BugTraq.Ru: основные определения // версия для печати

https://bugtraq.ru/library/books/secureweb/ch11/

Основные определения

Internet - это всемирное объединение сетей, шлюзов, серверов и клиентских компьютеров, использующее для связи единый набор протоколов TCP/IP. Основная черта Internet - предоставление глобального доступа к информации и ресурсам. Информация, размещенная на Internet-сервере, становится доступной из любой точки земного шара, подключенной к Internet. Использование общих протоколов семейства TCP/IP и единого адресного пространства позволяет говорить об Internet как о единой глобальной "метасети". Наряду с Internet часто выделяют понятие intranet. Intranet - это локальная сеть предприятия, основанная на тех же протоколах, что и Internet. Эта технология позволяет широко использовать в рамках сети предприятия все возможности и наработки глобальной сети, эффективно решая при этом задачу ограничения доступа к информации. В то же время часть intranet может быть открыта для внешнего доступа, становясь таким образом частью Internet.

Протоколы и адресация

Под протоколами в данном контексте понимаются правила, определяющие последовательность действий, необходимых для обмена данными. Для доставки информации на какой-либо компьютер он должен иметь уникальный идентификатор, или адрес. Роль такого идентификатора в tcp/ip играет ip-адрес узла, представляющий собой 32-разрядное число, записываемое тетрадой вида 216.122.167.55 (четыре десятичных числа от 0 до 255, разделенные точками). С каждым ip-адресом связана 32-разрядная маска подсети, разбивающая адрес на две части - на уникальный идентификатор сети, к которой принадлежит компьютер, и на уникальный идентификатор узла в пределах этой сети. Маска эта имеет вид 255.255.255.0, и при побитном умножении нашего ip-адреса из примера мы получим сеть 216.122.167 и узел 55. Разбиение адреса на две части обеспечивает большую управляемость сети. Компании, имеющей парк из нескольких сотен машин, нет необходимости регистрировать адрес для каждой из них - достаточно зарегистрировать на себя отдельную подсеть и раздавать адреса внутри нее уже самостоятельно.

При простом подключении узла к сети, он получает уникальный адрес в пределах всей Internet, что дает возможность обмениваться информацией с другими узлами. Знание адреса компьютера, подключенного к сети, дает возможность воспользоваться сервисами, на нем запущенными - с любого другого компьютера, подключенного к сети.

Рис. 1. Схемы подключения к Internet

Достаточно часто используется схема отсечения локальной сети от "большой Internet", когда компьютеры локальной сети не получают прямого доступа к внешнему миру. В этом случае между локальной сетью и Internet ставится отдельный сервер, доступный как из внешней, так и из внутренней сети. Такой сервер носит название proxy-сервера (proxy-посредник). Возможны различные способы реализации этой схемы - на уровне отдельных служб, как это происходит в случае традиционных proxy, либо на уровне пакетов tcp/ip, в случае использования NAT (Network Address Translator), но идея в обоих случаях одна и та же: компьютер из локальной сети обращается к proxy-серверу для передачи запроса некоторому внешнему серверу. Получив ответ от внешнего сервера, proxy переправляет ее локальному компьютеру.

Подобная схема имеет несколько преимуществ перед прямым подключением к сети. Во-первых, экономятся "настоящие" ip-адреса, которых через некоторое время просто перестанет хватать (как выяснилось, 32 разряда, выбранные для представления ip-адреса - это вовсе не так уж и много, и в настоящее время готовится к внедрению новая версия ip-адресации, ipv6). Во-вторых, из внешней сети можно получить доступ только к промежуточному серверу, что повышает защищенность всей сети. Далее, если несколько компьютеров по очереди обращаются к одному и тому же ресурсу, proxy может сохранить результат первого обращения на своем жестком диске и выдавать его в ответ на повторные запросы. Наконец, при передаче информации из внешней сети может осуществляться фильтрация нежелательной информации.

Доменная система имен

IP-адресация позволяет точно идентифицировать компьютеры, подключенные к сети. Однако, запоминать адреса вида 216.122.167.55 не слишком удобно. Поэтому с самого начала развития сети каждый узел помимо цифрового ip имел еще и символьное имя. Вначале все узлы были перечислены в одном текстовом файле, но по мере роста сети возникла необходимость в механизме, обеспечивающем, во-первых, уникальность имен, во-вторых, средства извещения всех подключенных узлов об изменениях.

В настоящее время соответствие между цифровыми и символьными адресами обеспечивается серверами имен (Domain Name Servers, DNS). Под доменом понимается множество машин, которые администрируются и поддерживаются как единое целое. Вся сеть представляет собой одну большую иерархию доменов, позволяющую разграничить полномочия между администраторами разных сетей.

Иерархия доменов Internet растет от корневого (root) домена, не имеющего имени. Далее идет ограниченное количество доменов верхнего уровня, в которых может быть зарегистрировано практически неограниченное количество доменов второго уровня и т.д.

К доменам верхнего уровня относятся домены:

.com (предназначенный для коммерческих организация):

.edu (образовательные учреждения):

.net (сетевые провайдеры, узловые компьютеры);

.org (организации, не попадающие ни в одну из прочих категорий), администрированием которых до недавнего времени занимался только InterNIC;

.gov (изначально предназначался для любых государственных учреждений, позднее было принято решение о регистрации в нем только федеральных правительственных учреждений США, регистрируются US Federal Government civilian agency);

.mil (военные учреждения США, регистрируются US military agency);

.int (международные организации).

В настоящее время продолжается работа по введению дополнительных доменов верхнего уровня (.info и т.п.). Кроме того, к доменам верхнего уровня относятся национальные домены с двухбуквенными именами (например, .ru, .de), администрированием которых занимаются национальные институты.

Порты и службы

Ip-адрес позволяет точно идентифицировать компьютер, но этого недостаточно. Дело в том, что на каждом узле могут быть запущены самые разные службы Internet, обеспечивающие передачу информации: электронной почты, файлов, гипертекстовой информации и т.п. Каждая служба использует в своей работе тот или иной протокол прикладного уровня:

для передачи файлов протокол FTP (File Transfer Protocol);

для передачи web-страниц протокол передачи гипертекстовой информации HTTP (Hyper Text Transfer Protocol);

для работы с электронной почтой протоколы SMTP, POP3, IMAP и др.

Для каждой службы отведен отдельный порт, представляющий собой число от 0 до 65534. Для наиболее популярных служб зарезервированы стандартные номера портов. Так, для FTP это 21, для HTTP - 80, SMTP - 25, POP3 - 110. Впрочем, это лишь значения по умолчанию, никто не мешает владельцу узла настроить эти службы на работу с другими портами. Иногда это просто необходимо - как, например, в случае с поддержкой различных кодировок кириллицы в WWW. Как известно, одни и те же символы кириллицы в различных операционных системах обозначаются разными кодами, и существует по крайней мере четыре популярные кодировки: Windows-1251, KOI8, Mac, DOS. Поскольку одна и та же страница может быть загружена пользователями различных систем, перед ее разработчиком встает непростая задача - как сделать ее читаемой для всех. Существует три подхода к решению этой задачи. Во-первых, можно просто проигнорировать существование нескольких кодировок и готовить страницу в самой популярной, какой сегодня является Win1251. Во-вторых, готовить несколько копий страниц - во всех кодировках. Недостатки этих подходов очевидны. В настоящее время наиболее популярным является решение, предусматривающее автоматическую перекодировку документа на сервере - в зависимости от того, с каким портом общается клиентское приложение: например, на 8080 - Win1251, 8083 - Koi8 и т.п.

URL

Унифицированные указатели ресурсов (URL - Uniform Resource Locator,) предназначены для адресации сетевых ресурсов - документов, файлов и т.п. В самом общем виде URL записывается следующим образом:

[протокол]://[имя][:пароль]@[адрес][:порт][/путь/][документ][?дополнительная информация]

Содержимое квадратных скобок является необязательным, любая часть URL может быть опущена. Здесь

протокол - символьное обозначение протокола, используемого для доступа к ресурсу (например, ftp, http);

имя - имя пользователя;

пароль - в сочетании с именем пользователя используется при работе с ресурсами, доступ к которым ограничен;

адрес - адрес узла в доменной или цифровой форме;

порт - номер порта, если он отсутствует, используется порт по умолчанию для данного протокола;

путь - путь на сервере от его корневого каталога, либо относительно текущего каталога;

документ - имя документа;

дополнительная информация - используется при работе с серверными приложениями.

Design: Vadim Derkach