Kita semua menggunakan Internet - kita duduk di sosial. jaringan, menonton film online, membaca berita, dan bahkan melakukan pembelian. Tetapi apakah semua orang tahu bagaimana Internet bekerja dan dari mana asalnya? Aku akan memberitahumu sekarang.
Ringkasan:
- Penyedia internet mentransfer Internet antara mereka sendiri ke pengguna akhir.
- Penyedia memberi kami alamat IP.
- Server DNS dan perannya dalam kehidupan kita.
- Lalu lintas kami melewati filter polisi yang menjalankan pengawasan yang disponsori negara. Kompleks SORM
- Perangkat dan pengoperasian server NAT, seperti berada di router dan penyedia kami. Dengan cara ini, mereka berbagi traffic di antara kita. Dengan demikian, router kami membagikan lalu lintas antara PC, laptop, dan smartphone.
- Model jaringan OSI.
- Perutean paket
Internet disediakan kepada kami oleh penyedia, atau lebih tepatnya penyedia tingkat ketiga yang mengatur jaringan lokal dan menyediakan layanan koneksi, mereka mengadakan perjanjian dengan penyedia tingkat 2 - ini biasanya operator "nasional" di tingkat negara atau dalam kelompok negara di wilayah tersebut (contoh yang jelas adalah Rostelecom atau Transtelecom, yang memiliki konektivitasnya sendiri di seluruh CIS) - dan mereka, pada gilirannya, menerima Internet dari penyedia tingkat pertama - ini adalah mereka yang didukung Internet, yaitu, operator global antar benua dengan grosir Coy (yang biasa) di bagian bawah lautan dan terabit lalu lintas. Mereka menanggung biaya maksimum dan memiliki pendapatan maksimum. Biasanya mereka bekerja dengan klien melalui operator tingkat bawah, tetapi dalam kasus luar biasa (biasanya dari ratusan megabit) mereka menjual lalu lintas secara langsung.
Kami menyimpulkan perjanjian dengan penyedia, setelah itu ia memberi kami saluran yang sesuai dengan tarif yang dipilih, ditugaskan untuk perjanjian kami, bersama dengan semua data yang tanpanya penyedia tidak memiliki hak untuk menyediakan kami dengan Internet. Saat menghubungkan mesin ke Internet, server DHCP penyedia paling sering memberi kami alamat IP IP6 global yang dinamis (jika Anda tidak meminta alamat IP statis darinya).
Untuk apa ini?
Alamat IP memungkinkan komputer lain di jaringan untuk berkomunikasi dengan komputer Anda. Kirim pesan, bagikan file, dan sebagainya. Meskipun, pada kenyataannya, itu tidak sesederhana seperti yang terlihat pada pandangan pertama.
Ini bisa bersifat lokal dan global. Alamat lokal dikeluarkan, misalnya, oleh router.
Silakan, Internet didistribusikan dari satu saluran besar antara pelanggan, itu diterapkan melalui router dan server NAT (menyamar), yaitu, ketika lalu lintas melewati saluran besar ke pelanggan, ia pergi ke router, yang menggantikan alamat paket dengan cepat dengan alamat mesin. , dari mana permintaan itu datang, juga ke arah yang berlawanan.
Kami mengunjungi situs, tetapi bagaimana semuanya diatur di bawah tenda?
Semua situs terletak di server, server === adalah komputer yang memiliki kekuatan yang cukup untuk menjawab semua permintaan, dan memiliki OS server khusus, terutama Linux (ubuntu, debian, centOS), di mana server berjalan. Server diluncurkan menggunakan perangkat lunak yang dirancang khusus untuk situs hosting. Ini terutama Apache atau Nginx. Komputer tidak memiliki antarmuka grafis karena pertimbangan penghematan sumber daya. Semua pekerjaan dilakukan dari baris perintah.
Server semacam itu terletak di pusat data khusus, tersedia di setiap negara dan wilayah untuk beberapa bagian. Mereka dijaga dengan sangat baik dan pekerjaan mereka dipantau oleh spesialis berpengalaman yang juga dimonitor dengan baik.
Jadi, server sedang berjalan, situsnya berfungsi, tapi itu belum semuanya. Seperti yang saya katakan, semua komputer memiliki alamatnya sendiri, lokal dan global, dan situs tersebut memiliki alamat 128-bit, tetapi kami tidak akan menghubunginya di alamat yang sulit diingat ini? Di sini juga DNS berfungsi. Sistem ini mendaftarkan alamat dalam database-nya dan memberi mereka nama pendek, misalnya google.ru.
Sistem nama domain sudah beroperasi dengan nama lengkap (huruf Latin, angka, tanda hubung dan garis bawah diizinkan selama pembentukannya). Mereka jauh lebih mudah diingat, mereka membawa muatan semantik dan lebih mudah dioperasikan bersama mereka - alih-alih 209.185.108.134 kita menulis google.ru di bilah alamat.
Sistem DNS tersedia di router dan penyedia, yang dapat menggantikan alamat jika data yang lebih relevan tersedia.
SORM
Kami belajar bahwa Internet memberi kami penyedia, masing-masing, lalu lintas melewatinya. Di sinilah negara bagian datang, menuntut pengawasan pengguna internet. Mereka menginstal kompleks sistem SORM di penyedia, menghubungkannya ke sakelar, dan lalu lintas melewati mereka. Sistem ini memfilter paket, kunjungan situs, dan Tuhan tahu apa lagi. Mereka juga memiliki akses ke basis data penyedia. Tergantung pada jenis sistem, ia mengumpulkan lalu lintas individu dan semua orang pada umumnya.
Di negara lain juga, apakah warga memantau?
Ya, benar. Sistem serupa ada di negara lain: di Eropa - Lawful Interception (LI), disertifikasi oleh ETSI, di AS - CALEA (Bantuan Komunikasi untuk Undang-Undang Penegakan Hukum). Perbedaan SORM kami adalah dalam pemantauan pelaksanaan fungsi. Di Rusia, tidak seperti Eropa dan Amerika Serikat, petugas FSB harus memiliki perintah pengadilan yang sah, tetapi dapat terhubung ke peralatan SORM tanpa memberikan surat perintah kepada operator.
Dan sekarang detail teknisnya:Alamat IP - alamat jaringan unik dari sebuah simpul dalam jaringan komputer berdasarkan pada tumpukan protokol TCP / IP.
Dalam versi 6, alamat IP (IPv6) adalah 128-bit. Di dalam alamat, pemisah adalah titik dua (mis. 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334). Angka nol di depan diizinkan untuk dihilangkan dalam catatan. Grup nol dalam satu baris dapat dihilangkan, sebuah titik dua ditempatkan di tempatnya (fe80: 0: 0: 0: 0: 0: 0: 0: 0: 0: 1 dapat ditulis sebagai fe80 :: 1). Lebih dari satu pass seperti itu di alamat tidak diperbolehkan.
DHCP (Dynamic Host Configuration Protocol) adalah protokol jaringan yang memungkinkan komputer untuk secara otomatis mendapatkan alamat IP dan parameter lain yang diperlukan untuk bekerja pada jaringan TCP / IP. Protokol ini bekerja sesuai dengan model client-server. Untuk konfigurasi otomatis, komputer klien pada tahap konfigurasi perangkat jaringan mengakses server DHCP yang disebut dan menerima parameter yang diperlukan dari itu. Administrator jaringan dapat menentukan kisaran alamat yang didistribusikan oleh server di antara komputer. Ini menghindari konfigurasi manual komputer jaringan dan mengurangi kesalahan. DHCP digunakan pada sebagian besar jaringan TCP / IP.
DHCP adalah ekstensi protokol BOOTP yang sebelumnya digunakan untuk menyediakan stasiun kerja tanpa disk dengan alamat IP saat mereka boot. DHCP memelihara kompatibilitas ke belakang dengan BOOTP.
Port DHCP - 67 - server, 68 - klien.
Protokol utama di Internet adalah TCP:
TCP / IP - model jaringan untuk mengirimkan data yang disajikan dalam bentuk digital. Model ini menjelaskan metode pengiriman data dari sumber informasi ke penerima. Model ini mengasumsikan bagian informasi melalui empat tingkat, yang masing-masing dijelaskan oleh aturan (protokol transmisi). Seperangkat aturan yang memecahkan masalah transfer data membentuk setumpuk protokol transfer data yang menjadi dasar Internet. Nama TCP / IP berasal dari dua protokol keluarga yang paling penting - Transmission Control Protocol (TCP) dan Internet Protocol (IP), yang pertama kali dikembangkan dan dijelaskan dalam standar ini. Juga kadang-kadang disebut sebagai model Departemen Pertahanan (DOD) karena keturunan historisnya dari jaringan ARPANET dari tahun 1970-an (dikelola oleh DARPA, Departemen Pertahanan AS)
Port HTTP TCP - 80, SMTP - 25, FTP - 21.
SORM
Selain itu, penyedia telah menginstal kompleks untuk pengumpulan data. Di Rusia, ini adalah pakan, di negara lain - kompleks yang sama, hanya dengan nama dan pabrik yang berbeda.
IS SORM-3 adalah kompleks perangkat lunak dan perangkat keras untuk mengumpulkan, mengumpulkan dan menyimpan informasi tentang pelanggan operator telekomunikasi, informasi statis tentang layanan yang disediakan dan pembayaran. Akses ke informasi yang disimpan dalam sistem diberikan kepada karyawan resmi badan negara selama ORM di jaringan operator telekomunikasi melalui integrasi dengan pusat kendali standar departemen regional FSB Rusia.
Saya tidak akan menunjukkan skema yang rumit, saya yakin tidak ada yang membutuhkannya. Saya hanya bisa mengatakan bahwa mereka terhubung ke saklar (snr 4550).
Switch jaringan - perangkat yang dirancang untuk menghubungkan beberapa node jaringan komputer dalam satu atau beberapa segmen jaringan. Saklar beroperasi pada level saluran (kedua) dari model OSI. Sakelar dirancang menggunakan teknologi jembatan dan sering dianggap sebagai jembatan multi-pelabuhan. Router digunakan untuk menghubungkan beberapa jaringan berdasarkan pada lapisan jaringan (OSI level 3).
Router adalah komputer khusus yang meneruskan paket antara segmen jaringan yang berbeda berdasarkan aturan dan tabel routing. Router dapat menghubungkan jaringan heterogen dari berbagai arsitektur. Untuk membuat keputusan tentang penerusan paket, informasi tentang topologi jaringan dan aturan tertentu yang ditetapkan oleh administrator digunakan.
Secara luas dipraktekkan untuk membagi jaringan berbasis IP menjadi segmen logis, atau subnet logis. Untuk melakukan ini, setiap segmen dialokasikan kisaran alamat, yang ditentukan oleh alamat jaringan dan topeng jaringan. Misalnya (dalam catatan CIDR):
- 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, dll. - hingga 254 node di setiap segmen
- 192.168.0.0/25, 192.168.128.0/26, 192.168.172.0/27 - masing-masing dalam segmen hingga 126, 62, 30 node.
Tugas utama SORM adalah memastikan keamanan negara dan warganya, yang dicapai dengan kontrol selektif atas informasi yang didengarkan. Pengembangan SORM dilakukan sesuai dengan perintah Komite Komunikasi Negara, Kementerian Komunikasi dan Pemerintah Federasi Rusia, yang tujuannya untuk mewajibkan operator telekomunikasi “untuk menyediakan badan-badan negara yang berwenang yang terlibat dalam kegiatan pencarian-operasi atau memastikan keamanan Federasi Rusia, informasi tentang pengguna layanan komunikasi dan layanan komunikasi yang diberikan kepada mereka, serta lainnya informasi yang diperlukan untuk memenuhi tugas yang diberikan kepada badan-badan ini dalam kasus yang ditetapkan oleh undang-undang federal. "
SORM-2 - Ini adalah sistem untuk melacak pengguna Internet Rusia. Ini adalah perangkat (server) yang terhubung ke peralatan penyedia (operator telekomunikasi). Penyedia hanya memasukkannya dalam jaringannya dan tidak tahu tentang tujuan dan metode mendengarkan, layanan khusus terlibat dalam manajemen.
SORM-3 - apa yang baru?
Tujuan utama SORM-3 adalah untuk memperoleh informasi paling lengkap tentang pengguna, tidak hanya secara waktu nyata, tetapi juga untuk periode tertentu (hingga 3 tahun). Jika SORM-1 dan SORM-2 memotong informasi dari pengguna, maka SORM-3 tidak mengandung informasi tersebut, tetapi hanya menyimpan statistik, menyimpannya dan membuat profil seseorang di Internet. Untuk mengakumulasi volume data seperti itu, sistem penyimpanan besar akan digunakan, serta sistem Inspeksi Paket Dalam untuk menyaring informasi berlebih (film, musik, game), yang tidak mengandung informasi yang berguna untuk lembaga penegak hukum.
Silakan, Internet didistribusikan dari satu saluran besar antara pelanggan, itu diterapkan melalui router dan server
NAT (menyamar), yaitu, ketika lalu lintas melewati saluran besar ke pelanggan, ia pergi ke router, yang menggantikan alamat paket dengan cepat dengan alamat mesin. dari mana permintaan itu datang.
NAT adalah mekanisme dalam jaringan TCP / IP yang menerjemahkan alamat IP dari paket transit. Juga bernama IP Masquerading, Network Masquerading, dan Terjemahan Alamat Asli.
Terjemahan alamat menggunakan NAT dapat dilakukan oleh hampir semua perangkat perutean - router [1], server akses, dan firewall. Yang paling populer adalah SNAT, esensi dari mekanisme di antaranya adalah mengganti alamat sumber (source) ketika paket lewat dalam satu arah dan membalikkan alamat tujuan (tujuan) dalam paket respons. Seiring dengan sumber / alamat tujuan, nomor port sumber dan tujuan juga dapat diganti.
Menerima paket dari komputer lokal, router melihat alamat IP tujuan. Jika ini adalah alamat lokal, maka paket diteruskan ke komputer lokal lain. Jika tidak, maka paket tersebut harus dikirim ke Internet. Tetapi alamat pengirim dalam paket menunjukkan alamat lokal komputer, yang tidak akan dapat diakses dari Internet. Oleh karena itu, router "on the fly" menerjemahkan (menggantikan) alamat IP kembali paket ke alamat IP eksternal (terlihat dari Internet) dan mengubah nomor port (untuk membedakan antara paket respons yang ditujukan ke komputer lokal yang berbeda). Router membutuhkan kombinasi yang diperlukan untuk substitusi mundur dalam tabel sementara. Beberapa saat setelah klien dan server selesai bertukar paket, router akan menghapus catatan pada port ke-n dalam tabelnya dari tanggal kedaluwarsa.
Selain sumber NAT (menyediakan pengguna dengan jaringan lokal dengan alamat akses Internet internal) tujuan NAT juga sering digunakan ketika panggilan eksternal ditransmisikan oleh firewall ke komputer pengguna di jaringan lokal yang memiliki alamat internal dan oleh karena itu tidak dapat diakses langsung dari luar (tanpa NAT).
Ada 3 konsep dasar terjemahan alamat: statis (Terjemahan Alamat Jaringan Statis), dinamis (Terjemahan Alamat Dinamis), menyamar (NAPT, NAT Overload, PAT).
NAT Statis - Memetakan alamat IP yang tidak terdaftar ke alamat IP yang terdaftar atas dasar satu-ke-satu. Terutama berguna ketika perangkat harus dapat diakses dari luar jaringan.
Dynamic NAT - Menampilkan alamat IP yang tidak terdaftar ke alamat terdaftar dari sekelompok alamat IP terdaftar. Dynamic NAT juga menetapkan pemetaan langsung antara alamat yang tidak terdaftar dan terdaftar, tetapi pemetaan dapat bervariasi tergantung pada alamat terdaftar yang tersedia di kumpulan alamat selama komunikasi.
NAT padat (NAPT, NAT Overload, PAT, masquerade) adalah bentuk NAT dinamis yang memetakan beberapa alamat yang tidak terdaftar ke satu alamat IP terdaftar menggunakan berbagai port. Juga dikenal sebagai PAT (Port Address Translation). Ketika kelebihan beban, setiap komputer dalam jaringan pribadi diterjemahkan ke alamat yang sama, tetapi dengan nomor port yang berbeda. Mekanisme NAT didefinisikan dalam RFC 1631, RFC 3022.
Jenis NAT
Klasifikasi NAT umumnya ditemukan sehubungan dengan VoIP. [2] Istilah "koneksi" digunakan untuk berarti "pertukaran serial paket UDP".
Symmetric NAT (Symmetric NAT) - broadcast, di mana setiap koneksi diprakarsai oleh sepasang "alamat internal: port internal" dikonversi menjadi pasangan unik unik yang dipilih secara acak "alamat publik: port publik". Namun, memulai koneksi dari jaringan publik tidak dimungkinkan. [sumber tidak ditentukan 856 hari
Cone NAT, Full Cone NAT - Terjemahan yang tidak ambigu (mutual) antara pasangan “alamat internal: port internal” dan “alamat publik: port publik”. Host eksternal apa pun dapat memulai koneksi ke host internal (jika diizinkan oleh aturan firewall).
Address-Restricted cone NAT, Restricted cone NAT - Siaran permanen antara pasangan "alamat internal: port internal" dan "alamat publik: port publik". Koneksi apa pun yang dimulai dari alamat internal memungkinkannya menerima paket dari port mana pun dari host publik di mana ia mengirim paket sebelumnya.
Port-Restricted cone NAT - Terjemahan antara pasangan "alamat internal: port internal" dan "alamat publik: port publik", di mana paket yang masuk pergi ke host internal dari hanya satu port host publik - yang mana host internal telah mengirim paket.
Manfaatnya
NAT melakukan tiga fungsi penting:
Menyimpan alamat IP (hanya ketika menggunakan NAT dalam mode PAT) dengan menerjemahkan beberapa alamat IP internal ke satu alamat IP publik eksternal (atau beberapa, tetapi lebih sedikit dari yang internal). Sebagian besar jaringan di dunia dibangun berdasarkan prinsip ini: 1 alamat IP publik (eksternal) dialokasikan ke area kecil jaringan rumah atau kantor penyedia lokal, yang mana antarmuka dengan alamat IP pribadi (internal) bekerja dan akses.
Memungkinkan Anda untuk mencegah atau membatasi akses dari luar ke host internal, meninggalkan kemungkinan akses dari dalam ke luar. Ketika koneksi dimulai dari dalam jaringan, siaran dibuat. Paket respons yang berasal dari luar sesuai dengan siaran yang dibuat dan karenanya dilewati. Jika untuk paket yang datang dari luar, terjemahan yang sesuai tidak ada (dan dapat dibuat saat koneksi dimulai atau statis), tidak dilewati.
Memungkinkan Anda menyembunyikan layanan internal tertentu dari host / server internal. Sebenarnya, terjemahan yang sama di atas dilakukan pada port tertentu, tetapi dimungkinkan untuk mengganti port internal dari layanan resmi terdaftar (misalnya, port TCP ke-80 (server HTTP) ke eksternal 54055). Dengan demikian, dari luar, pada alamat IP eksternal setelah menerjemahkan alamat ke situs web (atau forum) untuk pengunjung berpengetahuan, dimungkinkan untuk membuka example.org : 54055, tetapi pada server internal yang terletak di belakang NAT, itu akan bekerja pada tanggal 80 yang biasa. pelabuhan. Meningkatkan keamanan dan menyembunyikan sumber daya "non-publik".
Kekurangan
Protokol lama. Protokol yang dikembangkan sebelum adopsi massal NAT tidak dapat berfungsi jika ada terjemahan alamat antara host yang berinteraksi. Beberapa firewall yang menerjemahkan alamat IP dapat memperbaiki kelemahan ini dengan mengganti alamat IP secara tepat tidak hanya pada header IP, tetapi juga pada level yang lebih tinggi (misalnya, perintah protokol FTP). . Application-level gateway.
. - « » .
DoS-. NAT , DoS- ( ). , ICQ NAT - . ( ), .
. NAT-, Universal Plug & Play, , (. -) , , .
NAT . port forwarding, iptables, — . NAT.
Static NAT , , IP ( «» ) , , , .
Yaitu 1-1 ( IP ). .
, , . , , , , ( , - ) IP , . , google.com , : IP (DNS ) … .
, , !
?
, , , DNS , , . . google.com:80 , , ":80" .
, , : IP , .
NAT , .. . , .
, IP — , — . , , , .
NAT
, IP 87.123.41.11, 87.123.41.12, 87.123.41.13, 87.123.41.14, . , , (87.123.41.11), ( 1 — .12, 2 — .13, 3 — .14).
, IP . , 87.123.41.12, 1 , (192.168.1.2). NAT .
:
:
NAT . , , , . , IP , «».
Yaitu , , , , - - ( NAT).
/ , NAT .
, , , - .
Router penyedia memiliki tabel perutean - spreadsheet (file) atau database yang disimpan pada router atau komputer jaringan yang menggambarkan korespondensi antara alamat tujuan dan antarmuka di mana paket data harus dikirim ke router berikutnya , ia memilih rute lapisan transport terbaik untuk paket Anda dari server ke PC atau ponsel cerdas Anda. Ingat OSI favorit kami?Tingkat transportasi (. transport layer) . . , , (, ), , , , . , UDP , ; TCP , , , , .
Router memilih rute terbaik dan menyimpannya dalam nama paket, kemudian paket bertindak pada rute yang ditentukan.Rute adalah urutan alamat jaringan dari node jaringan yang dipilih router sesuai dengan tabelnya sebagai yang terpendek antara mobil dan server.Jadi semua paket memiliki masa pakai seumur hidup, jika mereka hilang:Konsep TTL
, 5 . : «, ». . «, ». . , , , -, -, ( ) . TTL (Time To Live), , «**» . , ( – « »), , . icmp- « ».