Одом У. - CISCO Официальное руководство по подготовке к сертификационным экзаменам CCENTCCNA ICND1 - 2010 (953096), страница 42
Текст из файла (страница 42)
Таким образом, перед тем',":::-(~ как браузер сможет отправить пакет на веб-сервер, ему обычно требуется преобразо-.,'.-'',"1 вать имя сервера в 1ЬКЕ в соответствующий этому имени! Р-адрес. Для того чтобы обобщить вышеизложенные концепции, на рис. 6. ! 2 показан про-,' .-,; цесс службы О1чз, инициированный веб-браузером, а также приведена другая свя-' занная с этим процессом информация, В целом, можно сказать, что пользователь вволит ОЙ(.
(псгр: У/эта.стасо.сотУдогрхерсепсегХ абраузер преобразуетнмя-'.::;:,! ьган. с(всо. ссмп в корректный !Р-адрес и начинает отправку пакетов на веб-сервер. в Оиз-с р 193,317, Веб-сервер ачт.сесо ест 106.133Д19 33 Й7с. б. 72. Работа сзужбы 77ФЛ'и заарас ааб-страницы На рисунке показаны следующие этапы процесса. 1,, Пользователь вводит ЬК(.
1тетр: Онни. стасо. сот/уо/рхерсепкек-в ной строке браузера. 2. Клиент посылает,О(ч!Я-запрос на $МЧЯ-сервер. Как правило, клиент узна~% адрес О!ч($-,сервера' с: помо!пью протокола, ОНСР. Отметим, что 'ОИЯ-'запроц1. ~::."-;:~:.--:;;.:;::.~:: —.::::;;::!!(Е!!ьйфрмрзлов!!купроуоколас '$2ОР с,'портом облучателя .рвзвнымсобшеезвй Глава 6. Основы протокола ТСРЛР: передача данных, приложения...
199 му порту 53 (список популярных общеизвестных портов приведен в табл. 6.3 ранее в этой главе). 3. (3)чЯ-сервер посылает ответ, приводя !Р-адрес 198.133.219.25 в качестве 1Р- адреса для Ьсср: //ьъъ . сйвсо. сов. Отметим также, что в ответе содержится адрес 64.100. 1,1 в качестве 1Р-адреса получателя, т.е. (Р-адрес клиента. В нем также содержится 1 1ОР-заголовок с портом отправителя 53; это вызвано тем, что данные посылаются (Нчз-сервером.
4. Клиент начинает установку нового ТСР-соединения с веб-сервером'. Отметим, что 1Р-адресом получателя является только что ставший известным 1Р-адрес вебсервера. Пакет включает в себя ТС Р-заголовок, поскольку НТТР использует протокол ТСР. Отметим также, что ТСР-портом получателя является порт 80, т.е. общеизвестный порт НТТР. В заключение отметим, что на рисунке показан бит Ь т')ч — это напоминает о том, что процесс установки соелинения ТСР начинается с сегмента ТСР, в котором установлен бит з т)ч' (бинарная единица, 1).
На этой стадии процесса веб-браузер почти полностью закончил установку соединения ТСР с веб-сервером. В следующем разделе показано, как веб-брвузер получает файлы, которые образуют запрашиваемую веб-страницу. Передача файлов с повдощью протокола НТТР После того, как веб-клиент (браузер) создал соединение ТС (у,:-:.!!.;:,; клиент может запрашивать у сервера веб-страницы.
Чаше всего !~~!;:,.~ страниц используется протокол НТТР. Этот протокол уровня при г~~~;".'':.": ный в КРС 26!6, определяет способ передачи файлов между двум '~~!;.: Протокол НТП' был специально создан лля передачи файлов ме "4!~~:; и веб-клиентами. ~~Я;;::;-:: В протоколе Н П Р определены несколько команд и ответов; пр ф~~(!'-' ' часто используется НТТР ОЕТ-запрос. Для получения файла с в ,,"Ъд";,':";:посылает серверу НТГР С ЕТ-запрос с указанием имени Файла. ~ж:;-.;~~:.:мает решение послать файл, то он отправляет ответ на ОЕТ-заир (означающим "ОК"), а также солержимое Файла. Р с веб-сервером, для передачи. вебложений,.описана компьютерами. жду веб-серверами и этом наиболее еб-сервера клиент Если серйер приниос с кодом ответа Ание) НТТР-запросов имеется множество кодов ответов.
Например, когда север не имеет рашиваемого файла, ои возврашает код 404, означаюшии "файл ие найден". Большинство -браузеров, получая в ответ на запрос код 404, отображают пользователю не НТТР-код, а Шение вроде "страница не найдена". Веб-страницы обычно состоят из нескольких файлов, называемых сбавками сев). Большинство веб-страниц содержат текст, а также графические изображе, анимированную рекламу и, возможно, файлы голосовых или видеоданных; „,, Каждый нз этих компонентов хранится как отдельный объект. (Файл) на ~ ВЕРЕ. Ддя ПОЛуЧЕНИя ВСЕХ ЭТИХ ФайЛОВ ВЕб-брауэср СНаЧаЛа ПОЛуяавт ПЕРИ(зй йл.
Этот Файл:может включать в себя (и обычно включает) осыпки недруге ЦЮ',' этому,браузер после этого запрашивает другие обьекты. на рнс. 6л 3:.преидйюш". ована общая картина'этого процесса, в котором браузед получает'первый Фдйзт," в:, м два'друтйлх'.файл». Часть В Основы сетей тьуковсо.сот 4$ву броузер (клиент) Рис. б. 73. Несколько бег-запросов и ответов протокола Н 7Т'Р В данном случае после получения первого файла — обозначенного в ОВ7 как;-,.!:.
"79о/сспа'", браузер читает н интерпретирует этот файл. Кроме элементов страни;;к цы, полученный файл содержит ссылки на два других файла, поэтому браузер созда-,, ет и отправляетдва дополнительных ОЕТ-заир<уса протокола НТТР. Отметим, что хотя это и не показано на рисунке, все эти команды передаются по::-":, ,. 'т.';." одному (или нескольким) ТСР-соединеникт между клиентом и серверзм. Это оанао-„,::~: чает, что протокол ТСР обеспечивает восстановление после ошибок, гарантирууз','" доставку данных. В заключение в данной главе приводятся начальные сведения по обеспечений~ь7 безопасности сети.
Безопасность сети Раньше угрозы безопасности сети приходили в основном от гениев или "бпт!т;";„' ников", кОторЫе Не знали, КаК Убить время. Их количество было относительно ивуУ~Е лико. Главным их мотивом было желание доказать, что они могут проникнуть.а:,,' "' жую сеть. С тех пор количество потенциальных взломщиков и сложность атак экспоненциально. Атаки, когорые некогда требовали от взломщика высокого ня владения компьютером, сейчас совершаются с помсчцью легко загружаеМЬВГт своболно доступных инструментов, воспользоваться которыми могут даже сту младших курсов. Каждая компания и почти каждый человек подсоединяются:к .
„- Интернст, что, по существу, делает уязвимым весь мир. Наибольшую опасность, однако, представляют изменения в мотивации лиЦз.. вершающнх атаки. Вместо честолюбивых помыслов или попытки украсть милл ., современные взломщики могуг быть значительно более организованы и моти,, вани, Организованная преступность пытается украсть миллиарды, заннмвяе7к",с могательством у крупных компаний, угрожая атаками на отказ в обслу (оепуа7 ор жгуусе — ОоЬ) на публичные серверы компании.'Они могут.'и идентифриациониую информацию или.
данные 'кредитных карточек у сотФв. "'- "-"-"""'-"'ляй$ввгсхййец!!~7Вцф,изауизйщй49$' атакй,' Ащки" мбгуоонсходить' от.государыней "-- - -" ...' - -'"-'- " "-' .'илиьмьуяуаввмтЬФ4МФ47рй, Глава 6. Основы протокола ТСРЛР: передача данных, приложения... 201 ленные сети, но и пытаются вывести из строя инфраструктурные службы коммунальных предприятий и транспорта, а также нанести ущерб экономике. Проблема безопасности действительно серьезна и требует пристального внимания.
В рамках изучения данной книги и подготовки к сдаче экзамена 1С1ч01 в предстоящем изложении рассматриваются основы терминологии, типы проблем безопасности и некоторые типичные средства, используемые для уменьшения возможных рисков для безопасности сети. С этой целью в этом заключительном разделе представлен общий обзор возможных атак, а затем описаны четыре класса средств, используемых для защиты сети от возможных угроз..
Кроме этих предварительных сведений в — книге также рассматриваются вопросы зашкты устройств„в данном случае маршрутизаторов и коммутаторов, как часть материала главы 3 "Работа с коммутаторами компании С1зсо" и главы 13 "Работа с маршрутизаторами компании Свсо" Обзор источников и типов утроз сети На рис. 6.! 4 показана типичная. топология сети с брандмауэром. Брандмауэр, вероятно, является наиболее известным устройством защиты сети, которое располагается между сетью предприятия и небезопасной сетью Интернет. Задача брандмауэра состоит в том, чтобы остановить пакеты, которые сетевой инженер или менеджер безопасности счел небезопасными.
Брандмауэр ~лавным образом просматривает номера портов транспортного уровня и заголовки уровня приложений для того, что- ~~';;:;~:-: бы предотвратить проникновение в сеть предприятия пакетов, исходящих от опре"Ф~"'"'" ачлхзаатрйьсап ие сея» предпряяглвл с брандмауэром Часть !. Основы сетей Олнако ситуация, показанная на рисунке, может создать у обычного сотрудника неправильное представление о проблемах безопасности.
Ему может показаться, *по брандмауэр обеспечивает защиту от всех угроз, связанных с подсоединен нем к сети Интернет.;.? Граничный бранлмауэр сети предприятия (брандмауэр на границе или на периметре сети) защищает не от всех угроз, связанных с подключением к Интернет. Более того, большая часть угроз безопасности в лействительности исходит из самой сети предприятия, а брандмауэр этих пакетов даже не видит. Для того чтобы лучше оценить угрозы, исходящие нз самой сети прелпрнятия, следует несколько полробнее ознакомиться с различными возможными типами атак. ° Атака типа "отказ в обслуживании" (Г)ев)а! о! аегт)се — 0об).
Белью этой атаки является взлом. Поз-атаки называемые разрущиглелями (дежгоуггз), пытаются повредить узел сети, уничтожая данные и программное обеспечение. Оса-атаки, называемые взломщиками (сглзлегз), наносят врел, вызывая сбои на узле или делая невозможным подсоелинение уст- ':.',':,', ройств к сети. Г)оа-атаки, называемые залолниееляви О)ооггегг), переполняют:;:": сеть пакетами„лелая ее непригодной для исполыования и лишая польюватй-.::!-',' лей возможности связи с серверами. ° Развелывательные (гесопаа)кчяпсе) атаки.