8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 12 13 14 15 16 17 18 ... 125

максимальная длина пакета не может превышать 65535 байт. Вычитая из этого значения длину заголовка, можно найти длину блока данных в датаграмме;

О идентификатор. Когда для пересылки по сети сообщение разбивается на несколько датаграмм (фрагментируется), для их сборки принимающая сторона должна иметь возможность распознать, какие датаграммы принадлежат к одному и тому же сообщению. Для этого и предназначено данное поле. В передающем узле для каждого посылаемого сообщения имеется уникальный идентификатор, и значение этого 16-битного поля будет одинаковым для всех датаграмм сообщения;

О флаги. Поле состоит из нескольких битов флагов. Бит 0 зарезервирован и должен всегда иметь значение 0. Бит 1 соответствует флагу Dont Fragment (DF, запрет фрагментации). При нулевом значении данного бита разрешается фрагментация, а при единичном - запрещается. Если флаг установлен и датаграмма не может быть передана в следующий сегмент без фрагментации, она отбрасывается. Когда флаг равен 0, датаграмма разбивается на несколько датаграмм меньшего размера, которые посылаются дальше. Бит 2 отвечает флагу More Fragments (MF, флаг фрагментации) и указывает статус фрагментации пакета. Если данный бит равен 1, должны быть приняты дополнительные фрагменты. В последнем фрагменте исходного сообщения флаг равен 0. Два этих поля управляют процессом фрагментации;

О смещение фрагмента. Если флаг MF равен 1 (сообщение было фрагментиро-вано), поле обозначает положение фрагмента в исходном сообщении. Имеет длину 13 бит и выражает смещение в 8-байтных единицах;

О время жизни (Time to Live, TTL). Определяет максимальное время (в секундах) существования датаграммы в сети. Значение поля устанавливается при создании датаграммы и уменьшается всеми узлами, через которые проходит дата-грамма. Когда значение становится равным 0, датаграмма уничтожается. Это значение обязательно уменьшается каждым узлом, по крайней мере, на секунду, даже если датаграмма была обработана быстрее, чем за секунду, а на сильно загруженном компьютере оно может сократиться сразу на несколько секунд;

О протокол. 8-битное поле, идентифицирующее тип протокола данных датаграммы. Стандарт Network Information Center (NIC Информационный центр сети) определяет числа, которые служат для обозначения различных протоколов. Протоколу TCP, например, соответствует значение 6;

О контрольная сумма заголовка - 16-битное значение, которое используется для проверки целостности информации в заголовке. При изменении этой информации в заголовке оно вычисляется заново. Например, значение меняется, поскольку значение TTL уменьшается каждой системой, через которую проходит датаграмма;

О адрес источника. IP-адрес отправителя датаграммы. Длина данного поля - 32 бита;

О адрес назначения. IP-адрес получателя датаграммы, поле длиной 32 бита; О параметры - необязательное поле переменной длины со списком опций. Параметры могут быть управляющими, зарезервированными, отладочными


ФОРМАТ IP-ДАТАГРАММЫ 49

и измерительными. При помощи этого поля реализуется маршрутизация от источника (source routing), что особенно важно при настройке межсетевого экрана;

О заполнение нулями. Применяется для заполнения заголовка нулями до границы 32 бит.

Важная информация в заголовке пакета

Фильтры пакетов работают с информацией в заголовке IP-пакета. Наиболее важные поля - адреса источника и адресата, тип протокола и флаги фрагментации. Например, IP spoofing (подмена IP-адреса) происходит, если хакер меняет адрес источника в заголовке пакета. Поэтому следует настраивать фильтр пакетов таким образом, чтобы блокировать все внешние пакеты, если в качестве адреса источника в них записан адрес вашей внутренней сети. Поскольку пакет поступил снаружи, он не мог быть передан из локальной сети. Это попытка хакера поместить в сеть пакет, который выглядит так, как будто он пришел изнутри.

Поле параметров и маршрутизация от источника

Хотя поле параметров и не является обязательным, с его помощью межсетевой экран способен, например, реализовать маршрутизацию от источника (source routing). В начале этой главы при первом упоминании протокола IP, отмечалось, что маршрутизация выполняется другими протоколами. В большинстве случаев это действительно так. Но, как видно из табл. 2.6, имеется два параметра, которые могут быть использованы протоколом IP для маршрутизации. Это третий и девятый параметры: строгая маршрутизация от источника (strict source routing) и нестрогая маршрутизация от источника (loose source routing).

Таблица 2.6. Классы и номера параметров

клпсх параметраномер параметраприменение

О0Обозначает конец списка параметров

О1Параметров нет

О2Параметры безопасности для военного применения

О3Нестрогая маршрутизация от источника

О7Включение записей маршрутизации

О9Строгая маршрутизация ат источника

24Включение меток времени

Строгая маршрутизация от источника позволяет хакерам направить пакет через свой компьютер.

Оба параметра определяют список адресов, через которые должна пройти дата-грамма. При нестрогой маршрутизации маршрут к каждому из этих узлов выбирается произвольно. При строгой маршрутизации датаграмму необходимо передавать точно в порядке списка, если же это невозможно, она будет отброшена.


более подробную информацию о маршрутизации от источника и причинах ее выключения в брандмауэре вы найдете в главе 3.

Порты TCP и UDP

Если бы все приложения задавали только IP-адрес получателя пакетов, данные доставлялись бы на узел назначения, но на нем было бы почти невозможно определить, какому процессу они предназначены.

Для решения этой задачи в протоколах TCP и UDP служат номера портов. Каждое приложение, использующее TCP/IP, задает номер порта (port) удаленного компьютера. Номера портов являются конечными точками (endpoints) маршрута, что позволяет двум взаимодействующим по сети приложениям идентифицировать друг друга. Представьте себе, что на ваше предприятие приходят почтовые сообщения, в которых указан только адрес компании. Как узнать, кому адресовано каждое письмо? Чтобы задать пункт назначения более точно, следует указать фамилию адресата и номер подразделения. Примерно такую же роль выполняет номер порта.

Общеизвестные порты

Организация Internet Assigned Numbers Authority (I AN А, Управление по присвое-/T°ioo°4TPOB Internet) опРеДеляет назначение портов в первом диапазоне адресов 1UZ6> ~ так называемых стандартных портов. Эти порты описаны в нескольких документах RFC (последний из них - RFC 1700) и изменяются очень редко.

список этих портов представлен в табл. П 1.1 приложения 1.

Стандартные порты обычно доступны только привилегированным процессам или пользователям.

Например, утилита Telnet работает с портом 23. Обратите внимание, что в большинстве случаев протоколы UDP и TCP применяют один и тот же порт. Но это не обязательно, поэтому при работе с таблицей всегда проверяйте тип протокола для нужного вам порта.

Таблица поможет вам принять решение о том, какие порты заблокировать в межсетевом экране. Некоторые из приложений никогда не будут вызываться в вашей системе, и, следовательно, нет никакой необходимости пропускать через брандмауэр сетевой трафик, использующий эти порты.

Зарегистрированные порты

Порты с номерами от 1024 до 65535 также можно применять, но их назначение не определяется стандартами IANA. Они называются зарегистрированными портами и доступны большинству пользовательских процессов в системе



0 ... 12 13 14 15 16 17 18 ... 125