42
|
20000
|
DNP |
Përshëndetje të gjithëve, sot do t'ju tregoj se si protokolli TCP ndryshon nga UDP. Protokollet e shtresës së transportit, më pas në hierarki tek IP, përdoren për të transferuar të dhëna ndërmjet proceseve të aplikacionit që ekzekutohen në nyjet e rrjetit. Një paketë e të dhënave e marrë nga një kompjuter në tjetrin nëpërmjet internetit duhet të transferohet në një proces mbajtës, dhe pikërisht për një qëllim të caktuar. Shtresa e transportit merr përgjegjësinë për këtë. Në këtë nivel ekzistojnë dy protokolle kryesore - TCP dhe UDP.
Çfarë do të thotë TCP dhe UDP?
TCP– protokoll transporti për transferimin e të dhënave në rrjetet TCP/IP, i cili paraprakisht vendos një lidhje me rrjetin.
PZHU– një protokoll transporti që transmeton mesazhe të datagramit pa pasur nevojë për të krijuar një lidhje në një rrjet IP.
Më lejoni t'ju kujtoj se të dy protokollet funksionojnë në shtresën e transportit të modelit OSI ose TCP/IP, dhe të kuptuarit se si ndryshojnë ato është shumë e rëndësishme.
Dallimi midis protokolleve TCP dhe UDP
Dallimi midis protokolleve TCP dhe UDP është e ashtuquajtura "garancia e dorëzimit". TCP kërkon një përgjigje nga klienti të cilit i është dorëzuar paketa e të dhënave, konfirmimi i dorëzimit dhe për këtë ka nevojë për një lidhje të paracaktuar. Gjithashtu, protokolli TCP konsiderohet i besueshëm, ndërsa UDP madje ka marrë emrin "protokolli i pabesueshëm i të dhënave". TCP eliminon humbjen e të dhënave, dyfishimin dhe përzierjen e paketave dhe vonesat. UDP i lejon të gjitha këto dhe nuk kërkon lidhje për të funksionuar. Proceset që marrin të dhëna nëpërmjet UDP duhet të mjaftohen me atë që marrin, madje edhe me humbje. TCP kontrollon mbingarkesën e lidhjes, UDP nuk kontrollon asgjë tjetër përveç integritetit të të dhënave të marra.
Nga ana tjetër, për shkak të jo selektivitetit dhe mungesës së kontrollit, UDP dërgon paketat e të dhënave (datagramet) shumë më shpejt, prandaj për aplikacionet që janë të dizajnuara për xhiro të lartë dhe shkëmbim të shpejtë, UDP mund të konsiderohet protokolli optimal. Këto përfshijnë lojërat e rrjetit dhe shfletuesit, si dhe programet e transmetimit të shikimit të videos dhe aplikacionet për komunikim me video (ose zë): humbja e një pakete, e plotë ose e pjesshme, nuk ndryshon asgjë, nuk është e nevojshme të përsëritet kërkesa, por shkarkimi është shumë më i shpejtë. Protokolli TCP, duke qenë më i besueshëm, përdoret me sukses edhe në programet e postës elektronike, duke ju lejuar të kontrolloni jo vetëm trafikun, por edhe gjatësinë e mesazhit dhe shpejtësinë e shkëmbimit të trafikut.
Le të shohim ndryshimet kryesore midis tcp dhe udp.
- TCP garanton shpërndarjen e paketave të të dhënave në një formë të pandryshuar, sekuencë dhe pa humbje, UDP nuk garanton asgjë.
- TCP numëron paketat kur ato transmetohen, por UDP jo.
- TCP funksionon në modalitetin full duplex, në një paketë mund të dërgoni informacion dhe të konfirmoni marrjen e paketës së mëparshme.
- TCP kërkon një lidhje të vendosur paraprakisht, UDP nuk kërkon një lidhje, është thjesht një rrjedhë e të dhënave.
- UDP siguron shpejtësi më të larta të transferimit të të dhënave.
- TCP është më i besueshëm dhe kontrollon procesin e shkëmbimit të të dhënave.
- UDP preferohet për programet që luajnë video me transmetim, videofoni dhe telefoni dhe lojëra në rrjet.
- UPD nuk përmban funksione të rikuperimit të të dhënave
Shembuj të aplikacioneve UDP përfshijnë, për shembull, transferimin e zonave DNS në Active Directory, ku besueshmëria nuk kërkohet. Shumë shpesh u pëlqen të bëjnë pyetje të tilla gjatë intervistave, kështu që është shumë e rëndësishme të dihen ndryshimet midis tcp dhe udp.
TCP dhe UDP kokat
Le të shohim se si duken titujt e dy protokolleve të transportit, pasi edhe këtu ndryshimet janë thelbësore.
Kreu i UDP
- Porta e burimit 16-bit > Specifikimi i portës burimore për UDP është opsionale. Nëse përdoret kjo fushë, marrësi mund të dërgojë një përgjigje në këtë port.
- Porta e destinacionit 16 bit > Numri i portës së destinacionit
- Gjatësia UDP 16-bit > Gjatësia e mesazhit, duke përfshirë kokën dhe të dhënat.
- Shuma e kontrollit 16 bit > Koka dhe shuma e kontrollit të të dhënave për verifikim
TCP header
- Porta e burimit 16 bit > Numri i portës burimore
- Porta e destinacionit 16 bit > Numri i portës së destinacionit
- Numri i sekuencës 32 bit > Numri i sekuencës gjenerohet nga burimi dhe përdoret nga destinacioni për të rirenditur paketat për të krijuar mesazhin origjinal dhe për të dërguar një konfirmim te burimi.
- Numri i konfirmimit 32-bit > Nëse biti ACK i fushës "Control" është vendosur, kjo fushë përmban numrin vijues të pritshëm të radhës.
- Gjatësia e kokës 4 bit > Informacion rreth fillimit të paketës së të dhënave.
- rezervë > Rezervuar për përdorim në të ardhmen.
- Shuma e kontrollit 16-bit > Shuma e kontrollit të kokës dhe të dhënave; ai përcakton nëse paketa ishte e korruptuar.
- Treguesi i Urgjencës 16-bit > Kjo fushë i jep pajisjes së synuar informacion rreth urgjencës së të dhënave.
- Opsionet > Vlerat opsionale që mund të specifikohen sipas nevojës.
Madhësia e dritares ju lejon të kurseni trafikun, le të shqyrtojmë kur vlera e tij është 1, pastaj për çdo përgjigje të dërguar, dërguesi pret për konfirmim, jo plotësisht racional.
Me një madhësi dritare prej 3, dërguesi dërgon tashmë 3 korniza dhe pret nga 4, që nënkupton se ai i ka të tre kornizat, +1.
Shpresoj që tani të keni një ide rreth ndryshimeve midis protokolleve tcp dhe udp.
Protokolli TCP/IP është themeli i internetit, përmes të cilit kompjuterët dërgojnë dhe marrin informacion nga kudo në botë, pavarësisht vendndodhjes gjeografike. Hyrja në një kompjuter TCP/IP në një vend tjetër është po aq e lehtë sa qasja në një kompjuter në dhomën tjetër. Procedura e aksesit është identike në të dyja rastet, megjithëse lidhja me një makinë në një vend tjetër mund të zgjasë disa milisekonda më shumë. Si rezultat, qytetarët e çdo vendi mund të blejnë lehtësisht në Amazon.com; megjithatë, për shkak të afërsisë logjike, detyra e sigurisë së informacionit bëhet më e ndërlikuar: çdo pronar i një kompjuteri të lidhur në internet kudo në botë mund të përpiqet të krijojë një lidhje të paautorizuar me ndonjë makinë tjetër.
Është përgjegjësi e profesionistëve të TI-së të instalojnë mure zjarri dhe sisteme për të zbuluar trafikun e dyshimtë. Analiza e paketave merr informacion në lidhje me adresat IP të burimit dhe destinacionit dhe portat e rrjetit të përfshirë. Vlera e porteve të rrjetit nuk është inferiore ndaj adresave IP; këto janë kriteret më të rëndësishme për ndarjen e trafikut të dobishëm nga mesazhet e rreme dhe të dëmshme që hyjnë dhe dalin nga rrjeti. Shumica e trafikut të rrjetit të Internetit përbëhet nga paketat TCP dhe UDP, të cilat përmbajnë informacion në lidhje me portat e rrjetit që kompjuterët përdorin për të drejtuar trafikun nga një aplikacion në tjetrin. Një parakusht për murin e zjarrit dhe sigurinë e rrjetit është që administratori të ketë një kuptim të plotë se si kompjuterët dhe pajisjet e rrjetit i përdorin këto porta.
Studimi i porteve
Njohja e parimeve bazë të funksionimit të porteve të rrjetit do të jetë e dobishme për çdo administrator të sistemit. Me një kuptim bazë të porteve TCP dhe UDP, një administrator mund të diagnostikojë në mënyrë të pavarur një aplikacion rrjeti të dështuar ose të mbrojë një kompjuter që do të hyjë në internet pa thirrur një inxhinier rrjeti ose konsulent të murit të zjarrit.
Pjesa e parë e këtij artikulli (i përbërë nga dy pjesë) përshkruan konceptet bazë të nevojshme për të diskutuar portet e rrjetit. Do të tregohet vendi i portave të rrjetit në modelin e përgjithshëm të rrjetit dhe roli i porteve të rrjetit dhe muri i zjarrit NAT (Network Address Translation) në lidhjet e kompjuterëve të kompanisë me internetin. Më në fund, do të tregohen pikat e rrjetit në të cilat është i përshtatshëm për të identifikuar dhe filtruar trafikun e rrjetit në portet përkatëse të rrjetit. Pjesa 2 shikon disa nga portet e përdorura nga aplikacionet e zakonshme dhe sistemet operative dhe prezanton disa mjete për gjetjen e porteve të hapura të rrjetit.
Pasqyrë e shkurtër e protokolleve të rrjetit
TCP/IP është një grup i protokolleve të rrjetit përmes të cilave kompjuterët komunikojnë me njëri-tjetrin. Paketa TCP/IP nuk është gjë tjetër veçse pjesë e kodit të softuerit të instaluar në sistemin operativ që ofrojnë akses në këto protokolle. TCP/IP është një standard, kështu që aplikacionet TCP/IP në një makinë Windows duhet të komunikojnë me sukses me të njëjtin aplikacion në një makinë UNIX. Në ditët e para të rrjeteve, në vitin 1983, inxhinierët zhvilluan modelin e ndërlidhjes OSI me shtatë shtresa për të përshkruar proceset e rrjeteve kompjuterike, nga kablloja në aplikacion. Modeli OSI përbëhet nga shtresa fizike, lidhja e të dhënave, rrjeti, transporti, sesioni dhe shtresat e aplikacionit. Administratorët të cilët vazhdimisht punojnë me internetin dhe TCP/IP kryesisht merren me shtresat e rrjetit, transportit dhe aplikimit, por për diagnostikim të suksesshëm është e nevojshme të njihen shtresat e tjera. Pavarësisht moshës së avancuar të modelit OSI, ai ende përdoret nga shumë specialistë. Për shembull, kur një inxhinier rrjeti flet për çelsat e Layer 1 ose Layer 2, ose një shitës firewall flet për kontrollin e Layer 7, ata flasin për shtresat e përcaktuara në modelin OSI.
Ky artikull flet për portet e rrjetit të vendosura në shtresën 4 - transport. Në paketën TCP/IP, këto porte përdoren nga protokollet TCP dhe UDP. Por, përpara se të hyjmë në detajet e një shtrese, është e rëndësishme t'i hedhim një vështrim të shpejtë shtatë shtresave OSI dhe roleve që ato luajnë në rrjetet moderne TCP/IP.
Shtresat 1 dhe 2: Kabllot fizike dhe adresat MAC
Shtresa 1, fizike, përfaqëson mediumin aktual përmes të cilit kalon sinjali, si kabllo bakri, kabllo me fibër optike ose sinjale radio (në rastin e Wi-Fi). Shtresa 2, lidhja e të dhënave, përshkruan formatin e të dhënave për transmetim në mediumin fizik. Në Layer 2, paketat organizohen në korniza dhe mund të zbatohen funksionet bazë të kontrollit të rrjedhës dhe trajtimit të gabimeve. Standardi IEEE 802.3, i njohur më mirë si Ethernet, është standardi më i zakonshëm i Layer 2 për rrjetet moderne lokale. Një ndërprerës tipik i rrjetit është një pajisje e shtresës 2 përmes së cilës kompjuterë të shumtë lidhen fizikisht dhe shkëmbejnë të dhëna me njëri-tjetrin. Ndonjëherë dy kompjuterë nuk mund të lidhen me njëri-tjetrin edhe pse adresat IP duken se janë të sakta; problemi mund të shkaktohet nga gabimet në cache-in e Protokollit të Rezolucionit të Adresave (ARP), që tregojnë një problem në Shtresën 2. Për më tepër, disa pika aksesi me valë (Access Point, AP) siguron filtrimin e adresës MAC, duke lejuar vetëm adaptorët e rrjetit me një adresë specifike MAC të lidhen me një AP me valë.
Shtresat 3 dhe 4: Adresat IP dhe portat e rrjetit
Shtresa 3, rrjetëzimi, mbështet rrugëzimin. Në TCP/IP, rutimi zbatohet në IP. Adresa IP e paketës i përket Shtresës 3. Ruterat e rrjetit janë pajisje të shtresës 3 që analizojnë adresat IP të paketave dhe i përcjellin paketat në një ruter tjetër ose dërgojnë paketa në kompjuterët lokalë. Nëse një paketë e dyshimtë zbulohet në rrjet, hapi i parë është të kontrolloni adresën IP të paketës për të përcaktuar origjinën e paketës.
Së bashku me shtresën e rrjetit, shtresa 4 (transporti) është një pikënisje e mirë për diagnostikimin e problemeve të rrjetit. Në internet, Shtresa 4 përmban protokollet TCP dhe UDP dhe informacione rreth portit të rrjetit që lidh një paketë me një aplikacion specifik. Stacki i rrjeteve të një kompjuteri përdor një lidhje porti rrjeti TCP ose UDP me një aplikacion për të drejtuar trafikun e rrjetit në atë aplikacion. Për shembull, porta TCP 80 është e lidhur me një aplikacion të serverit në ueb. Ky hartë i porteve në aplikacione njihet si shërbim.
TCP dhe UDP janë të ndryshme. Në thelb, TCP siguron një lidhje të besueshme për komunikimin midis dy aplikacioneve. Përpara se të fillojë komunikimi, të dy aplikacionet duhet të krijojnë një lidhje duke përfunduar procesin e shtrëngimit të duarve TCP me tre hapa. UDP është më shumë një qasje e zjarrit dhe harrimit. Besueshmëria e lidhjes për aplikacionet TCP sigurohet nga protokolli, por aplikacioni UDP duhet të kontrollojë në mënyrë të pavarur besueshmërinë e lidhjes.
Porta e rrjetit është një numër midis 1 dhe 65535 që është i specifikuar dhe i njohur për të dy aplikacionet ndërmjet të cilave po krijohet komunikimi. Për shembull, një klient zakonisht i dërgon një kërkesë të pakriptuar një serveri në një adresë të synuar në portin TCP 80. Në mënyrë tipike, një kompjuter dërgon një kërkesë DNS në një server DNS në një adresë të synuar në portën UDP 53. Klienti dhe serveri kanë një burim dhe adresën IP të destinacionit, dhe portin e rrjetit të burimit dhe destinacionit, të cilat mund të ndryshojnë. Historikisht, të gjithë numrat e porteve nën 1024 quhen "numra portash të njohur" dhe janë të regjistruar në Autoritetin e Numrave të Caktuar në Internet (IANA). Në disa sisteme operative, vetëm proceset e sistemit mund të përdorin porte në këtë gamë. Për më tepër, organizatat mund të regjistrojnë portet 1024 deri në 49151 me IANA për të lidhur portin me aplikacionin e tyre. Ky regjistrim ofron një strukturë që ndihmon në shmangien e konflikteve midis aplikacioneve që përpiqen të përdorin të njëjtin numër porti. Megjithatë, në përgjithësi, nuk ka asgjë që e pengon një aplikacion të kërkojë një port specifik për sa kohë që ai nuk është i zënë nga një program tjetër aktiv.
Historikisht, serveri mund të dëgjonte në porte me numër të ulët dhe klienti mund të niste një lidhje në një port me numër të lartë (mbi 1024). Për shembull, një klient Web mund të hapë një lidhje me një server ueb në portën e destinacionit 80, por të shoqërojë një port burimi të zgjedhur rastësisht, siç është porta TCP 1025. Kur i përgjigjet klientit, serveri i uebit i adreson paketën klientit me burimin porti 80 dhe porta e destinacionit 1025. Kombinimi i një adrese IP dhe portit quhet fole dhe duhet të jetë unike në kompjuter. Për këtë arsye, kur konfiguroni një server ueb me dy ueb sajte të veçanta në të njëjtin kompjuter, duhet të përdorni adresa të shumta IP, si adresa 1:80 dhe adresa 2:80, ose të konfiguroni serverin e uebit që të dëgjojë në porte të shumta rrjeti, si p.sh. si adresa 1:80 dhe adresa 1:81. Disa serverë ueb lejojnë që ueb sajte të shumta të funksionojnë në një port të vetëm duke kërkuar një kokë të hostit, por ky funksion në të vërtetë kryhet nga aplikacioni i serverit të uebit në një shtresë më të lartë 7.
Ndërsa aftësitë e rrjetit u bënë të disponueshme në sistemet operative dhe aplikacionet, programuesit filluan të përdorin numra portash më të lartë se 1024 pa i regjistruar të gjitha aplikacionet në IANA. Duke kërkuar në internet për çdo portë rrjeti, zakonisht mund të gjeni shpejt informacion rreth aplikacioneve që përdorin atë port. Ose mund të kërkoni për Portet e njohura dhe të gjeni shumë sajte që listojnë portet më të zakonshme.
Kur bllokoni aplikacionet e rrjetit në një kompjuter ose zgjidhni gabimet e murit të zjarrit, pjesa më e madhe e punës vjen nga klasifikimi dhe filtrimi i adresave IP të shtresës 3 dhe protokolleve të shtresës 4 dhe porteve të rrjetit. Për të dalluar shpejt midis trafikut të ligjshëm dhe të dyshimtë, duhet të mësoni të njihni 20 më të ato të përdorura gjerësisht në portet TCP dhe UDP të ndërmarrjes.
Mësimi për të njohur dhe për t'u njohur me portet e rrjetit shkon përtej caktimit të rregullave të murit të zjarrit. Për shembull, disa arnime sigurie të Microsoft përshkruajnë se si të mbyllen portat NetBIOS. Kjo masë ndihmon në kufizimin e përhapjes së krimbave që depërtojnë përmes dobësive në sistemin operativ. Njohja se si dhe ku t'i mbyllni këto porte mund të ndihmojë në reduktimin e rreziqeve të sigurisë së rrjetit ndërsa përgatiteni për të vendosur një patch kritik.
Dhe direkt në nivelin 7
Është e rrallë të dëgjosh për Layer 5 (sesion) dhe Layer 6 (prezantim) këto ditë, por Layer 7 (application) është një temë e nxehtë midis shitësve të mureve të zjarrit. Trendi më i ri në muret e zjarrit të rrjetit është inspektimi i shtresës 7, i cili përshkruan teknikat e përdorura për të analizuar se si një aplikacion ndërvepron me protokollet e rrjetit. Duke analizuar ngarkesën e një pakete rrjeti, një mur zjarri mund të përcaktojë nëse trafiku që kalon përmes tij është i ligjshëm. Për shembull, një kërkesë në ueb përmban një deklaratë GET brenda një pakete Layer 4 (porta TCP 80). Nëse muri juaj i zjarrit ka funksionalitetin e Layer 7, mund të verifikoni që deklarata GET është e saktë. Një shembull tjetër është se shumë programe të ndarjes së skedarëve peer-to-peer (P2P) mund të rrëmbejnë portin 80. Si rezultat, një i huaj mund ta konfigurojë programin që të përdorë një port sipas zgjedhjes së tij - ka shumë të ngjarë një port që duhet të lihet i hapur në një mur zjarri të caktuar. Nëse punonjësit e një kompanie kanë nevojë për akses në internet, porti 80 duhet të hapet, por për të dalluar trafikun legjitim të Uebit nga trafiku P2P i drejtuar nga dikush në portin 80, muri i zjarrit duhet të sigurojë kontrollin e shtresës 7.
Roli i murit të zjarrit
Pasi kemi përshkruar shtresat e rrjetit, mund të vazhdojmë të përshkruajmë mekanizmin e komunikimit ndërmjet aplikacioneve të rrjetit përmes mureve të zjarrit, duke i kushtuar vëmendje të veçantë portave të rrjetit të përdorura. Në shembullin e mëposhtëm, një shfletues klienti komunikon me një server në internet në anën tjetër të murit të zjarrit, ashtu si një punonjës i kompanisë do të komunikonte me një server në internet.
Shumica e mureve të zjarrit të internetit funksionojnë në shtresat 3 dhe 4 për të ekzaminuar dhe më pas lejuar ose bllokuar trafikun hyrës dhe dalës të rrjetit. Në përgjithësi, administratori shkruan listat e kontrollit të aksesit (ACL) që përcaktojnë adresat IP dhe portat e rrjetit të trafikut që është i bllokuar ose i lejuar. Për shembull, për të hyrë në ueb, duhet të hapni një shfletues dhe ta drejtoni atë në faqen e internetit. Kompjuteri fillon një lidhje dalëse duke dërguar një sekuencë paketash IP që përbëhen nga informacioni i kokës dhe ngarkesës. Kreu përmban informacione të rrugës dhe atribute të tjera të paketës. Rregullat e murit të zjarrit shpesh shkruhen duke pasur parasysh informacionin e rrugëzimit dhe zakonisht përmbajnë adresat IP të burimit dhe destinacionit (shtresa 3) dhe protokollin e paketës (shtresa 4). Kur shfletoni ueb, adresa IP e destinacionit i përket serverit të uebit dhe protokolli dhe porta e destinacionit (sipas parazgjedhjes) janë TCP 80. Adresa IP e burimit është adresa e kompjuterit nga i cili përdoruesi hyn në ueb dhe burimi porti është zakonisht një numër i caktuar në mënyrë dinamike, më i madh se 1024. Informacioni i dobishëm është i pavarur nga titulli dhe gjenerohet nga aplikacioni i përdoruesit; në këtë rast, është një kërkesë për serverin në ueb që të sigurojë një faqe në internet.
Firewall-i analizon trafikun në dalje dhe e lejon atë sipas rregullave të murit të zjarrit. Shumë kompani lejojnë të gjithë trafikun dalës nga rrjeti i tyre. Kjo qasje thjeshton konfigurimin dhe vendosjen, por zvogëlon sigurinë për shkak të mungesës së kontrollit mbi të dhënat që largohen nga rrjeti. Për shembull, një kalë trojan mund të infektojë një kompjuter në një rrjet biznesi dhe të dërgojë informacion nga ai kompjuter në një kompjuter tjetër në internet. Ka kuptim të krijohen lista të kontrollit të aksesit për të bllokuar informacione të tilla dalëse.
Në kontrast me qasjen dalëse të shumë mureve të zjarrit, shumica janë konfiguruar për të bllokuar trafikun në hyrje. Në mënyrë tipike, muret e zjarrit lejojnë trafikun në hyrje vetëm në dy situata. E para është trafiku që vjen në përgjigje të një kërkese dalëse të dërguar më parë nga përdoruesi. Për shembull, nëse e drejtoni shfletuesin tuaj drejt adresës së një faqeje interneti, muri i zjarrit lejon kodin HTML dhe komponentët e tjerë të faqes në internet të hyjnë në rrjet. Rasti i dytë është mbajtja e një shërbimi të brendshëm në internet, si p.sh. një server poste, ueb ose faqe FTP. Pritja e një shërbimi të tillë zakonisht quhet përkthim porti ose publikim i serverit. Zbatimi i përkthimit të portit ndryshon midis shitësve të mureve të zjarrit, por parimi themelor është i njëjtë. Administratori përcakton një shërbim, të tillë si porta TCP 80 për serverin në ueb dhe një server në fund për të pritur shërbimin. Nëse paketat hyjnë në murin e zjarrit përmes ndërfaqes së jashtme që korrespondon me këtë shërbim, atëherë mekanizmi i përkthimit të portit i përcjell ato në një kompjuter specifik në rrjetin e fshehur pas murit të zjarrit. Përkthimi i portit përdoret në lidhje me shërbimin NAT të përshkruar më poshtë.
Bazat e NAT
Me NAT, kompjuterë të shumtë në një kompani mund të ndajnë një hapësirë të vogël adresash IP publike. Serveri DHCP i një kompanie mund të ndajë një adresë IP nga një prej blloqeve të adresave IP private, të padrejtuara nga Interneti, të përcaktuar në Kërkesa për komente (RFC) nr. 1918. Shumë kompani mund të ndajnë gjithashtu të njëjtën hapësirë adresash IP private. Shembuj të nënrrjetave IP private janë 10.0.0.0/8, 172.16.0.0/12 dhe 192.168.0.0/16. Ruterat e internetit bllokojnë çdo paketë të drejtuar në një nga adresat private. NAT është një veçori e murit të zjarrit që lejon kompanitë që përdorin adresa IP private të komunikojnë me kompjuterë të tjerë në internet. Firewall-i di se si të përkthejë trafikun hyrës dhe dalës në adresat IP të brendshme private, në mënyrë që çdo kompjuter të mund të hyjë në internet.
Në Fig. Figura 1 tregon një lidhje bazë NAT midis një klienti dhe një serveri në internet. Në Fazën 1, trafiku i drejtuar në internet nga një kompjuter në rrjetin e korporatës hyn në ndërfaqen e brendshme të murit të zjarrit. Firewall merr paketën dhe bën një hyrje në tabelën e përcjelljes së lidhjes, e cila kontrollon përkthimin e adresës. Më pas, muri i zjarrit zëvendëson adresën e burimit privat të paketës me adresën e tij IP të jashtme publike dhe e dërgon paketën në destinacionin e saj në internet (hapi 2). Kompjuteri i destinacionit merr paketën dhe ia përcjell përgjigjen murit të zjarrit (hapi 3). Pasi muri i zjarrit të marrë këtë paketë, ai kërkon burimin e paketës origjinale në tabelën e përcjelljes së lidhjes, zëvendëson adresën IP të destinacionit me adresën IP private përkatëse dhe e përcjell paketën te kompjuteri burimor (hapi 4). Për shkak se muri i zjarrit dërgon paketa në emër të të gjithë kompjuterëve të brendshëm, ai ndryshon portin e rrjetit burimor dhe ky informacion ruhet në tabelën e përcjelljes së lidhjes së murit të zjarrit. Kjo është e nevojshme për të siguruar që prizat dalëse të mbeten unike.
Është e rëndësishme të kuptohet se si funksionon NAT sepse NAT ndryshon adresën IP dhe portat e rrjetit të paketave të trafikut. Ky kuptim ndihmon në diagnostikimin e defekteve. Për shembull, bëhet e qartë pse i njëjti trafik mund të ketë adresa IP të ndryshme dhe porte rrjeti në ndërfaqet e jashtme dhe të brendshme të murit të zjarrit.
Së pari themeli, pastaj struktura
Të kuptuarit e parimeve bazë të rrjetit nga aplikacioni, muri i zjarrit dhe anët e portit nuk është vetëm për inxhinierët e rrjetit. Sot, është e rrallë të gjesh një sistem kompjuterik që nuk është i lidhur me një rrjet, madje edhe administratorët e sistemit mund t'i zgjidhin problemet e tyre shumë më lehtë duke kuptuar të paktën bazat e përdorimit të portave të rrjetit për të komunikuar aplikacionet përmes Internetit.
Pjesa e dytë e artikullit do të shikojë mjetet për zbulimin e aplikacioneve në rrjet duke analizuar portat e rrjetit të përfshirë. Për të gjetur aplikacione që hapin portat e dëgjimit dhe janë të aksesueshme përmes rrjetit, kompjuteri anketohet në rrjet (skanimi i portit) dhe në nivel lokal (skanimi i hostit). Për më tepër, duke parë regjistrat e murit të zjarrit, mund të ekzaminoni trafikun e rrjetit që kalon kufirin e rrjetit dhe të shikoni portat e ndryshme të rrjetit të përdorura nga aplikacionet Windows dhe UNIX.
Një port në rrjetet kompjuterike është pika përfundimtare e komunikimit në OS. Ky term vlen edhe për pajisjet harduerike, por në softuer i referohet një konstrukti logjik që identifikon një lloj shërbimi ose procesi specifik. Një port shoqërohet gjithmonë me adresën IP të hostit ose llojin e protokollit të komunikimit. Ai përfundon caktimin e adresës së sesionit. Një port identifikohet për çdo protokoll dhe adresë duke përdorur një numër 16-bit, i njohur gjithashtu si një numër porti. Shpesh numrat specifikë të portit përdoren për të identifikuar shërbime specifike. Nga disa mijëra të listuara, 1024 numra të njohur mbrohen me një marrëveshje të veçantë. Ata përcaktojnë lloje specifike të shërbimeve në host. Protokollet që përdorin kryesisht porte përdoren për të kontrolluar proceset. Një shembull është Protokolli i Kontrollit të Transmisionit (TCP) ose Protokolli i të Dhënave të Përdoruesit nga grupi i protokolleve të Internetit.
Kuptimi
Portat TCP nuk nevojiten mbi lidhjet e drejtpërdrejta pikë-për-pikë ku kompjuterët në çdo skaj mund të ekzekutojnë vetëm një program në të njëjtën kohë. Nevoja për to lindi pasi këto makina doli të ishin të afta të ekzekutonin më shumë se një program në të njëjtën kohë. Ata e gjetën veten të lidhur me rrjetet moderne të ndërrimit të paketave. Në modelin e arkitekturës klient-server, portat, aplikacionet dhe klientët e rrjetit janë të lidhura për të nisur shërbimin. Ato ofrojnë shërbime multipleksimi pasi shkëmbimi fillestar i informacionit shoqërohet me një numër porti. Ai lëshohet duke kaluar çdo shembull të shërbimit të kërkesës në një linjë të dedikuar. Bëhet një lidhje me një numër specifik. Falë kësaj, klientët shtesë mund të shërbehen pa asnjë pritje.
Detajet
Protokollet e transferimit të të dhënave UDP dhe TCP përdoren për të treguar destinacionin dhe numrin e portës së burimit në titujt e tyre të segmentit. Numri i portit është një numër 16-bitësh i panënshkruar. Mund të variojë nga 0 deri në 65535. Megjithatë, portat TCP nuk mund të përdorin numrin 0. Për UDP, porta burimore nuk kërkohet. Një vlerë e barabartë me zero nënkupton mungesën e saj. Ky proces lidh kanalet hyrëse ose dalëse duke përdorur një protokoll transporti, numrin e portit dhe adresën IP përmes një prize interneti. Ky proces njihet edhe si detyrues. Bën të mundur marrjen dhe transmetimin e informacionit përmes rrjetit. Softueri i rrjetit të sistemit operativ përdoret për të transmetuar të dhëna dalëse nga të gjitha portat e aplikacionit në rrjet. Ai gjithashtu përcjell paketat hyrëse të rrjetit duke përputhur numrin dhe adresën IP. Vetëm një proces mund të lidhet me një adresë IP specifike dhe kombinim porti duke përdorur të njëjtin protokoll transporti. Ndërprerjet e aplikacionit, të quajtura gjithashtu përplasje të aplikacioneve, ndodhin kur shumë programe përpiqen të komunikojnë me të njëjtat numra portash në të njëjtën adresë IP duke përdorur të njëjtin protokoll.
Si përdoren?
Aplikacionet që zbatojnë shërbime të përbashkëta shpesh përdorin një listë të rezervuar dhe të njohur posaçërisht të porteve UDP dhe TCP për të pranuar kërkesat e shërbimit të klientit. Ky proces njihet edhe si dëgjim. Ai përfshin marrjen e një kërkese nga një port i njohur dhe vendosjen e një bisede të njëpasnjëshme midis klientit dhe serverit duke përdorur të njëjtin numër porti lokal. Klientë të tjerë mund të vazhdojnë të lidhen. Kjo është e mundur sepse një lidhje TCP identifikohet si një zinxhir që përbëhet nga porta dhe adresa lokale dhe të largëta. Portat standarde UDP dhe TCP mund të përcaktohen me marrëveshje nën kontrollin e IANA-s ose Autoritetit të Numrave të Caktuar në Internet. Në mënyrë tipike, shërbimet e rrjetit bazë, veçanërisht World Wide Web, përdorin numra të vegjël portash, më pak se 1024. Në shumë sisteme operative, aplikacionet kërkojnë privilegje të veçanta për t'u lidhur me to. Për këtë arsye, ato shpesh konsiderohen kritike për funksionimin e rrjeteve IP. Klienti fundor i lidhjes, nga ana tjetër, tenton të përdorë një numër më të madh të tyre, të ndara për përdorim afatshkurtër. Për këtë arsye ekzistojnë të ashtuquajturat porte kalimtare.
Struktura
Portat TCP janë të koduara në kokën e paketës së paketës së transportit. Ato mund të interpretohen lehtësisht jo vetëm nga PC-të marrës dhe transmetues, por edhe nga komponentët e tjerë të infrastrukturës së rrjetit. Firewall-et në veçanti janë konfiguruar në mënyrë tipike për të bërë dallimin midis paketave bazuar në numrat e portit të destinacionit dhe burimin e tyre. Një shembull klasik i kësaj është ridrejtimi. Përpjekja për t'u lidhur në mënyrë sekuenciale me një sërë portash në të njëjtin kompjuter njihet gjithashtu si skanimi i porteve. Procedura të tilla zakonisht shoqërohen ose me përpjekje me qëllim të keq dështimi ose me faktin që administratorët e rrjetit po kërkojnë në mënyrë specifike për dobësitë e mundshme për të parandaluar sulme të tilla. Veprimet që synojnë hapjen e një porti TCP regjistrohen dhe kontrollohen duke përdorur kompjuterë. Kjo teknikë përdor një numër lidhjesh të tepërta për të siguruar komunikim të pandërprerë me serverin.
Shembuj të përdorimit
Shembulli kryesor në të cilin portet UDP dhe TCP përdoren në mënyrë aktive është sistemi i postës në Internet. Serveri përdoret për të punuar me email. Në përgjithësi ka nevojë për dy shërbime. Shërbimi i parë përdoret për transport me email dhe nga serverë të tjerë. Kjo arrihet duke përdorur protokollin e thjeshtë të transferimit të postës (SMTP). Aplikacioni i shërbimit SMTP zakonisht dëgjon në portën TCP numër 25 për të përpunuar kërkesat hyrëse. Një tjetër shërbim është POP ose IMAP. Ato kërkohen për aplikacionet e klientëve të postës elektronike në makinat e përdoruesve në mënyrë që të marrin mesazhe me email nga serveri. Shërbimet POP dëgjojnë numra në portën TCP 110. Të gjitha shërbimet e mësipërme mund të ekzekutohen në të njëjtin kompjuter pritës. Numri i portit, kur ndodh kjo, dallon shërbimin e kërkuar nga pajisja në distancë. Nëse numri i portës së dëgjimit të serverit përcaktohet saktë, ky parametër për klientin përcaktohet nga diapazoni dinamik. Klientët dhe serveri veçmas në disa raste përdorin porte specifike TCP që janë caktuar në IANA. Një shembull i mirë është DHCP. Këtu klienti në çdo rast përdor UDP 68, dhe serveri përdor UDP 67.
Përdorimi në URL
Ndonjëherë numrat e porteve janë qartë të dukshëm në internet ose në gjetës të tjerë uniformë të burimeve, të tilla si URL-të. HTTP si parazgjedhje përdor portën TCP 80 dhe HTTPS përdor portën 443. Ka edhe variacione të tjera. Kështu, për shembull, URL http://www.example.com:8080/path tregon se shfletuesi i internetit po lidhet me 8080 në vend të një serveri HTTP.
Lista e porteve UDP dhe TCP
Siç u përmend më herët, IANA, ose Autoriteti i Numrave i caktuar nga InternetA, është përgjegjës për koordinimin global të DNS-Root, adresimit IP dhe burimeve të tjera të Protokollit të Internetit. Këto procedura përfshijnë regjistrimin e porteve të përdorura shpesh për shërbimet e njohura të internetit. Të gjithë numrat e porteve ndahen në tre vargje: të njohura, të regjistruara dhe private ose dinamike. Portet e njohura janë ato me numra nga 0 deri në 1023. Quhen edhe porta të sistemit. Kërkesat për vlerat e reja në këtë gamë janë më të rrepta se sa për regjistrimet e tjera.
Shembuj
Shembuj të porteve në listën e njohur përfshijnë:
- Porta TCP 443 – HTTPS;
- 21 – Protokolli i Transferimit të Dosjeve;
- 22- Predha e sigurt;
- 25 – protokoll i thjeshtë i transferimit të postës STMP;
- 53 – sistemi i emrave të domain DNS;
- 119 – Protokolli i Transferimit të Lajmeve të Rrjetit ose NNTP;
- 80 – Protokolli i transferimit të hipertekstit HTTP;
- 143 – Protokolli i Aksesit të Mesazheve në Internet;
- 123 – protokolli i kohës së rrjetit NTP;
- 161 - protokoll i thjeshtë i menaxhimit të rrjetit SNMP.
Portet e regjistruara duhet të kenë numra nga 1024 deri në 49151. Autoriteti i Numrave të Caktuar në Internet mban një listë zyrtare të të gjitha diapazoneve të njohura dhe të regjistruara. Portat e frekuencës ose dinamike variojnë nga 29152 në 65535. Një përdorim i këtij diapazoni janë portet e përkohshme.
Historia e krijimit
Koncepti i numrave të portit u zhvillua nga krijuesit e hershëm të ARPANET. Ai u zhvillua përmes bashkëpunimit joformal midis autorëve të softuerit dhe administratorëve të sistemit. Në atë kohë, termi "numri i portit" nuk ishte përdorur ende. Sekuenca e numrave të hostit në distancë ishte një numër 40-bitësh. 32 bitët e parë i ngjanin adresës së sotme IPv4. Më të rëndësishmet ishin 8 bitet e para. Pjesa më pak e rëndësishme e numrit (këto janë bit 33 deri në 40) caktoi një objekt të quajtur AEN. Ishte një prototip i numrit modern të portit. Krijimi i një drejtorie numrash prizë u propozua për herë të parë më 26 mars 1972. Më pas u thirrën administratorët e rrjetit që të përshkruanin çdo numër fiks për sa i përket shërbimeve të rrjetit dhe funksioneve të tij. Ky katalog u botua më pas si RFC 433 në dimrin e 1972. Ai përfshinte një listë të hosteve, numrat e porteve të tyre dhe funksionin përkatës të përdorur në secilën nyje në rrjet. Vlerat e para zyrtare të numrit të portit u dokumentuan në maj 1972. Në të njëjtën kohë, u propozua një funksion i veçantë administrativ për mbajtjen e këtij regjistri. Lista e parë e porteve TCP përfshinte 256 vlera AEN. Ato u ndanë në intervalet e mëposhtme:
— nga 0 në 63 – funksionet standarde të të gjithë rrjetit;
— nga 64 në 127 – funksione specifike të hostit;
— nga 128 në 239 – funksionet e rezervuara për përdorim në të ardhmen;
- nga 240 në 255 - çdo funksion eksperimental.
Termi AEN, në ditët e para të ARPANET, i referohej gjithashtu emrit të prizës që përdorej me protokollin origjinal të lidhjes dhe komponentin e programit të menaxhimit të rrjetit, ose NCP. Në këtë rast, NCP përfaqësonte pararendësin e protokolleve moderne të internetit që përdorin portet TCP/IP.
Artikujt më të mirë mbi këtë temë