Todos usamos Internet, nos sentamos en lo social. redes, ver películas en línea, leer noticias e incluso hacer compras. ¿Pero todos saben cómo funciona Internet y de dónde viene? Te lo diré ahora.
Resumen:
- Los proveedores de Internet transfieren Internet entre ellos al usuario final.
- El proveedor nos da las direcciones IP.
- Servidor DNS y su papel en nuestras vidas.
- Nuestro tráfico pasa por filtros de policía que ejecutan vigilancia patrocinada por el estado. Complejos SORM
- El dispositivo y el funcionamiento del servidor NAT, como se encuentran en nuestros enrutadores y el proveedor. De esta manera, comparten el tráfico entre nosotros. Por lo tanto, nuestro enrutador comparte el tráfico entre la PC, la computadora portátil y el teléfono inteligente.
- Modelo de red OSI.
- Enrutamiento de paquetes
Los proveedores nos proporcionan Internet, o más bien los proveedores de tercer nivel que organizan redes locales y brindan servicios de conexión, firman un acuerdo con proveedores de nivel 2; estos suelen ser operadores "nacionales" a nivel de país o grupo de países de la región (un ejemplo vívido es Rostelecom o Transtelecom, que tienen su propia conectividad a través del CIS), y aquellos que, a su vez, reciben Internet de proveedores de primer nivel, estos son aquellos en los que se admite Internet, es decir, operadores globales intercontinentales con ventas al por mayor Coy (su habitual) en el fondo de los océanos y los terabits de tráfico. Soportan gastos máximos y tienen ingresos máximos. Por lo general, trabajan con clientes a través de operadores de nivel inferior, pero en casos excepcionales (generalmente de cientos de megabits) venden tráfico directamente.
Concluimos un acuerdo con el proveedor, después de lo cual nos da un canal correspondiente a la tarifa seleccionada, asignado a nuestro acuerdo, junto con todos los datos sin los cuales el proveedor no tiene derecho a proporcionarnos Internet. Al conectar la máquina a Internet, el servidor DHCP del proveedor a menudo nos da direcciones IP IPv6 globales dinámicas (si no solicitó direcciones IP estáticas).
Para que sirve
La dirección IP permite que otras computadoras en la red se comuniquen con la suya. Enviar mensajes, compartir archivos, etc. Aunque, de hecho, no es tan simple como parece a primera vista.
Puede ser local y global. Una dirección local es emitida, por ejemplo, por un enrutador.
Adelante, Internet se distribuye desde un canal grande entre suscriptores, se implementa a través de un enrutador y un servidor NAT (enmascarado), es decir, cuando el tráfico pasa a través de un canal grande a un suscriptor, va al enrutador, que reemplaza la dirección del paquete sobre la marcha con la dirección de la máquina , de donde vino la solicitud, también en la dirección opuesta.
Visitamos el sitio, pero ¿cómo se organiza todo bajo el capó?
Todos los sitios están ubicados en servidores, los servidores === son computadoras que tienen suficiente potencia para responder a todas las solicitudes y tienen un sistema operativo de servidor especial, principalmente Linux (ubuntu, debian, centOS), en el que se ejecuta el servidor. El servidor se inicia utilizando un software diseñado específicamente para alojar sitios. Esto es principalmente Apache o Nginx. Las computadoras no tienen una interfaz gráfica debido a consideraciones de ahorro de recursos. Todo el trabajo se realiza desde la línea de comando.
Dichos servidores están ubicados en centros de datos especiales, disponibles en cada país y región para varias piezas. Están muy bien vigilados y su trabajo es monitoreado por especialistas experimentados que también están bien monitoreados.
Entonces, el servidor se está ejecutando, el sitio está funcionando, pero eso no es todo. Como dije, todas las computadoras tienen sus propias direcciones, locales y globales, y el sitio tiene una dirección de 128 bits, pero ¿no nos pondremos en contacto con él en esta dirección difícil de recordar? Aquí eso también funciona DNS. Este sistema registra direcciones en su base de datos y les asigna un nombre corto, por ejemplo google.ru.
El sistema de nombres de dominio ya funciona con nombres completos (se permiten letras latinas, números, guiones y guiones bajos durante su formación). Son mucho más fáciles de recordar, llevan una carga semántica y es más fácil operar con ellos, en lugar de 209.185.108.134 escribimos google.ru en la barra de direcciones.
Los sistemas DNS están disponibles en enrutadores y proveedores, que pueden sustituir direcciones si hay datos más relevantes disponibles.
SORM
Aprendimos que Internet nos brinda un proveedor, respectivamente, el tráfico lo atraviesa. Aquí es donde entra el estado, exigiendo la vigilancia de los usuarios de Internet. Instalan complejos de sistemas SORM en el proveedor, los conectan al conmutador y el tráfico los atraviesa. Estos sistemas filtran paquetes, visitas al sitio y Dios sabe qué más. También tienen acceso a la base de datos del proveedor. Dependiendo del tipo de sistema, recopila tanto el tráfico de un individuo como de todos en general.
En otros países, ¿también están monitoreando a los ciudadanos?
Sí lo son. Existen sistemas similares en otros países: en Europa: interceptación legal (LI), certificada por ETSI, en EE. UU., CALEA (Ley de asistencia de comunicaciones para la aplicación de la ley). La diferencia de nuestro SORM está en el monitoreo de la ejecución de funciones. En Rusia, a diferencia de Europa y Estados Unidos, los oficiales de FSB deben tener una orden judicial válida, pero pueden conectarse al equipo SORM sin presentar una orden judicial al operador.
Y ahora los detalles técnicos:Dirección IP : una dirección de red única de un nodo en una red informática basada en la pila de protocolos TCP / IP.
En la versión 6, la dirección IP (IPv6) es de 128 bits. Dentro de la dirección, el separador es dos puntos (por ejemplo, 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334). Se permite omitir los ceros iniciales en el registro. Se pueden omitir cero grupos seguidos, se colocan dos puntos dobles en su lugar (fe80: 0: 0: 0: 0: 0: 0: 1 se puede escribir como fe80 :: 1). No se permite más de un pase en la dirección.
DHCP (Protocolo de configuración dinámica de host) es un protocolo de red que permite a las computadoras obtener automáticamente la dirección IP y otros parámetros necesarios para trabajar en una red TCP / IP. Este protocolo funciona de acuerdo con el modelo cliente-servidor. Para la configuración automática, la computadora cliente en la etapa de configuración del dispositivo de red accede al llamado servidor DHCP y recibe de él los parámetros necesarios. El administrador de red puede especificar el rango de direcciones distribuidas por el servidor entre las computadoras. Esto evita la configuración manual de las computadoras en red y reduce los errores. DHCP se usa en la mayoría de las redes TCP / IP.
DHCP es una extensión del protocolo BOOTP que se utilizó anteriormente para proporcionar estaciones de trabajo sin disco con direcciones IP cuando se inician. DHCP mantiene la compatibilidad con versiones anteriores de BOOTP.
Puertos DHCP - 67 - servidor, 68 - cliente.
El protocolo principal en Internet es TCP:
TCP / IP : un modelo de red para transmitir datos presentados en forma digital. El modelo describe un método para transmitir datos desde una fuente de información a un destinatario. El modelo supone el paso de información a través de cuatro niveles, cada uno de los cuales se describe mediante una regla (protocolo de transmisión). Los conjuntos de reglas que resuelven el problema de la transferencia de datos constituyen una pila de protocolos de transferencia de datos en los que se basa Internet. El nombre TCP / IP proviene de los dos protocolos familiares más importantes: el Protocolo de control de transmisión (TCP) y el Protocolo de Internet (IP), que se desarrollaron y describieron por primera vez en este estándar. También ocasionalmente conocido como el modelo del Departamento de Defensa (DOD) debido a su descendencia histórica de la red ARPANET desde la década de 1970 (administrado por DARPA, Departamento de Defensa de los EE. UU.)
Puerto HTTP TCP - 80, SMTP - 25, FTP - 21.
SORM
Además, los proveedores han instalado complejos para la recopilación de datos. En Rusia, se trata de piensos, en otros países: complejos similares, solo con un nombre y un fabricante diferentes.
IS SORM-3 es un complejo de software y hardware para recopilar, acumular y almacenar información sobre suscriptores de operadores de telecomunicaciones, información estática sobre los servicios prestados y pagos. El acceso a la información almacenada en el sistema se proporciona a los empleados autorizados de los organismos estatales durante el ORM en las redes de operadores de telecomunicaciones a través de la integración con el centro de control estándar del departamento regional del FSB de Rusia.
No mostraré esquemas complejos, estoy seguro de que nadie los necesita. Solo puedo decir que se conectan al conmutador (snr 4550).
Conmutador de red : un dispositivo diseñado para conectar varios nodos de una red informática dentro de uno o más segmentos de red. El conmutador funciona en el nivel del canal (segundo) del modelo OSI. Los conmutadores se diseñaron utilizando tecnología de puente y a menudo se consideran puentes de múltiples puertos. Los enrutadores se utilizan para conectar varias redes en función de la capa de red (nivel 3 de OSI).
Un enrutador es una computadora especializada que reenvía paquetes entre diferentes segmentos de red según las reglas y las tablas de enrutamiento. Un enrutador puede conectar redes heterogéneas de diferentes arquitecturas. Para tomar decisiones sobre el reenvío de paquetes, se utiliza información sobre la topología de la red y ciertas reglas establecidas por el administrador.
Se practica ampliamente dividir una red basada en IP en segmentos lógicos o subredes lógicas. Para hacer esto, a cada segmento se le asigna un rango de direcciones, que se especifica mediante la dirección de red y la máscara de red. Por ejemplo (en el registro CIDR):
- 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, etc. - hasta 254 nodos en cada segmento
- 192.168.0.0/25, 192.168.128.0/26, 192.168.172.0/27 - en segmentos de hasta 126, 62, 30 nodos, respectivamente.
La tarea principal de SORM es garantizar la seguridad del estado y sus ciudadanos, lo que se logra mediante el control selectivo de la información que se escucha. El desarrollo de SORM se lleva a cabo de acuerdo con las órdenes del Comité Estatal de Comunicaciones, el Ministerio de Comunicaciones y el Gobierno de la Federación de Rusia, cuyo objetivo es obligar a los operadores de telecomunicaciones "a proporcionar organismos estatales autorizados que participen en actividades de búsqueda operativa o garantizar la seguridad de la Federación Rusa, información sobre los usuarios de los servicios de comunicación y los servicios de comunicación prestados a ellos, así como otros información necesaria para cumplir con las tareas asignadas a estos organismos en los casos establecidos por las leyes federales ".
SORM-2 : este es un sistema para rastrear a los usuarios de Internet rusos. Es un dispositivo (servidor) que está conectado al equipo del proveedor (operador de telecomunicaciones). El proveedor solo lo incluye en su red y no conoce los objetivos y métodos de escucha, los servicios especiales están involucrados en la gestión.
SORM-3 : ¿qué hay de nuevo?
El objetivo principal de SORM-3 es obtener la información más completa sobre el usuario, no solo en tiempo real, sino también durante un cierto período (hasta 3 años). Si SORM-1 y SORM-2 interceptan información del usuario, entonces SORM-3 no contiene dicha información, sino que solo almacena estadísticas, la almacena y crea el perfil de una persona en Internet. Para acumular tales volúmenes de datos, se utilizarán grandes sistemas de almacenamiento, así como sistemas de inspección profunda de paquetes para filtrar el exceso de información (películas, música, juegos), que no contiene información útil para las agencias de aplicación de la ley.
Adelante, Internet se distribuye desde un canal grande entre suscriptores, se implementa a través de un enrutador y un servidor
NAT (enmascarado), es decir, cuando el tráfico pasa a través de un canal grande a un suscriptor, va al enrutador, que reemplaza la dirección del paquete sobre la marcha con la dirección de la máquina de donde vino la solicitud.
NAT es un mecanismo en las redes TCP / IP que traduce las direcciones IP de los paquetes de tránsito. También llamado IP Masquerading, Network Masquerading y Native Address Translation.
La traducción de direcciones mediante NAT se puede realizar con casi cualquier dispositivo de enrutamiento: un enrutador [1], un servidor de acceso y un firewall. El más popular es SNAT, cuya esencia es reemplazar la dirección de origen (origen) cuando el paquete pasa en una dirección e invertir la dirección de destino (destino) en el paquete de respuesta. Junto con las direcciones de origen / destino, también se pueden reemplazar los números de puerto de origen y destino.
Al recibir el paquete de la computadora local, el enrutador mira la dirección IP de destino. Si se trata de una dirección local, el paquete se reenvía a otra computadora local. De lo contrario, el paquete debe enviarse a Internet. Pero la dirección de retorno en el paquete indica la dirección local de la computadora, a la que no se podrá acceder desde Internet. Por lo tanto, el enrutador "sobre la marcha" traduce (reemplaza) la dirección IP de retorno del paquete a su dirección IP externa (visible desde Internet) y cambia el número de puerto (para distinguir los paquetes de respuesta dirigidos a diferentes computadoras locales). El enrutador necesita la combinación necesaria para la sustitución hacia atrás en su tabla temporal. Algún tiempo después de que el cliente y el servidor terminen de intercambiar paquetes, el enrutador eliminará el registro en el enésimo puerto de su tabla desde la fecha de vencimiento.
Además del NAT de origen (que proporciona a los usuarios una red local con direcciones de acceso a Internet internas), el NAT de destino también se usa a menudo cuando un firewall transmite llamadas externas a la computadora de un usuario en una red local que tiene una dirección interna y, por lo tanto, no es accesible directamente desde el exterior (sin NAT).
Hay 3 conceptos básicos de traducción de direcciones: estático (traducción de direcciones de red estática), dinámico (traducción de direcciones dinámicas), enmascarado (NAPT, sobrecarga de NAT, PAT).
NAT estática : asignación de una dirección IP no registrada a una dirección IP registrada de forma individual. Especialmente útil cuando el dispositivo debe ser accesible desde fuera de la red.
NAT dinámica : muestra una dirección IP no registrada en una dirección registrada de un grupo de direcciones IP registradas. Dynamic NAT también establece una asignación directa entre direcciones no registradas y registradas, pero la asignación puede variar según la dirección registrada disponible en el grupo de direcciones durante la comunicación.
NAT congestionado (NAPT, NAT Overload, PAT, masquerading) es una forma de NAT dinámica que asigna múltiples direcciones no registradas a una sola dirección IP registrada utilizando diferentes puertos. También conocido como PAT (Port Address Translation). Cuando se sobrecarga, cada computadora de la red privada se traduce a la misma dirección, pero con un número de puerto diferente. El mecanismo NAT se define en RFC 1631, RFC 3022.
Tipos de NAT
Una clasificación NAT que se encuentra comúnmente en conexión con VoIP. [2] El término "conexión" se utiliza para significar "intercambio en serie de paquetes UDP".
NAT simétrica ( NAT simétrica): difusión, en la que cada conexión iniciada por un par de "dirección interna: puerto interno" se convierte en un par de "dirección pública: puerto público" único, seleccionado aleatoriamente. Sin embargo, no es posible iniciar una conexión desde la red pública. [fuente no especificada 856 días
Cone NAT, Full Cone NAT - Traducción inequívoca (mutua) entre los pares "dirección interna: puerto interno" y "dirección pública: puerto público". Cualquier host externo puede iniciar una conexión con el host interno (si lo permiten las reglas del firewall).
Cono de dirección restringida NAT, cono de restricción restringida - Transmisión permanente entre el par "dirección interna: puerto interno" y "dirección pública: puerto público". Cualquier conexión iniciada desde una dirección interna le permite recibir paquetes desde cualquier puerto del host público al que envió paquetes anteriormente.
NAT de cono restringido a puerto : traducción entre el par "dirección interna: puerto interno" y "dirección pública: puerto público", en el que los paquetes entrantes van al host interno desde un solo puerto del host público, al que el host interno ya ha enviado el paquete.
Los beneficios
NAT realiza tres funciones importantes:
Guarda las direcciones IP (solo cuando se usa NAT en modo PAT) al traducir múltiples direcciones IP internas a una dirección IP pública externa (o varias, pero menos que las internas). La mayoría de las redes en el mundo se basan en este principio: 1 dirección IP pública (externa) se asigna a un área pequeña de la red doméstica u oficina del proveedor local, para lo cual las interfaces con direcciones IP privadas (internas) funcionan y acceden.
Le permite evitar o limitar el acceso desde el exterior a los hosts internos, dejando la posibilidad de acceso desde el interior hacia el exterior. Cuando se inicia una conexión desde la red, se crea una transmisión. Los paquetes de respuesta procedentes del exterior corresponden a la difusión creada y, por lo tanto, se omiten. Si para los paquetes que llegan desde el exterior, la traducción correspondiente no existe (y se puede crear cuando se inicia la conexión o es estática), no se omiten.
Le permite ocultar ciertos servicios internos de hosts / servidores internos. De hecho, la misma traducción anterior se realiza en un puerto específico, pero es posible reemplazar el puerto interno del servicio registrado oficialmente (por ejemplo, el puerto TCP 80 (servidor HTTP) al 54055 externo). Por lo tanto, desde el exterior, en la dirección IP externa después de traducir las direcciones al sitio web (o foro) para visitantes conocedores, será posible llegar a example.org : 54055, pero en el servidor interno ubicado detrás de NAT, funcionará en el número 80 habitual. El puerto. Mejora de la seguridad y ocultación de recursos "no públicos".
Desventajas
Protocolos antiguos Los protocolos desarrollados antes de la adopción masiva de NAT no pueden funcionar si hay traducción de direcciones entre los hosts que interactúan. Algunos cortafuegos que traducen direcciones IP pueden corregir este inconveniente al reemplazar adecuadamente las direcciones IP no solo en los encabezados IP, sino también en niveles superiores (por ejemplo, comandos de protocolo FTP). . Application-level gateway.
. - « » .
DoS-. NAT , DoS- ( ). , ICQ NAT - . ( ), .
. NAT-, Universal Plug & Play, , (. -) , , .
NAT . port forwarding, iptables, — . NAT.
Static NAT , , IP ( «» ) , , , .
Es decir 1-1 ( IP ). .
, , . , , , , ( , - ) IP , . , google.com , : IP (DNS ) … .
, , !
?
, , , DNS , , . . google.com:80 , , ":80" .
, , : IP , .
NAT , .. . , .
, IP — , — . , , , .
NAT
, IP 87.123.41.11, 87.123.41.12, 87.123.41.13, 87.123.41.14, . , , (87.123.41.11), ( 1 — .12, 2 — .13, 3 — .14).
, IP . , 87.123.41.12, 1 , (192.168.1.2). NAT .
:
:
NAT . , , , . , IP , «».
Es decir , , , , - - ( NAT).
/ , NAT .
, , , - .
Los enrutadores de proveedores tienen una tabla de enrutamiento : una hoja de cálculo (archivo) o una base de datos almacenada en un enrutador o computadora de red que describe la correspondencia entre las direcciones de destino y las interfaces a través de las cuales debe enviarse un paquete de datos al siguiente enrutador , selecciona las mejores rutas de capa de transporte para sus paquetes desde el servidor a su PC o teléfono inteligente. ¿Recuerdas nuestro OSI favorito?Nivel de transporte (. transport layer) . . , , (, ), , , , . , UDP , ; TCP , , , , .
El enrutador selecciona la mejor ruta y la guarda en el nombre del paquete, luego el paquete actúa en la ruta especificada.La ruta es una secuencia de direcciones de red de nodos de red que el enrutador ha seleccionado según su tabla como la más corta entre el automóvil y el servidor.Por lo tanto, todos los paquetes tienen una vida útil, en caso de que se pierdan:Concepto TTL
, 5 . : «, ». . «, ». . , , , -, -, ( ) . TTL (Time To Live), , «**» . , ( – « »), , . icmp- « ».