Todos nós usamos a Internet - sentamos no social. redes, assista a filmes on-line, leia notícias e até faça compras. Mas todo mundo sabe como a Internet funciona e de onde vem? Eu vou te contar agora.
Resumo:
- Os provedores de Internet transferem a Internet entre si para o usuário final.
- O provedor nos fornece endereços IP.
- Servidor DNS e seu papel em nossas vidas.
- Nosso tráfego passa por filtros de policiais que executam vigilância patrocinada pelo estado. Complexos SORM
- O dispositivo e a operação do servidor NAT estão em nossos roteadores e no provedor. Dessa forma, eles compartilham tráfego entre nós. Assim, nosso roteador compartilha o tráfego entre o PC, laptop e smartphone.
- Modelo de rede OSI.
- Roteamento de pacotes
A Internet é fornecida a nós por provedores, ou melhor, provedores de terceiro nível que organizam redes locais e prestam serviços de conexão, eles firmam um contrato com provedores de nível 2 - geralmente são operadores "nacionais" no nível do país ou em um grupo de países da região (um exemplo vívido é Rostelecom ou Transtelecom, que possuem conectividade própria na CEI) - e esses, por sua vez, recebem a Internet de provedores de primeiro nível - são aqueles nos quais a Internet é suportada, ou seja, operadoras globais intercontinentais com atacado Coy (o usual) no fundo dos oceanos e dos terabits de tráfego. Eles suportam despesas máximas e têm rendimentos máximos. Geralmente eles trabalham com clientes através de operadores de nível inferior, mas em casos excepcionais (geralmente a partir de centenas de megabits), eles vendem tráfego diretamente.
Concluímos um contrato com o provedor, após o qual ele nos fornece um canal correspondente à tarifa selecionada, atribuído ao nosso contrato, juntamente com todos os dados sem os quais o provedor não tem o direito de nos fornecer a Internet. Ao conectar a máquina à Internet, o servidor DHCP do provedor geralmente nos fornece endereços IP globais IPv6 dinâmicos (se você não solicitou endereços IP estáticos).
Para que serve?
O endereço IP permite que outros computadores na rede se comuniquem com o seu. Envie mensagens, compartilhe arquivos e assim por diante. Embora, de fato, não seja tão simples quanto parece à primeira vista.
Pode ser local e global. Um endereço local é emitido, por exemplo, por um roteador.
Seguimos em frente, a Internet é distribuída a partir de um canal grande entre assinantes, é implementada por meio de um roteador e um servidor NAT (mascarada), ou seja, quando o tráfego passa por um canal grande para um assinante, ele é encaminhado para o roteador, que substitui o endereço do pacote rapidamente pelo endereço da máquina , de onde veio a solicitação, também na direção oposta.
Visitamos o site, mas como tudo está organizado sob o capô?
Todos os sites estão localizados em servidores, servidores === são computadores que têm energia suficiente para responder a todas as solicitações e possuem um sistema operacional de servidor especial, principalmente Linux (ubuntu, debian, centOS), no qual o servidor está sendo executado. O servidor é iniciado usando um software projetado especificamente para hospedagem de sites. Isso é principalmente Apache ou Nginx. Os computadores não possuem uma interface gráfica devido a considerações de economia de recursos. Todo o trabalho é feito a partir da linha de comando.
Esses servidores estão localizados em data centers especiais, disponíveis em cada país e região para várias partes. Eles são muito bem guardados e seu trabalho é monitorado por especialistas experientes que também são bem monitorados.
Portanto, o servidor está em execução, o site está funcionando, mas isso não é tudo. Como eu disse, todos os computadores têm seus próprios endereços, local e global, e o site tem um endereço de 128 bits, mas não entraremos em contato com ele neste endereço difícil de lembrar? Aqui também funciona o DNS. Este sistema registra endereços em seu banco de dados e atribui a eles um nome abreviado, por exemplo, google.ru.
O sistema de nomes de domínio já opera com nomes completos (letras latinas, números, traços e sublinhados são permitidos durante sua formação). Eles são muito mais fáceis de lembrar, eles carregam uma carga semântica e é mais fácil operar com eles - em vez de 209.185.108.134, escrevemos google.ru na barra de endereços.
Os sistemas DNS estão disponíveis nos roteadores e nos provedores, que podem substituir endereços se houver dados mais relevantes disponíveis.
SORM
Aprendemos que a Internet nos fornece um provedor, respectivamente, o tráfego passa por ela. É aqui que o estado entra, exigindo vigilância dos usuários da Internet. Eles instalam complexos de sistemas SORM no provedor, os conectam ao comutador e o tráfego passa por eles. Esses sistemas filtram pacotes, visitas ao local e Deus sabe o que mais. Eles também têm acesso ao banco de dados do provedor. Dependendo do tipo de sistema, ele coleta o tráfego de um indivíduo e de todos em geral.
Também em outros países estão monitorando os cidadãos?
Sim eles são. Existem sistemas semelhantes em outros países: na Europa - Interceptação Legal (LI), certificada pelo ETSI, nos EUA - CALEA (Lei de Assistência à Comunicação para a Aplicação da Lei). A diferença do nosso SORM está no monitoramento da execução de funções. Na Rússia, diferentemente da Europa e dos EUA, os oficiais da FSB devem ter uma ordem judicial válida, mas podem se conectar ao equipamento SORM sem apresentar um mandado ao operador.
E agora os detalhes técnicos:Endereço IP - um endereço de rede exclusivo de um nó em uma rede de computadores com base na pilha de protocolos TCP / IP.
Na versão 6, o endereço IP (IPv6) é de 128 bits. Dentro do endereço, o separador é dois pontos (por exemplo, 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334). Os zeros à esquerda podem ser omitidos no registro. Nenhum grupo consecutivo pode ser omitido, dois pontos duplos são colocados em seu lugar (fe80: 0: 0: 0: 0: 0: 0: 0: 1 pode ser escrito como fe80 :: 1). Não é permitido mais de um passe no endereço.
O DHCP (Dynamic Host Configuration Protocol) é um protocolo de rede que permite que os computadores obtenham automaticamente o endereço IP e outros parâmetros necessários para trabalhar em uma rede TCP / IP. Este protocolo funciona de acordo com o modelo cliente-servidor. Para configuração automática, o computador cliente no estágio de configuração do dispositivo de rede acessa o chamado servidor DHCP e recebe os parâmetros necessários. O administrador da rede pode especificar o intervalo de endereços distribuídos pelo servidor entre os computadores. Isso evita a configuração manual de computadores em rede e reduz erros. O DHCP é usado na maioria das redes TCP / IP.
O DHCP é uma extensão do protocolo BOOTP que foi usado anteriormente para fornecer às estações de trabalho sem disco endereços IP quando elas são inicializadas. O DHCP mantém compatibilidade com versões anteriores do BOOTP.
Portas DHCP - 67 - servidor, 68 - cliente.
O principal protocolo na Internet é o TCP:
TCP / IP - um modelo de rede para transmissão de dados apresentados em formato digital. O modelo descreve um método de transmissão de dados de uma fonte de informações para um destinatário. O modelo pressupõe a passagem de informações por quatro níveis, cada um dos quais é descrito por uma regra (protocolo de transmissão). Os conjuntos de regras que resolvem o problema da transferência de dados compõem uma pilha de protocolos de transferência de dados nos quais a Internet se baseia. O nome TCP / IP deriva dos dois protocolos familiares mais importantes - TCP (Transmission Control Protocol) e Internet Protocol (IP), que foram desenvolvidos e descritos neste padrão. Também ocasionalmente chamado de modelo do Departamento de Defesa (DOD) devido à sua descida histórica da rede ARPANET da década de 1970 (gerenciada pela DARPA, Departamento de Defesa dos EUA)
Porta TCP HTTP - 80, SMTP - 25, FTP - 21.
SORM
Além disso, os provedores instalaram complexos para coleta de dados. Na Rússia, esse é o feed, em outros países - complexos semelhantes, apenas com um nome e fabricante diferentes.
O IS SORM-3 é um complexo de software e hardware para coletar, acumular e armazenar informações sobre assinantes de operadoras de telecomunicações, informações estáticas sobre os serviços prestados e pagamentos. O acesso às informações armazenadas no sistema é fornecido a funcionários autorizados de órgãos estaduais durante o ORM nas redes de operadoras de telecomunicações por meio da integração com o centro de controle padrão do departamento regional do FSB da Rússia.
Não mostrarei esquemas complexos, tenho certeza que ninguém precisa deles. Só posso dizer que eles se conectam ao switch (snr 4550).
Comutador de rede - um dispositivo projetado para conectar vários nós de uma rede de computadores em um ou mais segmentos de rede. O switch opera no nível do canal (segundo) do modelo OSI. Os switches foram projetados usando a tecnologia de ponte e são frequentemente considerados pontes de várias portas. Os roteadores são usados para conectar várias redes com base na camada de rede (nível 3 de OSI).
Um roteador é um computador especializado que encaminha pacotes entre diferentes segmentos de rede com base em regras e tabelas de roteamento. Um roteador pode conectar redes heterogêneas de diferentes arquiteturas. Para tomar decisões sobre o encaminhamento de pacotes, são usadas informações sobre a topologia de rede e certas regras definidas pelo administrador.
É amplamente praticado dividir uma rede baseada em IP em segmentos lógicos ou sub-redes lógicas. Para fazer isso, cada segmento recebe um intervalo de endereços especificado pelo endereço e pela máscara de rede. Por exemplo (no registro CIDR):
- 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, etc. - até 254 nós em cada segmento
- 192.168.0.0/25, 192.168.128.0/26, 192.168.172.0/27 - em segmentos de até 126, 62, 30 nós, respectivamente.
A principal tarefa do SORM é garantir a segurança do estado e de seus cidadãos, o que é alcançado pelo controle seletivo das informações que estão sendo ouvidas. O desenvolvimento do SORM é realizado de acordo com as ordens do Comitê de Comunicações do Estado, do Ministério das Comunicações e do Governo da Federação Russa, cujo objetivo é obrigar as operadoras de telecomunicações a “fornecerem órgãos estatais autorizados envolvidos em atividades de busca operacional ou garantir a segurança da Federação Russa, informações sobre usuários de serviços de comunicação e serviços de comunicação prestados a eles, bem como outros. informações necessárias para cumprir as tarefas atribuídas a esses órgãos nos casos estabelecidos pelas leis federais. ”
SORM-2 - Este é um sistema para rastrear usuários da Internet russos. É um dispositivo (servidor) conectado ao equipamento do provedor (operadora de telecomunicações). O provedor apenas o inclui em sua rede e não conhece os objetivos e métodos de escuta; serviços especiais estão envolvidos no gerenciamento.
SORM-3 - o que há de novo?
O principal objetivo do SORM-3 é obter as informações mais completas sobre o usuário, não apenas em tempo real, mas também por um determinado período (até 3 anos). Se o SORM-1 e o SORM-2 interceptam informações do usuário, o SORM-3 não contém essas informações, mas armazena apenas estatísticas, as armazena e cria o perfil de uma pessoa na Internet. Para acumular esses volumes de dados, serão utilizados grandes sistemas de armazenamento, bem como sistemas de inspeção profunda de pacotes para filtrar informações desnecessárias (filmes, músicas, jogos), que não contêm informações úteis para as agências policiais.
Vá em frente, a Internet é distribuída a partir de um canal grande entre assinantes, é implementada por meio de um roteador e um servidor
NAT (disfarce), ou seja, quando o tráfego passa por um canal grande para um assinante, ele é encaminhado para o roteador, que substitui o endereço do pacote rapidamente pelo endereço da máquina de onde veio o pedido.
O NAT é um mecanismo nas redes TCP / IP que traduz os endereços IP dos pacotes de trânsito. Também chamado de IP Masquerading, Network Masquerading e Native Address Translation.
A tradução de endereços usando NAT pode ser feita por praticamente qualquer dispositivo de roteamento - um roteador [1], um servidor de acesso e um firewall. O mais popular é o SNAT, cuja essência é o mecanismo de substituir o endereço de origem (origem) quando o pacote passa em uma direção e reverter o endereço de destino (destino) no pacote de resposta. Juntamente com os endereços de origem / destino, os números das portas de origem e destino também podem ser substituídos.
Recebendo o pacote do computador local, o roteador verifica o endereço IP de destino. Se este for um endereço local, o pacote será encaminhado para outro computador local. Caso contrário, o pacote deverá ser enviado à Internet. Mas o endereço de retorno no pacote indica o endereço local do computador, que não será acessível pela Internet. Portanto, o roteador "on the fly" converte (substitui) o endereço IP de retorno do pacote para seu endereço IP externo (visível da Internet) e altera o número da porta (para distinguir os pacotes de resposta endereçados a diferentes computadores locais). O roteador precisa da combinação necessária para substituição reversa em sua tabela temporária. Algum tempo após o cliente e o servidor concluírem a troca de pacotes, o roteador excluirá o registro da enésima porta da tabela a partir da data de vencimento.
Além do NAT de origem (fornecendo aos usuários uma rede local com endereços de acesso à Internet internos), o NAT de destino também é freqüentemente usado quando chamadas externas são transmitidas por um firewall para o computador do usuário em uma rede local que possui um endereço interno e, portanto, é inacessível diretamente da rede externa (sem NAT).
Existem três conceitos básicos de conversão de endereços: estático (Conversão de Endereço de Rede Estática), dinâmico (Conversão de Endereço Dinâmico), mascarada (NAPT, Sobrecarga NAT, PAT).
NAT estático - mapeando um endereço IP não registrado para um endereço IP registrado em uma base individual. Especialmente útil quando o dispositivo deve estar acessível fora da rede.
NAT dinâmico - exibe um endereço IP não registrado para um endereço registrado de um grupo de endereços IP registrados. O NAT dinâmico também estabelece um mapeamento direto entre endereços não registrados e registrados, mas o mapeamento pode variar dependendo do endereço registrado disponível no pool de endereços durante a comunicação.
NAT congestionado (NAPT, sobrecarga de NAT, PAT, mascarada) é uma forma de NAT dinâmico que mapeia vários endereços não registrados para um único endereço IP registrado usando várias portas. Também conhecido como PAT (Port Address Translation). Quando sobrecarregado, cada computador na rede privada é convertido para o mesmo endereço, mas com um número de porta diferente. O mecanismo NAT é definido na RFC 1631, RFC 3022.
Tipos de NAT
Uma classificação NAT normalmente encontrada em conexão com VoIP. [2] O termo "conexão" é usado para significar "troca serial de pacotes UDP".
NAT simétrico ( NAT simétrico) - transmissão, na qual cada conexão iniciada por um par de "endereço interno: porta interna" é convertida em um par exclusivo gratuito selecionado aleatoriamente e gratuito de "endereço público: porta pública". No entanto, iniciar uma conexão a partir da rede pública não é possível. [fonte não especificada 856 dias
Cone NAT, Cone NAT completo - tradução inequívoca (mútua) entre os pares “endereço interno: porta interna” e “endereço público: porta pública”. Qualquer host externo pode iniciar uma conexão com o host interno (se permitido pelas regras do firewall).
NAT de cone restrito a endereço, NAT de cone restrito - Transmissão permanente entre o par “endereço interno: porta interna” e “endereço público: porta pública”. Qualquer conexão iniciada a partir de um endereço interno permite receber pacotes de qualquer porta do host público para o qual enviou pacotes anteriormente.
Cone com restrição de porta NAT - tradução entre o par “endereço interno: porta interna” e “endereço público: porta pública”, na qual os pacotes recebidos vão para o host interno a partir de apenas uma porta do host público - aquela para a qual o host interno já enviou o pacote.
Os benefícios
O NAT executa três funções importantes:
Salva endereços IP (apenas ao usar NAT no modo PAT) convertendo vários endereços IP internos em um endereço IP público externo (ou vários, mas menos que os internos). A maioria das redes no mundo é construída com base neste princípio: 1 endereço IP público (externo) é alocado para uma pequena área da rede ou escritório doméstico do fornecedor local, para a qual as interfaces com endereços IP privados (internos) funcionam e acessam.
Permite impedir ou limitar o acesso de fora para os hosts internos, deixando a possibilidade de acesso de dentro para fora. Quando uma conexão é iniciada a partir da rede, uma transmissão é criada. Os pacotes de resposta vindos de fora correspondem à transmissão criada e, portanto, são ignorados. Se para pacotes que chegam de fora, a tradução correspondente não existe (e pode ser criada quando a conexão é iniciada ou estática), eles não são ignorados.
Permite ocultar certos serviços internos de hosts / servidores internos. De fato, a mesma conversão acima é realizada em uma porta específica, mas é possível substituir a porta interna do serviço registrado oficialmente (por exemplo, a 80ª porta TCP (servidor HTTP) pela 54055ª externa). Assim, do lado de fora, no endereço IP externo, depois de traduzir os endereços para o site (ou fórum) para visitantes com conhecimento, será possível acessar example.org : 54055, mas no servidor interno localizado atrás do NAT, ele funcionará no 80º habitual a porta. Melhorando a segurança e ocultando recursos "não públicos".
Desvantagens
Protocolos antigos. Os protocolos desenvolvidos antes da adoção em massa do NAT não podem funcionar se houver conversão de endereço entre os hosts que interagem. Alguns firewalls que convertem endereços IP podem corrigir essa desvantagem, substituindo adequadamente os endereços IP, não apenas nos cabeçalhos IP, mas também em níveis mais altos (por exemplo, comandos do protocolo FTP). . Application-level gateway.
. - « » .
DoS-. NAT , DoS- ( ). , ICQ NAT - . ( ), .
. NAT-, Universal Plug & Play, , (. -) , , .
NAT . port forwarding, iptables, — . NAT.
Static NAT , , IP ( «» ) , , , .
I.e. 1-1 ( IP ). .
, , . , , , , ( , - ) IP , . , google.com , : IP (DNS ) … .
, , !
?
, , , DNS , , . . google.com:80 , , ":80" .
, , : IP , .
NAT , .. . , .
, IP — , — . , , , .
NAT
, IP 87.123.41.11, 87.123.41.12, 87.123.41.13, 87.123.41.14, . , , (87.123.41.11), ( 1 — .12, 2 — .13, 3 — .14).
, IP . , 87.123.41.12, 1 , (192.168.1.2). NAT .
:
:
NAT . , , , . , IP , «».
I.e. , , , , - - ( NAT).
/ , NAT .
, , , - .
Os roteadores de provedor têm uma tabela de roteamento - uma planilha (arquivo) ou um banco de dados armazenado em um roteador ou computador de rede que descreve a correspondência entre endereços de destino e interfaces através das quais um pacote de dados deve ser enviado para o próximo roteador ; ele seleciona as melhores rotas da camada de transporte para seus pacotes do servidor para o seu PC ou smartphone. Lembra do nosso OSI favorito?Nível de transporte (. transport layer) . . , , (, ), , , , . , UDP , ; TCP , , , , .
O roteador seleciona a melhor rota e a salva no nome do pacote, então o pacote atua na rota especificada.A rota é uma sequência de endereços de rede dos nós da rede que o roteador selecionou de acordo com a tabela como o menor entre o carro e o servidor.Portanto, todos os pacotes têm uma vida útil, caso se percam:Conceito TTL
, 5 . : «, ». . «, ». . , , , -, -, ( ) . TTL (Time To Live), , «**» . , ( – « »), , . icmp- « ».