我们都使用互联网-我们坐在社交网站上。 网络,观看在线电影,阅读新闻甚至进行购买。 但是,每个人都知道互联网的工作原理以及它的来源吗? 我现在告诉你。
总结:
- Internet提供商将它们之间的Internet传递给最终用户。
- 提供者给我们IP地址。
- DNS服务器及其在我们生活中的作用。
- 我们的流量通过运行国家支持的监视的警察过滤器进行。 SORM复合物
- NAT服务器的设备和操作,例如在我们的路由器和提供商中。 这样,他们在我们之间共享流量。 因此,我们的路由器在PC,笔记本电脑和智能手机之间共享流量。
- OSI网络模型。
- 分组路由
互联网是由提供者,或者说是组织本地网络并提供连接服务的三级提供者提供给我们的,他们与2级提供者签订了协议-这些通常是国家级或该地区国家/地区中的“国家”运营商(例如,Rostelecom或Transtelecom,它们在整个CIS上具有自己的连通性)-进而又从一级提供商那里获得Internet-这些是受Internet支持的国家,即洲际全球运营商 科伊(他平时)在海洋和交通兆兆位的底部。 他们承担最大的开支,并获得最大的收入。 通常,他们通过较低级别的运营商与客户合作,但在特殊情况下(通常为数百兆位),他们直接销售流量。
我们与提供商签订了协议,此后,他为我们提供了分配给我们协议的与所选费率相对应的频道,以及所有数据,否则提供商将无权向我们提供互联网。 将机器连接到Internet时,提供商的DHCP服务器通常会为我们提供动态的全局IPv6 IP地址(如果您没有从中请求静态IP地址)。
这是为了什么
IP地址允许网络上的其他计算机与您的计算机进行通信。 发送消息,共享文件等。 尽管实际上,它并不像乍看起来那样简单。
它可以是本地的也可以是全球的。 本地地址例如由路由器发布。
继续,Internet是从订户之间的一个大通道分发的,它是通过路由器和NAT服务器(伪装)实现的,也就是说,当流量通过大通道到达订户时,它会到达路由器,该路由器将运行中的数据包地址替换为机器地址。 ,请求的发出方向也是相反的。
我们访问该站点,但是所有内容如何安排?
所有站点都位于服务器上,服务器===是具有足够能力来回答所有请求的计算机,并且具有运行服务器的特殊服务器操作系统,主要是Linux(ubuntu,debian,centOS)。 使用专门为托管站点设计的软件启动服务器。 这主要是Apache或Nginx。 由于节省资源,计算机没有图形界面。 所有工作都从命令行完成。
这样的服务器位于特殊的数据中心,在每个国家和地区都可以使用几块。 他们受到严格的保护,并且由经验丰富的专家对他们的工作进行监督,他们也受到良好的监督。
因此,服务器正在运行,站点正在运行,但这还不是全部。 正如我所说,所有计算机都有自己的本地和全球地址,并且该站点具有128位地址,但是我们不会通过这个难以记忆的地址与他联系吗? DNS在这里也起作用。 该系统在其数据库中注册地址,并为它们分配一个短名称,例如google.ru。
域名系统已经使用全名运行(在形成过程中允许使用拉丁字母,数字,破折号和下划线)。 它们更容易记住,承载语义,并且更易于操作-我们在地址栏中输入google.ru而不是209.185.108.134。
DNS系统在路由器和提供商中可用,如果有更多相关数据可用,它们可以替换地址。
SORM
我们了解到,互联网分别为我们提供了一个提供商,流量通过它。 这是国家的来历,要求对互联网用户进行监视。 他们在提供商处安装了SORM系统复合体,将它们连接到交换机,然后流量通过它们。 这些系统会过滤软件包,进行实地考察,而上帝知道其他什么。 他们还可以访问提供者的数据库。 根据系统的类型,它收集个人和一般每个人的流量。
在其他国家,是否也在监视公民?
是的,他们是。 在其他国家/地区也存在类似的系统:在欧洲-已通过ETSI认证的合法拦截(LI),在美国-CALEA(《执法协助通信法案》)。 我们SORM的区别在于对功能执行的监视。 在俄罗斯,与欧洲和美国不同,FSB官员必须具有有效的法院命令,但可以连接SORM设备,而无需向操作员出示证明。
现在是技术细节:IP地址 -基于TCP / IP协议栈的计算机网络中节点的唯一网络地址。
在版本6中,IP地址(IPv6)为128位。 在地址内,分隔符是冒号(例如2001:0db8:85a3:0000:0000:8a2e:0370:7334)。 记录中允许省略前导零。 可以省略连续的零个组,在其位置放一个双冒号(fe80:0:0:0:0:0:0:0:1可以写成fe80 :: 1)。 不允许在地址中多次通过。
DHCP (动态主机配置协议)是一种网络协议,允许计算机自动获取IP地址和在TCP / IP网络上工作所必需的其他参数。 该协议根据客户端-服务器模型工作。 对于自动配置,客户端计算机在网络设备的配置阶段访问所谓的DHCP服务器并从中接收必要的参数。 网络管理员可以指定服务器在计算机之间分配的地址范围。 这样可以避免手动配置网络计算机并减少错误。 DHCP在大多数TCP / IP网络上使用。
DHCP是BOOTP协议的扩展,该协议以前曾用于在引导无盘工作站时提供IP地址。 DHCP保持与BOOTP的向后兼容性。
DHCP端口-67-服务器,68-客户端。
互联网上的主要协议是TCP:
TCP / IP-用于传输以数字形式呈现的数据的网络模型。 该模型描述了一种从信息源向接收者传输数据的方法。 该模型假定信息通过四个级别传递,每个级别由一条规则(传输协议)描述。 解决数据传输问题的规则集构成了基于Internet的数据传输协议的堆栈。 TCP / IP这个名称来自两个最重要的家族协议-传输控制协议(TCP)和Internet协议(IP),它们是在此标准中首先开发和描述的。 由于1970年代ARPANET网络的历史渊源(由美国国防部DARPA管理),有时也称为国防部(DOD)模型。
HTTP TCP端口-80,SMTP-25,FTP-21。
SORM
此外,提供商还安装了用于数据收集的组件。 在俄罗斯,这是饲料,在其他国家/地区是类似的饲料,但名称和制造商不同。
IS SORM-3是一个软件和硬件复合体,用于收集,累积和存储有关电信运营商用户的信息,有关所提供服务和付款的静态信息。 通过与俄罗斯FSB区域部门的标准控制中心集成,可以在ORM期间通过电信运营商网络向国家机构的授权员工提供对系统中存储的信息的访问权。
我不会显示复杂的方案,我相信没有人需要它们。 我只能说它们已连接到交换机(SNR 4550)。
网络交换机 -一种设计用来连接一个或多个网段内的计算机网络的多个节点的设备。 交换机在OSI模型的通道(第二)级别运行。 交换机是使用桥接技术设计的,通常被认为是多端口桥接。 路由器用于基于网络层(OSI 3级)连接多个网络。
路由器是一台专用计算机,可以根据规则和路由表在不同网段之间转发数据包。 路由器可以连接不同体系结构的异构网络。 为了决定转发数据包,使用了有关网络拓扑的信息以及管理员设置的某些规则。
广泛实践是将基于IP的网络划分为逻辑段或逻辑子网。 为此,为每个网段分配一个地址范围,该范围由网络地址和网络掩码指定。 例如(在CIDR记录中):
- 192.168.1.0/24、192.168.2.0/24、192.168.3.0/24等-每个网段最多254个节点
- 192.168.0.0/25、192.168.128.0/26、192.168.172.0/27-分别细分为126、62、30个节点。
SORM的主要任务是确保国家及其公民的安全,这是通过选择性地控制所侦听的信息来实现的。 SORM的开发是按照国家通讯委员会,通讯部和俄罗斯联邦政府的命令进行的,其目的是强制电信运营商“提供从事运营搜索活动或确保俄罗斯联邦安全的授权国家机构,有关通讯服务用户的信息以及向他们提供的通讯服务,以及其他在联邦法律确定的情况下,完成分配给这些机构的任务所需的信息。”
SORM-2-这是一个跟踪俄罗斯互联网用户的系统。 它是连接到提供商(电信运营商)的设备的设备(服务器)。 提供商仅将其包含在其网络中,并且不了解监听的目标和方法,因此管理中涉及特殊服务。
SORM-3-有什么新功能?
SORM-3的主要目标是不仅实时获取有关用户的最完整信息,而且还可以获取特定时间段(最长3年)的信息。 如果SORM-1和SORM-2拦截了来自用户的信息,则SORM-3不包含此类信息,而是仅存储统计信息,将其存储并在Internet上创建人员的个人资料。 为了积累大量数据,将使用大型存储系统以及深度包检测系统来过滤掉多余的信息(电影,音乐,游戏),这些信息不包含对执法机构有用的信息。
我们继续前进,Internet是从订户之间的一个大通道分布的,它是通过路由器和
NAT服务器(伪装)实现的,也就是说,当流量通过大通道到达订户时,它会到达路由器,该路由器将运行中的数据包地址替换为机器地址。请求来自何处。
NAT是TCP / IP网络中的一种机制,可以转换传输数据包的IP地址。 也称为IP伪装,网络伪装和本机地址转换。
使用NAT的地址转换几乎可以通过任何路由设备(路由器[1],访问服务器和防火墙)完成。 最受欢迎的是SNAT,其机制的本质是在数据包沿一个方向通过时替换源地址(源),并在响应数据包中反转目标地址(目的地)。 除了源/目标地址外,源和目标端口号也可以替换。
路由器从本地计算机收到数据包,然后查看目标IP地址。 如果这是本地地址,则将数据包转发到另一台本地计算机。 如果不是,则必须将软件包发送到Internet。 但是数据包中的返回地址表示计算机的本地地址,无法从Internet进行访问。 因此,“运行中”路由器将数据包的返回IP地址转换(替换)为其外部IP地址(从Internet可见)并更改端口号(以区分发往不同本地计算机的响应数据包)。 路由器需要在其临时表中进行向后替换所需的组合。 客户端和服务器完成数据包交换后的某个时间,路由器将从到期日期开始删除其表中第n个端口上的记录。
除了源NAT(为用户提供具有内部Internet访问地址的局域网)外,当防火墙将外部呼叫通过防火墙传输到具有内部地址的本地计算机上的用户计算机时,也经常使用目标NAT,因此无法直接从外部网络(没有NAT)进行访问。
地址转换有3个基本概念:静态(静态网络地址转换),动态(动态地址转换),假面舞会(NAPT,NAT过载,PAT)。
静态NAT-一对一地将未注册的IP地址映射到已注册的IP地址。 当应该从网络外部访问该设备时特别有用。
动态NAT-将未注册的IP地址显示为一组已注册IP地址中的已注册地址。 动态NAT还可以在未注册和已注册地址之间建立直接映射,但是该映射可能会根据通信期间地址池中可用的已注册地址而有所不同。
拥塞NAT (NAPT,NAT过载,PAT,伪装)是动态NAT的一种形式,它使用多个端口将多个未注册的地址映射到单个已注册的IP地址。 也称为PAT(端口地址转换)。 过载时,专用网络中的每台计算机都将转换为相同的地址,但端口号不同。 NAT机制在RFC 1631,RFC 3022中定义。
NAT类型
常见于VoIP的NAT分类[2]。 术语“连接”用于表示“ UDP数据包的串行交换”。
对称NAT (Symmetric NAT)-广播,其中将由一对“内部地址:内部端口”发起的每个连接转换为一个随机的,免费的,随机选择的一对“公共地址:公共端口”。 但是,无法从公共网络启动连接。 [未指定来源856天
圆锥NAT,完整圆锥 NAT-“内部地址:内部端口”和“公共地址:公共端口”对之间的明确(相互)转换。 任何外部主机都可以启动与内部主机的连接(如果防火墙规则允许的话)。
地址受限的锥体NAT,受限的锥体NAT-在“内部地址:内部端口”和“公共地址:公共端口”之间永久广播。 从内部地址发起的任何连接均允许其从较早发送数据包的公共主机的任何端口接收数据包。
受端口限制的锥体NAT-在“内部地址:内部端口”和“公共地址:公共端口”之间转换,其中传入的数据包仅从公共主机的一个端口进入内部主机-内部主机已经向其发送了数据包。
好处
NAT执行三个重要功能:
通过将多个内部IP地址转换为一个外部公共IP地址(或几个,但少于内部公共IP地址)来保存 IP地址(仅在PAT模式下使用NAT时)。 世界上大多数网络都是基于此原理构建的:1个公用(外部)IP地址分配给本地提供商的家庭网络或办公室的一小部分,与专用(内部)IP地址的接口可以工作和访问。
允许您阻止或限制从外部对内部主机的访问,而使从内部到外部的访问成为可能。 从网络内部启动连接时,将创建广播。 来自外部的响应数据包与创建的广播相对应,因此被跳过。 如果对于从外部到达的数据包,不存在相应的转换(可以在启动连接或静态连接时创建该转换),则不会跳过它们。
允许您隐藏内部主机/服务器的某些内部服务。 实际上,上面的相同转换是在特定端口上执行的,但是可以替换正式注册服务的内部端口(例如,外部54055的第80个TCP端口(HTTP服务器))。 因此,从外部将外部地址转换为知识丰富的访客的网站(或论坛)地址后,便可以访问example.org:54055 ,但在位于NAT后面的内部服务器上,它将正常运行80端口。 改善安全性并隐藏“非公共”资源。
缺点
旧协议。 如果交互主机之间存在地址转换,则在NAT大规模采用之前开发的协议将无法正常工作。 某些转换IP地址的防火墙可以通过不仅在IP标头中而且在更高级别(例如FTP协议命令)适当替换IP地址来纠正此缺陷。 . Application-level gateway.
. - « » .
DoS-. NAT , DoS- ( ). , ICQ NAT - . ( ), .
. NAT-, Universal Plug & Play, , (. -) , , .
NAT . port forwarding, iptables, — . NAT.
Static NAT , , IP ( «» ) , , , .
即 1-1 ( IP ). .
, , . , , , , ( , - ) IP , . , google.com , : IP (DNS ) … .
, , !
?
, , , DNS , , . . google.com:80 , , ":80" .
, , : IP , .
NAT , .. . , .
, IP — , — . , , , .
NAT
, IP 87.123.41.11, 87.123.41.12, 87.123.41.13, 87.123.41.14, . , , (87.123.41.11), ( 1 — .12, 2 — .13, 3 — .14).
, IP . , 87.123.41.12, 1 , (192.168.1.2). NAT .
:
:
NAT . , , , . , IP , «».
即 , , , , - - ( NAT).
/ , NAT .
, , , - .
提供者路由器具有路由表 - 存储在路由器或网络计算机上的电子表格(文件)或数据库,用于描述目标地址与数据包应通过其发送到下一个路由器的接口之间的对应关系,它为您的数据包选择最佳的传输层路由从服务器到PC或智能手机。还记得我们最喜欢的OSI吗?运输等级 (. transport layer) . . , , (, ), , , , . , UDP , ; TCP , , , , .
路由器选择最佳路由并将其保存在数据包名称中,然后该数据包将作用于指定的路由。路由是路由器根据其表选择的汽车和服务器之间最短的网络节点的网络地址序列。因此,所有包都有生命周期,以防丢失:TTL概念
, 5 . : «, ». . «, ». . , , , -, -, ( ) . TTL (Time To Live), , «**» . , ( – « »), , . icmp- « ».