только вместе с теми приложениями, которые также используют NBT.Они не могут взаимодействовать с приложениями, работающими поверх NBT.Каждая система, которая ожидает связи через глобальную сеть TCP/IP,должна запустить у себя NBT. ПриложенияNetBios не могутвзаимодействовать со стандартными приложениями TCP/IP.Самое большое разочарование, ожидающие пользователей при работе в сети TCP/IP-это Mail, система электроннойпочты. Проблема для пользователей сети TCP/IPсостоит в том, что с помощью Mail невозможнопослать письмо никому, кроме других пользователей MicrosoftMail. Windows NT –это операционная система со встроеннойподдержкой сети. Для того чтобы работать в глобальных сетях Microsoftпредложилапротокол NBT. При функционированиисети под управлением этого протокола используется файл LMHOSTS (чтобыуменьшить зависимость от широковещательных передач) и параметр ScopeID(для фильтрации нежелательной информации при работе в больших глобальных  сетях).Помимо этих двух специальных параметров, при конфигурировании TCP/IPдля NT требуется установка техже опций, что и для других реализаций TCP/IP.Система Windows NT поставляетсяс несколькими приложениями, работа которых зависит от интерфейса приложений NetBios.Этиприложения обеспечивают выполнение большинства функций, предлагаемыхстандартными приложениями TCP/IP.При конфигурировании TCP/IPпотребуется информация об аппаратном обеспечении, адресах и маршрутизации. Таккак этот протокол создавался в расчете на независимость от любого конкретногоаппаратного обеспечения, информация, которая в некоторых других сетевыхсредствах встроена в аппаратные компоненты, не может быть встроена в TCP/IP.Эту информацию должен ввести тот, кто ответственен за конфигурацию. Изначальнопротокол TCP/IP создавался длятого, чтобы обеспечить надежную работу сети, состоящей из мэйнфреймов и мини –компьютеров и находящейся под управлением профессиональных администраторов.Компьютеры в сетях TCP/IPрассматриваются как равноправные системы (peers). Впротоколе TCP/IP не делаетсяразличий между ПК и мэйнфреймами. Для TCP/IPвсе они хосты, а ко всем хостам предъявляются одинаковые требования поконфигурации. Конечно TCP/IP тожесовершенствуется  по мере развития ПК и программного обеспечения локальныхсетей. В протоколе TCP/IP такжепоявились средства, облегчающие задачу конфигурирования ПК – RARP,BOOTP.

Протоколобратного перевода адресов RARP– это протокол, который преобразует физический сетевой адрес в IP– адрес. Чтобы создать сервер RARP,который может помочь с начальной инсталляцией программного пакета  TCP/IP,вамнужен не зависящий от TCP/IPспособ узнать адрес Ethernet. Иногдаэтот адрес обозначен на самой плате Ethernet   илиприведен в документации к ней. Протокол RARP– полезное средство, но он обеспечивает получение только IP-адреса. Чтобы работа сервера была более эффективной, требуетсяпредварительное   конфигурирование программного обеспечения TCP/IPдля пользователей ПК. Не каждая реализация TCP/IPможет быть заранее сконфигурирована.

Протоколcамозагрузки BOOTP определяется в RFC951.Этот документ представляет BOOTPв качестве альтернативы RARP,т.е. когда используется BOOTP,надобность RARP отпадает. BOOTPобеспечивает намного больше конфигурационной информации и постоянносовершенствуется. Исходная спецификация протокола позволяла поставщикам безпроблем расширять его возможности, что весьма способствовало его дальнейшемуразвитию. Можно отконфигурировать сервер BOOTPтак,чтобы он имел дело сразу со многими клиентами. Сервер легко конфигурируется припомощи всего лишь двух диалоговых окон, но за эту легкость приходится платить.Динамический протокол конфигурации хостов DHCPявляется представителем последнего на сегодняшний день поколения BOOTP.Он обеспечивает клиента полным набором значений конфигурационных параметров TCP/IP.Также позволяет выполнять  автоматическое распределение IP-адресов. Сервер DHCP обеспечиваетподдержку клиента BOOTP .

/>/>2.2. Атаки TSP/IP и защита от них

Атаки на TCP/IP можно разделить на два вида: пассивные и активные. Приданном типе атак крэкеры никаким образом не обнаруживают себя и не вступаютнапрямую во взаимодействие с другими системами. Фактически все сводится кнаблюдению за доступными данными или сессиями связи.

Атака типа подслушивание заключаются в перехвате сетевого потока и его анализе. Для осуществленияподслушивания крэкеру необходимо иметь доступ к машине, расположенной на путисетевого потока, который необходимо анализировать; например, к маршрутизаторуили PPP-серверу на базе UNIX. Если крэкеру удастся получить достаточные правана этой машине, то с помощью специального программного обеспечения сможетпросматривать весь трафик, проходящий через заданные интерфейс.

Второйвариант — крэкер получает доступ к машине, которая расположена в одном сегментесети с системой, которой имеет доступ к сетевому потоку. Например, в сети«тонкий ethernet» сетевая карта может быть переведена в режим, в которомона будет получать все пакеты, циркулирующие по сети, а не только адресованнойей конкретно. В данном случае крэкеру не требуется доступ к UNIX — достаточноиметь PC с DOS или Windows (частая ситуация в университетских сетях) .

ПосколькуTCP/IP-трафик, как правило, не шифруется (мы рассмотрим исключения ниже),крэкер, используя соответствующий инструментарий, может перехватыватьTCP/IP-пакеты, например, telnet-сессий и извлекать из них имена пользователей иих пароли.

Следуетзаметить, что данный тип атаки невозможно отследить, не обладая доступом ксистеме крэкера, поскольку сетевой поток не изменяется. Единственная надежнаязащита от подслушивания — шифрование TCP/IP-потока (например, secure shell) или использование одноразовыхпаролей (например, S/KEY). Другойвариант решения — использование интеллектуальных свитчей и UTP, в результатечего каждая машина получает только тот трафик, что адресован ей.

 Естественно,подслушивание может быть и полезно. Так, данный метод используется большимколичеством программ, помогающих администраторам в анализе работы сети (еезагруженности, работоспособности и т.д.). Один из ярких примеров — общеизвестный tcpdump.

/>/>2.3.Активные атаки на уровне TCP

Приданном типе атак крэкер взаимодействует с получателем информации, отправителеми/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимоеTCP/IP-пакетов. Данные типы атак часто кажутся технически сложными в реализации,однако для хорошего программиста не составляет труда реализовать соотвествующийинструментарий. К сожалению, сейчас такие программы стали доступны широкиммассам пользователей (например, см. раздел про SYN-затопление).

Активныеатаки можно разделить на две части. В первом случае крэкер предпринимаетопределенные шаги для перехвата и модификации сетевого потока или попыток«притвориться» другой системой. Во втором случае протокол TCP/IPиспользуется для того, чтобы привести систему-жертву в нерабочее состоянии.

Обладаядостаточными привилегиями в Unix (или попросту используя DOS или Windows, неимеющие системы ограничений пользователей), крэкер может вручную формироватьIP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могутбыть сформированы произвольным образом. Получив такой пакет, невозможновыяснить откуда реально он был получен, поскольку пакеты не содержат пути ихпрохождения. Конечно, при установке обратного адреса,не совпадающего с текущим IP-адресом,крэкер никогда не получит ответ на отосланный пакет. Однако, как мы увидим,часто это и не требуется.

Возможностьформирования произвольных IP-пакетов является ключевым пунктом дляосуществления активных атак.

/>/>2.4. Предсказание TCP sequence number

Даннаяатака была описана еще Робертом Моррисом (Robert T. Morris) в  Weakness in the4.2BSD Unix TCP/IP Software Англоязычный термин — IP spoofing. В данном случаецель крэкера — притвориться другой системой, которой, например,«доверяет» система-жертва (в случае использования протоколаrlogin/rsh для беспарольного входа). Метод также используется для других целей- например, для использовании SMTP жертвы для посылки поддельных писем.

Вспомним,что установка TCP-соединения происходит в три стадии (3-way handshake): клиентвыбирает и передает серверу sequence number (назовем его C-SYN), в ответ на этосервер высылает клиенту пакет данных, содержащий подтверждение (C-ACK) исобственный sequence number сервера (S-SYN). Теперь уже клиент должен выслатьподтверждение (S-ACK). Схематично это

/> <td/> />
можнопредставить так:

Рис. 2.4.1. Установка TCP/IPсоединения.

Послеэтого соединение считается установленным и начинается обмен данными. При этомкаждый пакет имеет в заголовке поле для sequence number и acknowledge number.Данные числа увеличиваются при обмене данными и позволяют контролироватькорректность передачи. 

Предположим,что крэкер может предсказать, какой sequence number (S-SYN по схеме) будетвыслан сервером. Это возможно сделать на основе знаний о конкретной реализацииTCP/IP. Например, в 4.3BSD значение sequence number, которое будет использованопри установке следующего значения, каждую секунду увеличивается на 125000.Таким образом, послав один пакет серверу, крэкер получит ответ и сможет(возможно, с нескольких попыткок и с поправкой на скоростьсоединения)предсказать sequence number для  следующего соединения.

Еслиреализация TCP/IP использует специальный алгоритм для определения sequencenumber, то он может быть выяснен с помощью посылки нескольких десятков пакетовсерверу и анализа его ответов.

Итак, предположим, что система Aдоверяет системе B, так, что пользователь системы B может сделать «rloginA»_ и оказаться на A, не вводя пароля. Предположим, что крэкер расположенна системе C. Система A выступает в роли сервера, системы B и C — в роликлиентов.

 Перваязадача крэкера — ввести систему B в состояние, когда она не сможет отвечать насетевые запросы. Это может быть сделано несколькими способами, в простейшемслучае нужно просто дождаться перезагрузки системы B. Нескольких минут, втечении которых она будет неработоспособна, должно хватить. Другой вариант — использование описанными в следующих разделах методов.

Послеэтого крэкер может попробовать притвориться системой B, для того, что быполучить доступ к системе A (хотя бы кратковременный).

Крэкервысылает несколько IP-пакетов, инициирующих соединение, системе A, длявыяснения текущего состояния sequence number сервера. Крэкер высылает IP-пакет,в котором в качестве обратного адреса указан уже адрес системы B.  Система Aотвечает пакетом с sequence number, который направляется системе B. Однакосистема B никогда не получит его (она выведена из строя), как, впрочем, икрэкер. Но он на основе предыдущего анализа догадывается, какой sequence numberбыл выслан системе B. Крэкерподтверждает «получение» пакета от A, выслав от имени B пакет спредполагаемым S-ACK (заметим, что если системы располагаются в одном сегменте,крэкеру для выяснения sequence number достаточно перехватить пакет, посланныйсистемой A). После этого, если крэкеру повезло и sequence number сервера былугадан верно, соединение считается установленным.

Теперькрэкер может выслать очередной фальшивый IP-пакет, который будет уже содержатьданные. Например, если атака была направлена на rsh, он может содержать командысоздания файла .rhosts или отправки /etc/passwd крэкеру поэлектронной почте.

Естественно,100% срабатывания у этой схемы нет, например, она не застрахована от того, чтопо дороге не потеряются какие-то пакеты, посланные крэкером. Для корректнойобработки этих ситуаций программа должна быть усложнена.

/>/>2.5. Десинхронизация нулевыми данными

Вданном случае крэкер прослушивает сессию и в какой-то момент посылает серверупакет с «нулевыми» данными, т.е. такими, которые фактически будутпроигнорированы на уровне прикладной программы и не видны клиенту (например, дляtelnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичныйпакет посылается клиенту. Очевидно, что после этого сессия переходит вдесинхронизированное состояние.

Однаиз проблем IP Hijacking заключается в том, что любой пакет, высланный в момент,когда сессия находится в десинхронизированном состоянии,вызывает так называемую ACK-бурю. Например, пакет выслан сервером, и для клиента он являетсянеприемлимым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлимыйуже для сервера пакет клиент вновь получает ответ… И так до бесконечности.

Ксчастью (или к сожалению?) современные сети строятся по технологиям, когдадопускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных,повторных передачи не происходит и «буря стихает». 

Какпоказали опыты, чем сильнее ACK-буря, тем быстрее она «утихомиривает»себя — на10MB ethernet это происходит за доли секунды. На ненадежных соединениях типаSLIP — ненамного больше.

/>/>2.6. Детектирование и защита

Естьнесколько путей. Например, можно реализовать TCP/IP-стэк, которые будутконтролировать переход в десинхронизированное состояние, обмениваясьинформацией о sequence number/acknowledge number. Однако в данном случае мы незастрахованы от крэкера, меняющего и эти значения.

Поэтомуболее надежным способом является анализ загруженности сети, отслеживаниевозникающих ACK-бурь. Это можно реализовать при помощи конкретных средствконтроля за сетью.

Есликрэкер не потрудится поддерживать десинхронизированное соединение до егозакрытия или не станет фильтровать вывод своих команд, это также будет сразузамечено пользователем. К сожалению, подавляющее большинство просто откроютновую сессию, не обращаясь к администратору.

Стопроцентнуюзащиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (науровне приложений — secure shell) или на уровнепротокола — IPsec). Это исключает возможность модификации сетевого потока. Длязащиты почтовых сообщений может применяться  программа шифрованияданных PGP.

Следуетзаметить, что метод также не срабатывает на некоторых конкретных реализацияхTCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сесии вответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Этоделает невозможным раннюю десинхронизацию. 

/>/>2.7. Пассивное сканирование

Сканированиечасто применяется крэкерами для того, чтобы выяснить, на каких TCP-портахработают демоны, отвечающие на запросы из сети. Обычная программа-сканерпоследовательно открывает соединения с различными портами. В случае, когдасоединение устанавливается, программа сбрасывает его, сообщая номер портакрэкеру.  

Данныйспособ легко детектируются по сообщениям демонов, удивленных мгновеннопрерваным после установки соединением, или с помощью использования специальныхпрограмм. Лучшие из таких программ обладают некоторыми попытками внестиэлементы искуственного элемента в отслеживание попыток соединения с различнымипортами.

Однакокрэкер может воспользоваться другим методом — пассивным сканированием(английский термин «passive scan»). При его использовании крэкерпосылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданномуалгоритму). Для TCP-портов, принимающих соединения извне, будет возвращенSYN/ACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернутRST-пакеты. Проанализировав данный ответ, крэкер может быстро понять, на какихпортах работают программы.В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, чтопроцесс установки соединения продолжен не будет (в общем случае RST-пакетамиавтоматически ответит TCP/IP-реализация крэкера, если он не предприметспециальных мер). 

Методне детектируется предыдущими способами, поскольку реальное TCP/IP-соединение неустанавливается. Однако, взависимости от поведения крэкера,можно отслеживать резко возросшее количество сессий, находящихся в состоянииSYN_RECEIVED (при условии, что крэкер не посылает в ответ RST) прием от клиентаRST-пакета в ответ на SYN/ACK.

Ксожалению, при достаточно умном поведении крэкера (например, сканирование снизкой скоростью или проверка лишь конкретных портов) детектировать пассивноесканирование невозможно, поскольку оно ничем не отличается от обычных попытокустановить соединение. 

Вкачестве защиты можно лишь посоветовать закрыть на firewall (брандмауэр)все сервисы, доступ к которым не требуется извне.В сфере компьютерных сетей брандмауэр представляетсобой барьер, защищающий от фигурального пожара — попыток злоумышленниковвторгнуться в сеть для того,чтобы скопировать, изменить или стереть информацию,либо, чтобывоспользоваться полосой пропускания, памятью или вычислительной мощностью работающихв этой сети компьютеров. Брандмауэр устанавливается на границе защищаемой сетии фильтрует все входящие и исходящие данные, пропуская

/> <td/> />
толькоавторизованные пакеты.

Рис. 2.7.1. Брандмауэр

Брандмауэрявляется набором компонентов, настроенных таким образом, чтобы реализоватьопределенную политику контроля внешнего доступа к вашей сети. Обычнобрандмауэры защищают внутреннюю сеть компании от вторжений из Internet, однакоони могут использоваться и для защиты от нападений, например, из корпоративнойинтрасети, к которой подключена и ваша сеть. Как и в случае реализации любогодругого механизма сетевой защиты, организация, вырабатывающая конкретнуюполитику безопасности, кроме всего прочего, должна определить тип трафика TCP/IP,который будет восприниматься брандмауэром как авторизованный. Например,необходимо решить, будет ли ограничен доступ пользователей к определеннымслужбам на базе TCP/IP, и если будет, то до какой степени. Выработка политикибезопасности поможет понять, какие компоненты брандмауэра вам необходимы и каких сконфигурировать, чтобы обеспечить те ограничения доступа, которые вызадали.

/>Заключение.

Семействопротоколов TCP/IP широко применяется во всем мире для объединения компьютеров всеть Internet. Единая сеть Internet состоит из множества сетей различнойфизической природы, от локальных сетей типа Ethernet и Token Ring, доглобальных сетей типа NSFNET. Термин «TCP/IP» обычно обозначает все,что связано с протоколами TCP и IP. Он охватывает целое семейство протоколов,прикладные программы и даже саму сеть. В состав семейства входят протоколы UDP,ARP, ICMP, TEL-NET, FTP и многие другие. TCP/IP — это технология межсетевоговзаимодействия, технология internet. Модуль IP создает единую логическую сеть.

 Архитектура протоколов TCP/IPпредназначена для объединенной сети, состоящей из соединенных друг с другомшлюзами отдельных разнородных пакетных подсетей, к которым подключаютсяразнородные машины. Каждая из подсетей работает в соответствии со своимиспецифическими требованиями и имеет свою природу средств связи. Однакопредполагается, что каждая подсеть  может принять пакет информации (данные ссоответствующим сетевым заголовком) и доставить его по указанному адресу в этойконкретной подсети. Не требуется, чтобы подсеть гарантировала обязательнуюдоставку пакетов и имела надежный сквозной протокол. Таким образом, две машины,подключенные к одной подсети, могут обмениваться пакетами. Когда необходимопередать пакет между машинами, подключенными к разным подсетям, томашина-отправитель посылает пакет в соответствующий шлюз (шлюз подключен кподсети также как обычный узел). Оттуда пакет направляется по определенномумаршруту через систему шлюзов и подсетей, пока не достигнет шлюза,подключенного к той же подсети, что и машина-получатель; там пакет направляетсяк получателю. Объединенная сеть обеспечивает дейтограммный сервис. Проблемадоставки пакетов в такой системе решается путем реализации во всех узлах и шлюзахмежсетевого протокола IP. Межсетевой уровень является по существу базовымэлементом во всей архитектуре протоколов, обеспечивая возможностьстандартизации протоколов верхних уровней.

ПротоколыTCP/IP прошли долгий путьусовершенствований для обеспечения требований феномена ХХ века – глобальнойсети Internet.Протоколы TCP/IP используютсяпрактически в любой коммуникационной среде, от локальных сетей на базетехнологии Ethernet, досверхскоростных сетей АТМ, от телефонных каналов точка – точка до трансатлантическихлиний связи с пропускной способностью в сотни мегабит в секунду.

Некоторыеосновные положения:

-TCP/IPимеетчетырехуровневую  иерархию.

-IP– адресаопределяются программно и должны быть глобально уникальными. IPиспользуютадреса для передачи данных между сетями и через уровни программного обеспеченияхоста. В сетях TCP/IPкорректный адрес определяется сетевым администратором, а не аппаратнымикомпонентами. Проблемы обычно возникают из – за ошибок конфигурации.

-Маршрутизация необходима, чтобыпересылать данные между двумя системами, которые не подсоединены напрямую кодной физической сети.

     Изначально протокол TCP/IP создавался для того, чтобыобеспечить надежную работу сети, состоящей из мини- компьютеров и находящейсяпод управлением профессиональных администраторов. Компьютеры в сети TCP/IP рассматриваются как равноправныесистемы. Это означает, что они могут выступать в качестве серверов для одногоприложения и одновременно работать как клиенты для другого. В протоколе TCP/IP не делается различий между ПК имэйнфреймами. Для TCP/IPвсе они – хосты, ако всем хостам предъявляются одинаковые требования по конфигурации.

      TCP/IP тоже совершенствуется по мереразвития ПК и программного базовых приложений, поэтому является более сложной сетевойсредой, чем традиционные локальные сети ПК. Основными элементами сети TCP/IP являются базовые службыудаленного доступа к серверу, передачи файлов и электронной почты.

       Почему сети TCP/IP не доминируют на рынке ПК?

Прежде всего потому, что данныйпротокол создавался  не для ПК и ориентирован не на рынок ПК. Он создан длятого, чтобы работать на различных аппаратных платформах в среде разнообразныхоперационных  систем.

      Основные достоинства TCP/IP:

-          Cемейство протоколов основано наоткрытых стандартах, свободно доступных и разработанных независимо отконкретного оборудования или операционной системы. Благодаря этому TCP/IP является наиболее    распространенным средством объединения разнородного оборудования и            программного обеспечения.

-          Протоколы TCP/IP не зависят от конкретногосетевого оборудования физического уровня. Это позволяет использовать TCP/IP в физических сетях самогоразличного типа: Ethernet, Token-ring,X.25, т.е.практически в любой среде передачи данных.

-          Протоколыэтого семейства имеют гибкую схему адресации, позволяющую любому устройствуоднозначно адресовать другое устройство сети. Одна и та же система адресацииможет использоваться как в локальных, так и в территориально распределенныхсетях, включая Internet.

-          В семейство TCP/IP входят стандартизированныепротоколы высокого уровня для поддержки прикладных сетевых услуг, таких какпередача файлов, удаленный терминальный доступ, обмен сообщениями электроннойпочты и т.д.

/>Списоклитературы.

1.    Ю.А.Кулаков,Г.М.Луцкий ”Компьютерные сети”М. – К. “Юниор”,1998.– 384с.

2.   А.И.Гусева“Технология межсетевыхвзаимодействий” М. “Диалог– МИФИ” 1997г., — 272с.

3.   К.Хант “ПК в сетях TCP/IP”

4.   «UNIX»- руководство системного администратора 1995г., Санкт – Петербург

5.   “Журнал сетевых решений “ 1995г.,ноябрь, том1.номер4.

6.   С.Дунаев “UNIX” ,”Диалог– МИФИ” Москва – 1997г.

7.   М.Шварц “ Проектирование имоделирование “ 1 – 2том                “Диалог – МИФИ''Москва/>

8.   ГалатенкоВ.А. Информационная безопасность. –М.: Финансы и статистика, 1997.–158 с.

9.   БарсуковВ. С., Дворянкин С. В., Шеремет И. А. Безопасность связи в каналахтелекоммуникаций. –М.: Россия, 1996. –124 с.

10.       МафтикС.М. Механизмы защиты в сетях ЭВМ. — М.: Мир, 1993. – 256 с.