Nous utilisons tous Internet - nous sommes assis sur le social. réseaux, regarder des films en ligne, lire des nouvelles et même faire des achats. Mais tout le monde sait-il comment fonctionne Internet et d'où il vient? Je vais te le dire maintenant.
Résumé:
- Les fournisseurs d'accès à Internet transfèrent Internet entre eux à l'utilisateur final.
- Le fournisseur nous donne des adresses IP.
- Serveur DNS et son rôle dans nos vies.
- Notre trafic passe par des filtres de flic qui exécutent une surveillance parrainée par l'État. Complexes SORM
- L'appareil et le fonctionnement du serveur NAT, tels sont dans nos routeurs et le fournisseur. De cette façon, ils partagent le trafic entre nous. Ainsi, notre routeur partage le trafic entre le PC, l'ordinateur portable et le smartphone.
- Modèle de réseau OSI.
- Routage de paquets
Internet nous est fourni par des fournisseurs, ou plutôt des fournisseurs de troisième niveau qui organisent des réseaux locaux et fournissent des services de connexion, ils concluent un accord avec des fournisseurs de niveau 2 - ce sont généralement des opérateurs «nationaux» au niveau du pays ou d'un groupe de pays de la région (un exemple frappant est Rostelecom ou Transtelecom, qui ont leur propre connectivité à travers la CEI) - et ceux-ci, à leur tour, reçoivent Internet de fournisseurs de premier niveau - ce sont ceux sur lesquels l'Internet est pris en charge, c'est-à-dire les opérateurs mondiaux intercontinentaux avec Coy (son habitude) au fond des océans et térabits de trafic. Ils supportent des dépenses maximales et ont un revenu maximum. Habituellement, ils travaillent avec des clients via des opérateurs de niveau inférieur, mais dans des cas exceptionnels (généralement à partir de centaines de mégabits), ils vendent directement du trafic.
Nous concluons un accord avec le fournisseur, après quoi il nous donne un canal correspondant au tarif sélectionné, attribué à notre accord, ainsi que toutes les données sans lesquelles le fournisseur n'a pas le droit de nous fournir Internet. Lors de la connexion de la machine à Internet, le serveur DHCP du fournisseur nous fournit le plus souvent des adresses IP IPv6 globales dynamiques (si vous ne lui avez pas demandé d'adresses IP statiques).
À quoi ça sert?
L'adresse IP permet aux autres ordinateurs du réseau de communiquer avec le vôtre. Envoyez des messages, partagez des fichiers, etc. Bien que, en fait, ce ne soit pas aussi simple qu'il y paraît à première vue.
Cela peut être local et global. Une adresse locale est émise, par exemple, par un routeur.
Nous passons, Internet est distribué à partir d'un grand canal entre les abonnés, il est mis en œuvre via un routeur et un serveur NAT (mascarade), c'est-à-dire que lorsque le trafic passe par un grand canal vers un abonné, il va au routeur, qui remplace l'adresse du paquet à la volée par l'adresse de la machine , d'où provenait la demande, également en sens inverse.
Nous visitons le site, mais comment tout est arrangé sous le capot?
Tous les sites sont situés sur des serveurs, les serveurs === sont des ordinateurs qui ont suffisamment de puissance pour répondre à toutes les demandes, et ont un système d'exploitation serveur spécial, principalement Linux (ubuntu, debian, centOS), sur lequel le serveur s'exécute. Le serveur est lancé à l'aide d'un logiciel spécialement conçu pour l'hébergement de sites. Il s'agit principalement d'Apache ou de Nginx. Les ordinateurs n'ont pas d'interface graphique en raison de considérations d'économie de ressources. Tout le travail est effectué à partir de la ligne de commande.
Ces serveurs sont situés dans des centres de données spéciaux, disponibles dans chaque pays et région pour plusieurs pièces. Ils sont très bien gardés et leur travail est surveillé par des spécialistes expérimentés qui sont également bien surveillés.
Donc, le serveur fonctionne, le site fonctionne, mais ce n'est pas tout. Comme je l'ai dit, tous les ordinateurs ont leurs propres adresses, locales et mondiales, et le site a une adresse 128 bits, mais nous ne le contacterons pas à cette adresse difficile à retenir? Ici aussi, DNS fonctionne. Ce système enregistre les adresses dans sa base de données et leur attribue un nom court, par exemple google.ru.
Le système des noms de domaine fonctionne déjà avec les noms complets (les lettres latines, les chiffres, les tirets et les tirets bas sont autorisés lors de leur formation). Ils sont beaucoup plus faciles à retenir, ils portent une charge sémantique et il est plus facile de fonctionner avec eux - au lieu de 209.185.108.134, nous écrivons google.ru dans la barre d'adresse.
Les systèmes DNS sont disponibles dans les routeurs et chez les fournisseurs, qui peuvent remplacer les adresses si des données plus pertinentes sont disponibles.
SORM
Nous avons appris que l'Internet nous donne un fournisseur, respectivement, que le trafic le traverse. C'est là que l'État intervient, exigeant une surveillance des internautes. Ils installent des complexes de systèmes SORM chez le fournisseur, les connectent au commutateur et le trafic les traverse. Ces systèmes filtrent les packages, les visites de sites et Dieu sait quoi d'autre. Ils ont également accès à la base de données du fournisseur. Selon le type de système, il collecte à la fois le trafic d'un individu et de tout le monde en général.
Dans d'autres pays également, surveillent-ils les citoyens?
Oui, ils le sont. Des systèmes similaires existent dans d'autres pays: en Europe - Lawful Interception (LI), certifié par l'ETSI, aux USA - CALEA (Communications Assistance for Law Enforcement Act). La différence de notre SORM réside dans le suivi de l'exécution des fonctions. En Russie, contrairement à l'Europe et aux États-Unis, les agents du FSB doivent avoir une ordonnance judiciaire valide, mais peuvent se connecter à l'équipement SORM sans présenter de mandat à l'opérateur.
Et maintenant les détails techniques:Adresse IP - une adresse réseau unique d'un nœud dans un réseau informatique basée sur la pile de protocoles TCP / IP.
Dans la version 6, l'adresse IP (IPv6) est de 128 bits. Dans l'adresse, le séparateur est un deux-points (par exemple 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334). Les zéros non significatifs peuvent être omis dans l'enregistrement. Zéro groupe consécutif peut être omis, un double deux-points est mis à leur place (fe80: 0: 0: 0: 0: 0: 0: 1 peut être écrit comme fe80 :: 1). Plusieurs passes de ce type à l'adresse ne sont pas autorisées.
DHCP (Dynamic Host Configuration Protocol) est un protocole réseau qui permet aux ordinateurs d'obtenir automatiquement l'adresse IP et d'autres paramètres nécessaires pour travailler sur un réseau TCP / IP. Ce protocole fonctionne selon le modèle client-serveur. Pour la configuration automatique, l'ordinateur client au stade de la configuration du périphérique réseau accède au serveur DHCP et en reçoit les paramètres nécessaires. L'administrateur réseau peut spécifier la plage d'adresses distribuées par le serveur entre les ordinateurs. Cela évite la configuration manuelle des ordinateurs du réseau et réduit les erreurs. DHCP est utilisé sur la plupart des réseaux TCP / IP.
DHCP est une extension du protocole BOOTP qui était auparavant utilisé pour fournir des adresses IP aux stations de travail sans disque lors de leur démarrage. DHCP maintient la compatibilité descendante avec BOOTP.
Ports DHCP - 67 - serveur, 68 - client.
Le protocole principal sur Internet est TCP:
TCP / IP - un modèle de réseau pour la transmission de données présentées sous forme numérique. Le modèle décrit une méthode de transmission de données d'une source d'informations à un destinataire. Le modèle suppose le passage d'informations à travers quatre niveaux, chacun étant décrit par une règle (protocole de transmission). Les ensembles de règles qui résolvent le problème du transfert de données constituent une pile de protocoles de transfert de données sur lesquels Internet est basé. Le nom TCP / IP provient des deux protocoles familiaux les plus importants - TCP (Transmission Control Protocol) et IP (Internet Protocol), qui ont d'abord été développés et décrits dans cette norme. Également parfois appelé modèle du ministère de la Défense (DOD) en raison de sa descente historique du réseau ARPANET des années 1970 (géré par DARPA, US Department of Defence)
Port HTTP TCP - 80, SMTP - 25, FTP - 21.
SORM
De plus, les fournisseurs ont installé des complexes pour la collecte de données. En Russie, il s'agit d'aliments pour animaux, dans d'autres pays - complexes similaires, uniquement avec un nom et un fabricant différents.
IS SORM-3 est un complexe logiciel et matériel permettant de collecter, d'accumuler et de stocker des informations sur les abonnés des opérateurs de télécommunications, des informations statiques sur les services fournis et les paiements. L'accès aux informations stockées dans le système est fourni aux employés autorisés des organismes publics pendant l'ORM sur les réseaux des opérateurs de télécommunications grâce à l'intégration avec le centre de contrôle standard du département régional du FSB de Russie.
Je ne montrerai pas de schémas complexes, je suis sûr que personne n'en a besoin. Je peux seulement dire qu'ils se connectent au commutateur (snr 4550).
Commutateur de réseau - un dispositif conçu pour connecter plusieurs nœuds d'un réseau informatique au sein d'un ou plusieurs segments de réseau. Le commutateur fonctionne au niveau du canal (deuxième) du modèle OSI. Les commutateurs ont été conçus en utilisant la technologie des ponts et sont souvent considérés comme des ponts à ports multiples. Les routeurs sont utilisés pour connecter plusieurs réseaux en fonction de la couche réseau (niveau OSI 3).
Un routeur est un ordinateur spécialisé qui transfère des paquets entre différents segments de réseau en fonction de règles et de tables de routage. Un routeur peut connecter des réseaux hétérogènes de différentes architectures. Pour prendre des décisions concernant le transfert de paquets, des informations sur la topologie du réseau et certaines règles définies par l'administrateur sont utilisées.
Il est largement pratiqué de diviser le réseau IP en segments logiques ou sous-réseaux logiques. Pour ce faire, chaque segment se voit allouer une plage d'adresses, qui est spécifiée par l'adresse réseau et le masque de réseau. Par exemple (dans l'enregistrement CIDR):
- 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, etc. - jusqu'à 254 nœuds dans chaque segment
- 192.168.0.0/25, 192.168.128.0/26, 192.168.172.0/27 - dans des segments jusqu'à 126, 62, 30 nœuds, respectivement.
La tâche principale du SORM est d'assurer la sécurité de l'État et de ses citoyens, ce qui est réalisé par un contrôle sélectif des informations écoutées. Le développement du SORM est effectué conformément aux ordres du Comité des communications de l'État, du Ministère des communications et du gouvernement de la Fédération de Russie, dont le but est d'obliger les opérateurs de télécommunications «à fournir aux organismes publics autorisés engagés dans des activités de recherche opérationnelle ou à assurer la sécurité de la Fédération de Russie, des informations sur les utilisateurs des services de communication et des services de communication qui leur sont rendus, ainsi que d'autres les informations nécessaires à l'accomplissement des tâches confiées à ces organes dans les cas prévus par les lois fédérales.
SORM-2 - Il s'agit d'un système de suivi des internautes russes. Il s'agit d'un appareil (serveur) qui est connecté à l'équipement du fournisseur (opérateur télécom). Le fournisseur ne l'inclut que dans son réseau et ne connaît pas les objectifs et les méthodes d'écoute, des services spéciaux sont impliqués dans la gestion.
SORM-3 - quoi de neuf?
L'objectif principal de SORM-3 est d'obtenir les informations les plus complètes sur l'utilisateur, non seulement en temps réel, mais aussi pendant une certaine période (jusqu'à 3 ans). Si SORM-1 et SORM-2 interceptent des informations de l'utilisateur, alors SORM-3 ne contient pas ces informations, mais stocke uniquement des statistiques, les stocke et crée le profil d'une personne sur Internet. Pour accumuler de tels volumes de données, de grands systèmes de stockage seront utilisés, ainsi que des systèmes d'inspection approfondie des paquets pour filtrer les informations inutiles (films, musique, jeux), qui ne contiennent pas d'informations utiles pour les forces de l'ordre.
Allez-y, Internet est distribué à partir d'un grand canal entre les abonnés, il est mis en œuvre via un routeur et un serveur
NAT (mascarade), c'est-à-dire que lorsque le trafic passe par un grand canal vers un abonné, il va au routeur, qui remplace l'adresse du paquet à la volée par l'adresse de la machine d'où provient la demande.
NAT est un mécanisme dans les réseaux TCP / IP qui traduit les adresses IP des paquets de transit. Également nommé IP Masquerading, Network Masquerading et Native Address Translation.
La traduction d'adresses à l'aide de NAT peut être effectuée par presque tous les périphériques de routage - un routeur [1], un serveur d'accès et un pare-feu. Le plus populaire est SNAT, dont l'essence du mécanisme consiste à remplacer l'adresse source (source) lorsque le paquet passe dans une direction et à inverser l'adresse de destination (destination) dans le paquet de réponse. En plus des adresses source / destination, les numéros de port source et destination peuvent également être remplacés.
En recevant le paquet de l'ordinateur local, le routeur regarde l'adresse IP de destination. S'il s'agit d'une adresse locale, le paquet est transféré vers un autre ordinateur local. Sinon, le colis doit être envoyé sur Internet. Mais l'adresse de retour dans le paquet indique l'adresse locale de l'ordinateur, qui ne sera pas accessible depuis Internet. Par conséquent, le routeur "à la volée" traduit (remplace) l'adresse IP de retour du paquet en son adresse IP externe (visible depuis Internet) et modifie le numéro de port (pour distinguer les paquets de réponse adressés à différents ordinateurs locaux). Le routeur a besoin de la combinaison nécessaire pour la substitution en amont dans sa table temporaire. Quelque temps après que le client et le serveur ont fini d'échanger des paquets, le routeur supprimera l'enregistrement sur le nième port de sa table à partir de la date d'expiration.
En plus du NAT source (fournissant aux utilisateurs un réseau local avec des adresses d'accès Internet internes), le NAT de destination est également souvent utilisé lorsque les appels externes sont transmis par un pare-feu à l'ordinateur d'un utilisateur sur un réseau local qui a une adresse interne et est donc inaccessible directement à partir du réseau extérieur (sans NAT).
Il existe 3 concepts de base de la traduction d'adresses: statique (traduction d'adresse réseau statique), dynamique (traduction d'adresse dynamique), mascarade (NAPT, surcharge NAT, PAT).
NAT statique - Mappage d'une adresse IP non enregistrée à une adresse IP enregistrée sur une base individuelle. Particulièrement utile lorsque l'appareil doit être accessible de l'extérieur du réseau.
NAT dynamique - Affiche une adresse IP non enregistrée vers une adresse enregistrée à partir d'un groupe d'adresses IP enregistrées. Le NAT dynamique établit également un mappage direct entre les adresses non enregistrées et enregistrées, mais le mappage peut varier en fonction de l'adresse enregistrée disponible dans le pool d'adresses pendant la communication.
Le NAT congestionné (NAPT, surcharge NAT, PAT, masquage) est une forme de NAT dynamique qui mappe plusieurs adresses non enregistrées à une seule adresse IP enregistrée à l'aide de différents ports. Également connu sous le nom de PAT (Port Address Translation). En cas de surcharge, chaque ordinateur du réseau privé est traduit à la même adresse, mais avec un numéro de port différent. Le mécanisme NAT est défini dans RFC 1631, RFC 3022.
Types NAT
Une classification NAT couramment trouvée en relation avec la VoIP. [2] Le terme «connexion» est utilisé pour signifier «échange en série de paquets UDP».
NAT symétrique ( NAT symétrique) - diffusion, dans laquelle chaque connexion initiée par une paire d '"adresse interne: port interne" est convertie en une paire gratuite et unique sélectionnée de manière aléatoire "adresse publique: port public". Cependant, l'établissement d'une connexion à partir du réseau public n'est pas possible. [source non spécifiée 856 jours
Cone NAT, Full Cone NAT - Traduction sans ambiguïté (mutuelle) entre les paires «adresse interne: port interne» et «adresse publique: port public». Tout hôte externe peut établir une connexion avec l'hôte interne (si les règles de pare-feu le permettent).
NAT à cône à adresse restreinte, NAT à cône restreint - Diffusion permanente entre la paire «adresse interne: port interne» et «adresse publique: port public». Toute connexion initiée à partir d'une adresse interne lui permet de recevoir des paquets de n'importe quel port de l'hôte public auquel il a envoyé des paquets plus tôt.
Cône à port restreint NAT - Traduction entre la paire «adresse interne: port interne» et «adresse publique: port public», dans laquelle les paquets entrants vont à l'hôte interne à partir d'un seul port de l'hôte public - celui auquel l'hôte interne a déjà envoyé le paquet.
Les avantages
NAT remplit trois fonctions importantes:
Enregistre les adresses IP (uniquement lorsque vous utilisez NAT en mode PAT) en traduisant plusieurs adresses IP internes en une adresse IP publique externe (ou plusieurs, mais moins que les adresses internes). La plupart des réseaux dans le monde sont construits sur ce principe: 1 adresse IP publique (externe) est attribuée à une petite zone du réseau domestique ou du bureau du fournisseur local, pour laquelle les interfaces avec les adresses IP privées (internes) fonctionnent et sont accessibles.
Vous permet d' empêcher ou de limiter l'accès de l'extérieur aux hôtes internes, en laissant la possibilité d'accès de l'intérieur vers l'extérieur. Lorsqu'une connexion est établie à partir du réseau, une diffusion est créée. Les paquets de réponse provenant de l'extérieur correspondent à la diffusion créée et sont donc ignorés. Si pour les paquets arrivant de l'extérieur, la traduction correspondante n'existe pas (et elle peut être créée lorsque la connexion est établie ou statique), ils ne sont pas ignorés.
Vous permet de masquer certains services internes des hôtes / serveurs internes. En fait, la même traduction ci-dessus est effectuée sur un port spécifique, mais il est possible de remplacer le port interne du service officiellement enregistré (par exemple, le 80e port TCP (serveur HTTP) vers le 54055e externe). Ainsi, de l'extérieur, sur l'adresse IP externe après avoir traduit les adresses sur le site Web (ou forum) pour les visiteurs avertis, il sera possible d'accéder à example.org : 54055, mais sur le serveur interne situé derrière NAT, cela fonctionnera sur le 80ème habituel le port. Améliorer la sécurité et masquer les ressources "non publiques".
Inconvénients
Anciens protocoles. Les protocoles développés avant l'adoption massive du NAT ne peuvent pas fonctionner s'il y a une traduction d'adresse entre les hôtes en interaction. Certains pare-feu qui traduisent les adresses IP peuvent corriger cet inconvénient en remplaçant de manière appropriée les adresses IP non seulement dans les en-têtes IP, mais également à des niveaux supérieurs (par exemple, les commandes de protocole FTP). Voir Passerelle au niveau de l'application.
. - « » .
DoS-. NAT , DoS- ( ). , ICQ NAT - . ( ), .
. NAT-, Universal Plug & Play, , (. -) , , .
NAT . port forwarding, iptables, — . NAT.
Static NAT , , IP ( «» ) , , , .
C'est-à-dire 1-1 ( IP ). .
, , . , , , , ( , - ) IP , . , google.com , : IP (DNS ) … .
, , !
?
, , , DNS , , . . google.com:80 , , ":80" .
, , : IP , .
NAT , .. . , .
, IP — , — . , , , .
NAT
, IP 87.123.41.11, 87.123.41.12, 87.123.41.13, 87.123.41.14, . , , (87.123.41.11), ( 1 — .12, 2 — .13, 3 — .14).
, IP . , 87.123.41.12, 1 , (192.168.1.2). NAT .
:
Inconvénients:
NAT . , , , . , IP , «».
C'est-à-dire , , , , - - ( NAT).
/ , NAT .
, , , - .
Les routeurs des fournisseurs ont une table de routage - une feuille de calcul (fichier) ou une base de données stockée sur un routeur ou un ordinateur réseau qui décrit la correspondance entre les adresses de destination et les interfaces par lesquelles un paquet de données doit être envoyé au routeur suivant , il sélectionne les meilleures routes de couche de transport pour vos paquets du serveur à votre PC ou smartphone. Rappelez-vous notre OSI préféré?Niveau de transport (. transport layer) . . , , (, ), , , , . , UDP , ; TCP , , , , .
Le routeur sélectionne le meilleur itinéraire et l'enregistre dans le nom du paquet, puis le paquet agit sur l'itinéraire spécifié.L'itinéraire est une séquence d'adresses réseau de nœuds de réseau que le routeur a sélectionné selon sa table comme la plus courte entre la voiture et le serveur.Ainsi, tous les packages ont une durée de vie, au cas où ils se perdraient:Concept TTL
, 5 . : «, ». . «, ». . , , , -, -, ( ) . TTL (Time To Live), , «**» . , ( – « »), , . icmp- « ».