Зегжда Д.П. Информационная безопасность

Подождите немного. Документ загружается.

Представляется возможным выделить два различных по цели вида модификации

кода:

— внедрение РПС;

— изменение логики работы исполняемого файла;

В первом случае, при внедрении РПС исполняемый файл модифицируется по

вирусной технологии. То есть, к исполняемому файлу одним из известных способов

дописывается тело РПС и, также, одним из известных способов изменяется точка входа

так, чтобы она указывала на внедренный код РПС. Описанный способ, в принципе ни

чем не отличается от стандартного заражения исполняемого файла вирусом за

исключением того, что файл оказался поражен вирусом или РПС в момент передачи его

по сети! Такое возможно лишь при использовании системы воздействия, построенной по

принципу ложный сервер Конкретный вид РПС, его цели и задачи в данном случае не

имеют значения, но можно рассмотреть, например, вариант использования ложного

сервера для создания сетевого червя — наиболее сложного на практике удаленного

воздействия в сетях ЭВМ или в качестве РПС использовать сетевые шпионы (см. п.

4.2.2.5).

Во втором случае происходит модификация исполняемого кода с целью изменения

логики его работы. Данное воздействие требует предварительного исследования работы

исполняемого файла и в случае его проведения может принести самые неожиданные

результаты. Например, при запуске на сервере программы идентификации пользователей

распределенной базы данных ложный сервер может так модифицировать код этой

программы, что появится возможность беспарольного входа с наивысшими

привилегиями в базу данных.

4.2.2.4.3. Подмена информации.

Ложный сервер позволяет не только модифицировать, но подменять

перехваченную им информацию. Если модификация информации приводит к ее

частичному изменению, то подмена — к ее полному изменению. То есть, при

возникновении в сети определенного контролируемого ложным сервером события

одному из участников обмена посылается заранее подготовленная дезинформация. При

этом эта дезинформация в зависимости от контролируемого события может быть

воспринята либо как исполняемый код, либо как данные. Рассмотрим пример подобного

рода дезинформации.

Предположим, что ложный сервер контролирует событие, которое заключается в

подключении пользователя к серверу. В этом случае он ожидает, например, запуска

соответствующей программы входа в систему. В случае, если эта программа находится

на сервере, то при ее запуске исполняемый файл передается на рабочую станцию. Вместо

того, чтобы выполнить данное действие ложный сервер передает на рабочую станцию

код заранее написанной специальной программы — захватчика паролей. Эта программа

выполняет визуально те же действия, что и настоящая программа входа в систему,

например, спрашивается имя и пароль пользователя, после чего полученные сведения

посылаются на ложный сервер, а пользователю выводится сообщение о ошибке. При

этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не

отображается на экране) снова запустит программу подключения к системе и со второго

раза войдет в нее. Результат такой атаки — имя и пароль пользователя, сохраненные на

ложном сервере.

4.2.2.5. Сетевой шпион или удаленный контроль за станцией в сети.

Средства, которые могут использоваться для получения доступа к

конфиденциальной информации, различны. Самые изощренные, наиболее

труднообнаруживаемые — это программные закладки и несколько легче

обнаруживаемые — компьютерные вирусы. Простейшим примером такой закладки

может быть программа, перехватывающая ввод с клавиатуры (паролей например) и

сохраняющая перехваченную информацию в определенном секторе жесткого диска.

В связи с объединением компьютеров в сеть у этого вида РПС появляется новый

подвид — сетевые шпионы. Сетевой шпион — это программная закладка или

компьютерный вирус, функционирующий в сети ЭВМ, основная цель которого —

получение удаленного контроля над рабочей станцией в сети. Данный вид РПС

добавляет еще один тип атак на сетевые ОС — удаленный съем информации и получение

удаленного контроля над рабочей станцией в сети.

Рассмотрим схематично основные этапы работы сетевого шпиона

1. инсталляция в памяти;

2. ожидание запроса с удаленного атакующего компьютера, на котором запущена

головная сервер — программа, и обмен с ней сообщениями о готовности,

3. передача перехваченной информации на головную сервер — программу или

предоставление ей контроля над зараженным компьютером.

Рассмотрим основные функции, присущие сетевым шпионам

1. Перехват и передача вводимой с клавиатуры ин формации на головную сервер

— программу,

2. Перехват и передача экранной информации на головную сервер — программу,

3. Перехват и передача на головную сервер — программу системной информации о

ПК (тип ОС, параметры компьютера, загруженные программы и т.д. ),

4. Получение контроля сервер — программой над зараженным удаленным

компьютером (удаленный запуск программ, копирование данных, удаление данных и т.д.

Таким образом, проникновение в сетевую ОС сетевых шпионов нарушает

политику безопасности, принятую в сети, ведет к нарушению целостности данных и

позволяет несанкционированно использовать вычислительные мощности компьютеров,

объединенных в сеть.

Одним из примеров подобной закладки может служить Registration Wizard в ОС

Windows 95, которая после установки данной операционной системы пытается

совершить звонок по модему в офис фирмы Microsoft и сообщить данные о параметрах

ПК, на который она установлена и данные о пользователе, ее использующем.

Сетевой шпион—активное воздействие (класс 1.1), совершаемое как с целью

перехвата (класс 2.1), так и искажения информации (класс 2.2), являющееся атакой по

запросу (класс 3 1) Сетевой шпион — это как внутрисегментная (класс 4.1), так и

межсегментная (класс 4.2) удаленная атака, осуществляемая на сетевом уровне модели

OSI (класс 5.3).

4.2.2.6. Сетевой червь (WORM).

В сети ЭВМ существует вид вирусов, называемый сетевыми червями (worm),

распространяющийся в ней. Основная цель и задача сетевого червя — получение

управления в операционной системе удаленного компьютера.

Рассмотрим схематично основные этапы работы сетевого червя:

1. Поиск в сети цели атаки — удаленных ЭВМ;

2. Передача по сети своего кода на цель атаки;

3. Получение управления в операционной системе цели атаки;

4. Переход к п.1.

Из этой схемы видно, что основной проблемой для сетевого червя является

получение управления на удаленном компьютере Решение этой задачи на практике

чрезвычайно затруднено, так как, для ее решения необходимо либо знать имя и пароль

пользователя для входа в компьютер, либо обладать информацией о люках или дырах в

программном обеспечении, обеспечивающем удаленный доступ, либо использовать

ошибки администрирования служб предоставления удаленного доступа (см 4227)

Единственный пример сетевого червя — это червь Морриса, распространившийся в сети

Internet в 1988г , который использовал описанные выше ошибки, существовавшие в

ранних версиях утилит finger и sendmail, а также ошибки администрирования сетевых

служб ОС UNIX (r — служб). Сетевой червь — активное воздействие (класс 1.1),

совершаемое как с целью перехвата (класс 2.1), так и искажения информации (класс 2.2),

начало которого безусловно по отношению к цели атаки (класс 3.3). Сетевой червь — это

как внутрисегментная (класс 4.1), так и межсегментная (класс 4.2) удаленная атака,

осуществляемая на сетевом уровне модели OSI (класс 5.3).

4.2.2.7. Удаленные атаки, использующие ошибки администрирования или

ошибки в реализации служб предоставления удаленного доступа.

Одной из особенностью сетевых операционных систем является наличие в них

служб предоставления удаленного доступа (СПУД) Под удаленным доступом

понимается предоставление прав и полномочий пользователю на чтение, запись, запуск

программ или получение информации на удаленном компьютере. Соответственно

основная задачи службы предоставления удаленного доступа — это принятие решения о

возможности предоставления пользователю удаленного доступа и его обеспечение.

В современных сетевых ОС одним из важнейшим фактором, обеспечивающим безопасность

сети, является безопасное администрирование СПУД Очевидным фактом является то, что какой бы ни

была надежной СПУД, при неправильном ее администрировании безопасность системы в целом будет

сведена на нет. На практике оказывается, что администрирование СПУД является довольно сложным

делом. Это связано с тем, что СПУД нельзя рассматривать в отрыве от конкретной сетевой ОС, в

которой она используется. А так как современные сетевые ОС в большинстве своем довольно сложны и

состоят из большого количества объектов разной степени значимости (пользователей, процессов,

файлов, периферийных устройств и т.д. ), отношения между которыми и, соответственно, доступ к

которым и должна регулировать СПУД, то задача разграничения доступа и задание тех или иных

приоритетов (уровней безопасности) для объектов компьютерной системы в основном ложится на

администратора безопасности системы. В связи с этим увеличивается вероятность ошибки при

администрировании СПУД.

Удаленная атака

Характер воздействия

Цель воздействия

Условие начала

осуществления

воздействия

Расположение

субъекта атаки

относительно

атакуемого объекта

По уровню модели

ISO/OSI

Класс воздействия 1

3.3 4.1 4.2 5

Анализ сетевого трафика - + + - - - + + - - + - - - - -

Навязывание хосту ложного

маршрута

+ - + + - - + + - - - + - - - -

Подмена доверенного хоста + - + + - + - + + - - + + + - -

Ложный сервер + - + + + - - + + - + + + + + -

Сетевой шпион + - + + + - - + + - - + - - - -

Сетевой червь + - + + - - + + + - - + - - - -

Таблица 4.2. Классификация типовых удаленных атак на сети ЭВМ.

На практике оказывается, что ошибки администрирования сетевых ОС — один из

основных факторов, приводящих к различным нарушениям безопасности системы и одна

из основных причин успеха удаленных атак.

Другая причина возможного успеха удаленной атаки ожет заключаться в наличии

программных или алгоритмических ошибок в СПУД. Обнаружить такую ошибку

довольно сложно Информацию о подобных ошибках можно узнать, используя

информационные услуги сети Internet.

Удаленная атака, использующая ошибки администрирования или ошибки в

реализации СПУД, является наиболее просто осуществляемым воздействием, которое

классифицируется по любому классу в классификации удаленных атак.

4.2.3. Удаленные атаки на ОС Novell NetWare 3.12.

4.2.3.1. исследование сетевого трафика сети Novell NetWare 3.12.

Как было показано в предыдущей части, типовое удаленное воздействие, связанное

с анализом сетевого трафика, является основой любого исследования безопасности

сетевой ОС. Напомним, что сетевой анализ позволяет, во-первых, изучить логику работы

сетевой ОС, то есть, получить взаимно однозначное соответствие событий,

происходящих в ОС, и команд, пересылаемых друг другу ее компонентами, в момент

появления этих событий Во-вторых, анализ сетевого графика позволяет перехватить

поток данных, которыми обмениваются компоненты сетевой ОС.

Что касается логики работы сетевой ОС, то без применения сетевого анализа в ОС

Novell NetWare оказалось бы невозможным осуществление ни одной из удаленных атак,

описанных далее в п. 4.2.3.2, 4.2.3.3, 4.2.3.4.

В следующем пункте рассмотрим те удаленные воздействия на ОС Novell NetWare

3.12, которые можно осуществить, перехватив и проанализировав с помощью анализа

сетевого трафика данные из потока обмена файл — сервер — рабочая станция.

4.2.3.1.1. Перехват двух 8-байтовых последовательностей в процессе

подключения пользователя к файл-серверу.

Как известно, в ОС Novell NetWare 3.12 пароль пользователя хранится на файл —

сервере в базе данных связок в виде 16 — байтовой хэш — последовательности,

получающейся при помощи специального алгоритма (см. п. 4.1.3.1) из пароля

пользователя. Процесс подключения пользователя к серверу выглядит следующим

образом:

— сервер посылает станции 8 — байтовую случайную последовательность;

— на станции из оригинального пароля с помощью алгоритма, описанного в п.

4.1.3.1, получается 16 — байтовая хэш — последовательность, и пришедшая

последовательность шифруется с ее помощью в выходную 8 -байтовую

последовательность, которая и отправляется обратно серверу;

— сервер шифрует посланную последовательность с помощью хэш — значения из

базы данных связок;

— сервер проверяет соответствие полученной и вычисленной последовательности.

Из этого видно, что хэш — значение не передается при подключении пользователя

по сети. Следовательно, анализ сетевого трафика позволит атакующему перехратить имя

пользователя и две 8 — байтовые последовательности, передаваемые по сети Это

приводит к возможности осуществления криптоатаки полным перебором и по словарю.

Также, с помощью сетевого анализа возможно осуществление атак, рассмотренных в п.

4.1.2.1 и в п. 4.1.5.1.

4.2.3.2. Ложный сервер сети Novell NetWare 3.12.

Как известно, в ОС Novell NetWare 3.12 рабочая станция может быть одновременно

подключена к восьми файл — серверам. Следовательно, перед сетевой оболочкой

рабочей станции (NETX) при ее загрузке встает несколько проблем. Во-первых, какие

файл — серверы активны в данный момент времени (активная станция или файл —

сервер — это компьютер, подключенный к сети физически, включенный по питанию, на

котором загружено сетевое программное обеспечение). Во-вторых, к какому файл —

серверу осуществить подключение. Эти проблемы решаются в ОС Novell NetWare 3.12

при помощи алгоритма удаленного поиска, названного протоколом объявления сервиса в

сети (Service Advertising Protocol — SAP).

Как известно, базовым сетевым протоколом в ОС Novell NetWare является

протокол IPX. Протокол SAP позволяет средствами IPX найти все активные файл —

серверы в сети и определить их имена, и что самое главное, определить их аппаратные и

логические адреса (аппаратный адрес — адрес сетевого адаптера на файл — сервере;

логический адрес файл — сервера в ОС Novell NetWare представляет собой 12—

байтовую структуру следующего вида:

- 4 байта — номер сети (network)

- 6 байт — идентификатор файл — сервера

- 2 байта — командный сокет 0х451).

Все серверы в сети идентифицируют себя периодической посылкой SAP-Пакета.

Кроме того, что является чрезвычайно важным для данной удаленной атаки, рабочие

станции и файл — серверы посылают пакеты запроса (SAP — запросы) по

широковещательному адресу OxFFFFFFFFFFFF, в ответ на который все файл — серверы

в сети присылают запросившей станции пакеты объявления сервиса (SAP — ответы).

Итак, рассмотрим стандартный процесс загрузки сетевой оболочки на рабочей

станции в ОС Novell NetWare 3.12 (напомним, что сетевая оболочка, изначально, не

имеет данных о активных файл — серверах в сети):

— на широковещательный адрес посылается SAP — запрос на поиск ближайшего

активного файл — сервера в сети,

— принимается SAP — ответ от файл — сервера, в котором он сообщает свое имя,

физический и логический адрес. Эти данные необходимы для создания виртуального

канала с файл — сервером;

— используя полученные в SAP — ответе данные устанавливается виртуальный

канал с файл — сервером путем посылки и приема серии специальных пакетов обмена.

Из этой схемы не совсем ясно, что будет, если в сети окажется несколько файл —

серверов. Ведь на получениеSAP — запроса каждый сервер отреагирует немедленной

посылкой SAP — ответа и, следовательно, рабочая станция может получить ни один, а

несколько SAP — ответов. Тогда возникает проблема: на какой из пришедших SAP —

ответов реагировать, то есть, к какому из активных серверу подключаться? Эта проблема

в ОС Novell NetWare решена следующим образом. Обратим внимание на первую часть

загрузки сетевой оболочки: она ищет ближайший файл — сервер. Для этого в SAP —

запросе существует специальное поле — тип запроса (QueryType), которое может

содержать одно из двух значений: 1 или 3. Значение 3 позволяет найти ближайший

сервер. Ближайшим будет считаться тот сервер, SAP — ответ от которого прийдет

первым. Следующие SAP— ответы, пришедшие после первого, сетевой оболочкой будут

игнорироваться.

Из этой схемы видно, что в ОС Novell NetWare 3.12 можно осуществить типовую

удаленную атаку ложный сервер. Рассмотрим основные этапы ее осуществления:

Подготовительная фаза:

— посылка SAP — запроса на широковещательный адрес;

— получение SAP — ответа от настоящего файл — сервера для извлечения из него

аппаратного и логического адресов файл — сервера;

Фаза ожидания:

— ожидание SAP — запроса от рабочей станции,

фаза создания ложного виртуального канала:

— получение SAP — запроса от рабочей станции и передача на нее ложного SAP

— ответа. В ложном SAP — ответе необходимо указать аппаратный адрес ложного

сервера (атакующего компьютера);

— обмен с рабочей станцией серией специальных пакетов для создания ложного

виртуального канала;

Фаза "прозрачной" переправки пакетов:

— прием, анализ, воздействие и передача пакетов обмена с рабочей станции на

файл — сервер и обратно (воздействие на перехваченную информацию см п. 4.2.2.4.1 —

4.2.2.4.3).

Результат этой атаки состоит в следующем: подключившаяся станция считает

ложный сервер (атакующую станцию)настоящим файл — сервером и, в дальнейшем, вся

информация из потока обмена между настоящим файл — сервером и рабочей станцией

будет проходить через ложный сервер. При этом сам ложный сервер будет являться

абсолютно "прозрачным" для ОС Novell NetWare. Это означает что стандартными

средствами операционной системы обнаружить ложный сервер не представляется

возможным. Это происходит из-за того, что рабочая станция считает ложный сервер

настоящим файл -сервером, а файл — сервер принимает ложный сервер за эту рабочую

станцию.

4.2.3.3. Подмена рабочей станции в сети Novell NetWare 3.12.

В ОС Novell NetWare файл — сервер может одновременно обслуживать до 256

рабочих станций. Вследствие этого, перед файл — сервером стоит задача разделения

потока информации, идущего с разных станций. Эта задача в многоранговых сетевых

ОС, построенных по схеме "клиент — сервер", обычно решается с помощью уникальной

идентификации каждой вновь подключившейся клиентской станции. Очевидно, что

единственный способ общения в сети МРЖДУ файл -сервером и рабочей станцией -это

передача по сети пакетов обмена. Таким образом задача идентификации рабочей станции

решается идентификацией пакетов обмена, которыми она обменивается с файл —

сервером.

Для идентификации в ОС Novell NetWare 3.12 пакеты обмена файл — сервер —

рабочая станция имеют следующие специальные поля, расположенные непосредственно

за стандартным заголовком IPX — пакета

- по смещению 0: два байта, признак направленности пакета (2222h — от станции

на сервер, ЗЗЗЗh — от сервера на станцию)

- по смещению 2: один байт, счетчик номера пакета (после достижения значения

FFh счетчик сбрасывается в ноль)

- по смещению 3: один байт, номер канала, присвоенный рабочей станции файл —

сервером, при создании с ней виртуального канала (отсюда ясно, почему в ОС

NovellNetWare 3.12 возможно обслуживание до 256 рабочих станций 1 байт — это 256

возможных номеров канала).

Для идентификации пришедшего на файл — сервер пакета используется

следующая стандартная для ОС Novell NetWare 3 12 схема:

1. При создании виртуального канала сетевой оболочкой рабочей станции с файл

— сервером, последний присылает на станцию номер канала, ей присвоенный;

2. Все пакеты, приходящие на файл — сервер идентифицируются по номеру канала

и по номеру счетчика пакетов, который с каждым пакетом увеличивается на единицу, а,

по достижению значения FFh, сбрасывается в ноль.

Из приведенной выше схемы ясно, что в ОС Novell NetWare 312 используются

простейшие способы идентификации пакетов обмена, что позволяет осуществить в

данной сетевой ОС типовую удаленную атаку "подмена доверенного хоста". Реализация

этой атаки будет состоять в посылке с атакующей станции, на которой необходимо

зарегистрироваться под именем любого не привилегированного пользователя, пакета на

файл — сервер, от имени любого активного в данный момент привилегированного

пользователя (например, супервизора), что приведет к несанкционированному

присвоению пользователем на атакующей рабочей станции прав привилегированного

пользователя.

В следующих двух пунктах рассмотрим примеры осуществления удаленных атак

на ОС Novell NetWare 3.12 данного типа.

4.2.3.3.1. Голландская атака.

Данная удаленная атака носит название голландской атаки, так как она была

впервые осуществлена в 1991г в Голландии на ОС Novell NetWare 3.11 В версии ОС

Novell NetWare 3.12 в ответ на голландскую атаку введено дополнительное средство

идентификации пакетов обмена — цифровая подпись. Однако, эта новая схема

идентификации пакетов в ОС Novell NetWare 3.12 не является обязательной и может не

применяться. Особенность голландской атаки состоит в начале осуществления атаки до

завершения сеанса работы привилегированного пользователя.

Рассмотрим основные этапы реализации этой удаленной атаки:

— предварительно, до запуска атакующей программы, необходимо на атакующей

рабочей станции войти в сеть под именем любого пользователя (GUEST, например),

— получить на файл — сервере список всех активных пользователей в сети и

выяснить номер канала привилегированного пользователя;

— с помощью анализа пакетов на канальном уровне OSI (сетевого анализа см. п.

4.2.2.1) выяснить текущий номер счетчика пакетов у привилегированного пользователя;

— послать на файл — сервер пакет, от имени станции привилегированного

пользователя с соответствующими номерами счетчика и канала, в котором дается

команда операционной системе установить для пользователя с атакующей станции права

привилегированного пользователя. При этом, если не принять необходимых мер, может

нарушиться связь станции привилегированного пользователя с файл-сервером из-за

рассогласования счетчика пакетов.

4.2.3.3.2. Подмена пользователя при некорректном завершении его сеанса

работы с файл-сервером в ОС Novell NetWare 3.12.

В ОС Novell NetWare для корректного окончания сеанса работы пользователя с

файл — сервером требуется выдача команды LOGOUT на рабочей станции пользователя

для закрытия виртуального канала с сервером. Однако, многие пользователи редко

пользуются этой командой, предпочитая просто выключить или перезагрузить свой

компьютер. Такое окончание сеанса работы с файл — сервером является некорректным и

в сочетании с отказом от использования цифровой подписи пакетов (а, следовательно,

слабой идентификации пакетов) может привести к подмене пользователя в сети. Ниже

схематично рассмотрены основные этапы осуществления этой удаленной атаки:

— предварительно, до запуска атакующей программы загрузка на рабочей станции

необходимых драйверов сетевой карты и оболочки NETX;

— выяснение списка активных пользователей в сети;

— слежение за сетевым графиком активных пользователей для выяснения их

номеров счетчиков пакетов;

— используя средства IPX, периодическая посылка на активные станции

диагностических запросов, и, в случае неполучения ответа на запрос от пользовательской

станции и, если пользователь этой станции еще находится в списке активных

пользователей на файл — сервере

— вывод о некорректном завершении сеанса работы пользователя с файл —

сервером (то есть, виртуальный канал связи рабочей станции с файл — сервером не был

корректно закрыт),

— модификация таблиц сетевой оболочки NETX на атакующей рабочей станции

для получения стандартными средствами ОС Novell NetWare несанкционированного

доступа к файлам пользователя, некорректно завершившего сеанс связи с файл —

сервером.

4.2.4. Удаленные атаки на хосты Internet.

4.2.4.1. Исследование сетевого трафика сети Internet.

В сети Internet основными протоколами удаленного доступа являются TELNET и

FTP (File Transfer Protocol) TELNET — это протокол виртуального терминала (ВТ),

позволяющий с удаленных хостов подключаться к серверам Internet в режиме ВТ FTP —

протокол, предназначенный для передачи файлов между удаленными хостами. Для

получения доступа к серверу по данным протоколам пользователю необходимо пройти

на нем процедуру идентификации и аутентификации В качестве информации,

идентифицирующей пользователя, выступает его идентификатор (имя), а для

аутентификации пользователя используется пароль Особенностью протоколов FTP и

TELNET является то, что пароли и идентификаторы пользователей передаются по сети в

открытом, не зашифрованном виде. Таким образом, необходимым и достаточным

условием для получения удаленного доступа к хостам по протоколам FTP и TELNET

являются имя и пароль пользователя.Одним из способов получения паролей и

идентификаторов пользователей в сети Internet является анализ сетевого графика.

Сетевой анализ осуществляется с помощью специальной программы — анализатора

пакетов, читающей все пакеты, проходящие по сегменту сети и, выделяющей из них те, в

которых передаются идентификатор пользователя и его пароль. Сетевой анализ

протоколов FTP и TELNET показал, что протокол TELNET разбивает пароль на символы

и пересылает их по одному, помещая каждый символ из пароля в соответствующий

пакет, а, протокол FTP, напротив, пересылает пароль целиком в одном пакете.

Как показывают сообщения американских центров по компьютерной безопасности

(SCC, CIAC, CERT), анализ сетевого графика в сети Internet успешно применялся в

последние годы (согласно материалам специального комитета при конгрессе США, с его

помощью в 1993-1994 году было перехвачено около миллиона паролей [7]).

4.2.4.2. Ложный ARP-сервер в сети Internet.

Как уже неоднократно подчеркивалось, в сети ЭВМ связь между двумя

удаленными хостами осуществляется путем передачи по сети данных, заключенных в

пакеты обмена. В общем случае передаваемый по сети пакет вне зависимости от

используемого протокола и типа сети (например, Token Ring, Ethernet, X.25 и др.)

состоит из заголовка пакета и поля данных. В заголовок пакета обычно заключается

служебная информация, определяемая используемым протоколом обмена, которая

необходима для адресации пакета, его идентификации, преобразования и т.д. В поле

данных помещаются либо непосредственно данные, либо другой пакет более высокого

уровня OSI. Так, например, пакет транспортного уровня может быть вложен в пакет

сетевого уровня, который, в свою очередь, вложен в пакет канального уровня.

Спроецировав это утверждение на сетевую ОС, использующую протоколы TCP/IP,

можно сказать, что пакет TCP (транспортный уровень) вложен в пакет IP (сетевой

уровень), который вложен в пакет Ethernet (канальный уровень). Следующий рисунок

наглядно иллюстрирует то, как выглядит TCP — пакет в сети Internet:

Ethernet заголовок

IP - заголовок

TCP - заголовок

Данные

Рис.4.1. TCP - пакет

Далее, рассмотрим схему адресацию пакетов в сети Internet и проблемы при этом

возникающие. Как известно, базовым сетевым протоколом обмена в сети Internet

является протокол IP (Internet Protocol) Протокол IP—это межсетевой протокол,

позволяющий передавать IP — пакеты в любую точку глобальной сети Для адресации на

сетевом уровне (IP — уровне) в сети Internet каждый хост имеет уникальный 32 —

разрядный IP — адрес Для передачи IP — пакета на хост необходимо указать в IP —

заголовке пакета в поле Destination Address IP — адрес данного хоста. Однако, как видно

из рис 4.1, IP— пакет находится внутри аппаратного пакета (в случае среды передачи

Ethernet— Ethernet— пакета) Поэтому, каждый пакет в сетях любого типа и с любыми

протоколами обмена в конечном счете адресуется на аппаратный адрес сетевого

адаптера, непосредственно осуществляющего прием и передачу пакетов в сеть (в

дальнейшем, мы будем рассматривать только Ethernet — сети).

Из всего вышесказанного очевидно, что для адресации IP—пакетов в сети Internet

кроме IP — адреса хоста необходим еще либо Ethernet — адрес его сетевого адаптера (в

случае адресации внутри одной подсети), либо Ethernet — адрес маршрутизатора (в

случае межсетевой адресации) Первоначально хост может не иметь информации о

Ethernet — адресах других хостов, находящихся с ним в одной подсети, в том числе и о

Ethernet — адресе маршрутизатора. Следовательно, перед хостом встает стандартная

проблема, решаемая с помощью алгоритма удаленного поиска. В сети Internet для

решения этой проблемы используется протокол ARP (Address Resolution Protocol)

Протокол ARP позволяет получить взаимно однозначное соответствие IP и Ethernet —

адресов для хостов, находящихся внутри одной подсети. Это достигается следующим

образом при первом обращении к сетевым ресурсам хост отправляет