Ermolai
12.05.2007, 23:02
IP и с чем его едят
Что такое ай пи.
http://t.foto.radikal.ru/0705/0f/1c5a3ad45099.jpg
Пожалуй, в последние годы ни о чем так много не писали в области сетевых технологий, как о протоколе IP. Однако, несмотря на такое внимание к данной теме, до сих пор почти ничего не сказано о базовых функциях IP, а именно о том, как маршрутизаторы и коммутаторы третьего уровня работают с IP-информацией и перемещают пакеты данных по сетям.
Напомним, что IP относится к группе протоколов TCP/IP. Протокол TCP реализует транспортные функции модели OSI (Open Systems Interconnection), ее четвертого уровня. Его основная обязанность - обеспечение надежной связи между начальной и конечной точками пересылки данных. IP располагается в OSI на сетевом, или третьем, уровне; он должен поддерживать передачу маршрутизаторам адресов отправителя и получателя каждого пакета на всем пути его следования. Маршрутизаторы и коммутаторы третьего уровня считывают записанную в пакетах по правилам IP и других протоколов третьего уровня информацию и используют ее совместно с таблицами маршрутизации и некоторыми другими интеллектуальными средствами поддержки работы сети, пересылая данные по сетям TCP/IP любого масштаба - от "комнатной" до глобальной, охватывающей всю планету.
Процесс маршрутизации начинается с определения IP-адреса, уникального для станции-отправителя (адреса источника), который может быть постоянным или динамическим. Каждый пакет содержит такой адрес, длина которого, в соответствии с современной спецификацией IPv4, составляет 32 бита.
Кроме того, в заголовке пакета записан IP-адрес его места назначения. Если отправляющая станция определяет, что адрес доставки не локальный, пакет направляется маршрутизатору первого сетевого сегмента. Этот маршрутизатор определяет IP-адрес пакета и проверяет по своей таблице, не расположена ли станция получателя в локальной физически подключенной к нему сети, которая называется IP-подсетью (обычно она назначается для всех сетевых интерфейсов маршрутизатора). Если же выясняется, что IP-адрес получателя локальный, маршрутизатор начинает искать внутреннее хранилище IP- и MAC-адресов локальных устройств - ARP-кэш (Adress Resolution Protocol), позволяющий сопоставлять IP- и MAC-адреса.
При обнаружении нужного MAC-адреса маршрутизатор помещает его в заголовок пакета (удаляя собственный MAC-адрес, который больше не нужен) и направляет пакет по месту назначения. Если MAC-адрес получателя не найден в ARP-кэше, маршрутизатор пересылает ARP-запрос в подсеть, соответствующую IP-адресу получателя пакета, где конечная станция с этим IP-адресом передает ответ на запрос, содержащий необходимый MAC-адрес. Затем маршрутизатор обновляет содержимое кэша, устанавливает новый MAC-адрес в заголовке пакета и отправляет его. Если пакет не предназначен для локальной подсети, маршрутизатор направляет его на маршрутизатор следующего сегмента по MAC-адресу последнего.
Процесс построения и обновления таблиц маршрутизации практически непрерывен. Он осуществляется средствами, использующими интеллектуальные протоколы обнаружения, например RIP или OSPF. В таблице каждого маршрутизатора указан оптимальный маршрут до адреса назначения или до маршрутизатора следующего сегмента (если адрес не принадлежит локальной подсети). Последовательно просматривая собственные таблицы маршрутизации, соответствующие устройства передают пакет "по этапу", запрашивая, при необходимости, MAC-адрес конечной станции. Этот процесс продолжается до тех пор, пока пакет не доберется до пункта назначения.
Однако при пересылке пакета через множество сетевых сегментов существует опасность образования "петель": неправильно сконфигурированный маршрутизатор постоянно возвращает пакет тому маршрутизатору, через который данный пакет уже проходил. Во избежание этого в IP предусмотрена TTL-функция (time-to-live), позволяющая задать предел времени путешествия пакета по сети. Значение TTL устанавливается заранее и уменьшается на единицу при каждом прохождении любого сегмента. Если величина TTL становится равной нулю, пакет удаляется, а маршрутизатор отсылает отправителю сообщение ICMP.
Механизм IP- маршрутизации
Маршрутизатор проверяет IP-адрес входящего пакета и просматривает таблицу, определяя, не является ли пунктом назначения локальная сеть.
Если IP-адрес назначения локальный, то маршрутизатор находит во внутреннем хранилище IP- и MAC-адресов локальных устройств MAC-адрес места назначения, помещает его в заголовок пакета и направляет пакет получателю.
Если MAC-адрес получателя не обнаруживается, маршрутизатор должен послать запрос о нем по IP-адресу получателя. Если после просмотра таблицы выясняется, что пакет не предназначен для локальной сети, маршрутизатор переправляет его маршрутизатору следующего сетевого сегмента, используя MAC-адрес последнего.
IP адрес: определение и сокрытие
http://v.foto.radikal.ru/0705/33/a92334b52835.jpg
Как известно, Internet основана на семействе протоколов tcp/ip, определяющих, каким образом осуществляется взаимодействие между подключенными к сети компьютерами. Идентификация этих компьютеров осуществляется с помощью так называемых IP-адресов, каждый из которых представляет собой уникальный 32-битный идентификатор, обычно записываемый в виде четырех десятичных чисел, напрмер, 192.168.0.1. И с точки зрения адресации сервер, обрабатывающий ежесекундно тысячи запросов практически ничем не отличается от вашего компьютера, подключаемого к сети по dial-up. Единственная разница - домашний пользователь, как правило, получает так называемый динамический ip-адрес, меняющийся от подключения к подключению.
В то время как адрес сервера должен быть доступен всем клиентам, желающим воспользоваться его услугами, клиент вовсе не обязан афишировать свой адрес на каждом углу. Более того, обнародование ip-адреса может привести к весьма серьезным последствиям.
Что можно сделать с человеком, зная его ip-адрес ? Ну, например, если на его машине с Windows'95 живет NetBIOS over IP, и разделены для доступа по сети, да еще и без паролей, некоторые диски, то довольно много :) (для заинтересовавшихся - помочь здесь могут nbtstat, lmhosts и net use). Правда это не слишком часто встречается у dial-up пользователей. Другой пример - в прошлом году были найдены дыры в IE и NN, позволяющие получить доступ к файлам клиента. Дырки те, правда, уже прикрыли, но кто знает, сколько их еще осталось.
До сих пор пользуются популярностью в определенных кругах программы, объединяемые общим названием (восходящего к первой программе этого класса - Winnuke), которые осуществляют атаки типа Denial of Service, приводящие к зависанию или отключению от сети атакуемого компьютера.
Нежно любимая миллионами пользователей ICQ (http://www.icq.com) тоже оказалась не без греха. На странице Fyodor's Exploit world (http://www.dhp.com/~fyodor/sploits.html) помимо прочего приведена информация о слабостях ICQ-шного протокола (http://www.dhp.com/~fyodor/sploits/icq.spoof.overflow.seq.html), которые уже позволили создать многочисленные программы, делающие жизнь пользователя ICQ не слишком пресной. Так, например, на странице ICQ Snoofer Team (http://const.ricor.ru/~icq/) предлагается опробовать программу, позволяющую слать сообщения по ICQ с чужого UIN. Snoofer существует в двух вариантах - в виде скрипта, доступного со страницы, и в виде программы, которую обещают рассылать по почте. Для его использования достаточно знать ip-адрес адресата, номер порта, на котором висит ICQ, и UIN отправителя. Инструкция прилагается.
Впрочем, все эти веселые программы пригодны в основном для деструктивной деятельности, особого смысла в которой я не вижу (кстати, запущенное на нашем сервере голосование по поводу "нюков" показало, что большинство посетителей со мной солидарно).
Посмотрим, какие действия можно предпринять для определения и скрытия ip-адреса.
Абсолютных рецептов конечно не существует, можно говорить лишь о наиболее распространенных случаях. Вообще говоря, ваш IP-адрес может засветиться в огромном количестве мест. Другое дело - как его потом оттуда вытащить. Скажем, ваш любимый броузер при заходе на любую страницу сообщает о себе достоточно много информации.
В качестве простой демонстрации приведу скрипт на Perl'е, выводящий основную информацию о посетителе страницы:
Листинг 1. showuser.pl
#!/usr/bin/perl
print ("Content-type: text/html\n\n");
@ee=(
"CHARSET",
"HTTP_USER_AGENT",
"HTTP_REFERER",
"REMOTE_ADDR",
"REMOTE_HOST"
);
foreach $e(@ee)
{
print "<b>$e</b>: $ENV{$e}<br>\n";
}
Вообще-то это самый безобидный случай обнародования ip-адреса (разве что если допустить злой умысел веб-мастера, установившего скрипт, атакующий посетителя, но вероятность целенаправленной атаки ничтожно мала).
IP-адрес отправителя можно вытащить из заголовка полученной электронной почты (Скорее всего, он будет лежать в последнем поле Received:, в отличие от поля From: его подделать чуть сложнее). Если у вас динамически выделяемый адрес, то подобная ситуация не слишком опасна. Хуже, если адрес постоянный, что, правда, встречается пореже.
Самыми опасными с точки зрения обнародования ip-адреса оказываются всевозможные системы для интерактивного общения - IRC (командой /whois), InternetPhone, ICQ и т.д. Справедливости ради надо заметить, что некоторые из них пытаются прикрыть адрес пользователя (скажем, в MS Comic Chat показывается только часть адреса, в ICQ'98 появилась возможность скрытия своего адреса, не слишком правда хорошо работающая при общении со старыми версиями), но в большинстве систем адрес лежит совершенно открыто. Теперь немного о том, как же защититься от всего этого безобразия. Самый простой способ прикрыться при прогулках по Web - воспользоваться proxy либо службой наподобие Anonymizer, Inc. (http://sol.infonex.com/). Принцип их работы аналогичен - вы напрямую общаетесь только с proxy-сервером, а черную работу по заходу на сайты он делает за вас.
Если вас все-таки волнует проблема с обнаружением своего ip-адреса при использовании e-mail, вы можете воспользоваться службой того же Anonymizer'а для отправления писем через web (https://www.anonymizer.com/), либо каким-нибудь анонимным ремэйлером (http://www.replay.com/remailer/).
Хуже всего дело обстоит с чатами. Проблема в том, что если найти какой-нибудь левый прокси для www достаточно легко, подобный сервис для irc, icq и иже с ними встречается, мягко говоря, очень редко и для простого dialup-пользователя практически недоступен. Именно поэтому большая часть средств для атаки по ip заточена под всевозможные irc-клиенты. Так что бороться тут можно лишь двумя способами. Самый надежный - не использовать их вообще :) Более реалистичный - бороться не с причиной, а со следствиями - разыскать свежайшие заплаты и надеяться, что против вашей брони еще не изобрели подходящей пушки.
Что такое ай пи.
http://t.foto.radikal.ru/0705/0f/1c5a3ad45099.jpg
Пожалуй, в последние годы ни о чем так много не писали в области сетевых технологий, как о протоколе IP. Однако, несмотря на такое внимание к данной теме, до сих пор почти ничего не сказано о базовых функциях IP, а именно о том, как маршрутизаторы и коммутаторы третьего уровня работают с IP-информацией и перемещают пакеты данных по сетям.
Напомним, что IP относится к группе протоколов TCP/IP. Протокол TCP реализует транспортные функции модели OSI (Open Systems Interconnection), ее четвертого уровня. Его основная обязанность - обеспечение надежной связи между начальной и конечной точками пересылки данных. IP располагается в OSI на сетевом, или третьем, уровне; он должен поддерживать передачу маршрутизаторам адресов отправителя и получателя каждого пакета на всем пути его следования. Маршрутизаторы и коммутаторы третьего уровня считывают записанную в пакетах по правилам IP и других протоколов третьего уровня информацию и используют ее совместно с таблицами маршрутизации и некоторыми другими интеллектуальными средствами поддержки работы сети, пересылая данные по сетям TCP/IP любого масштаба - от "комнатной" до глобальной, охватывающей всю планету.
Процесс маршрутизации начинается с определения IP-адреса, уникального для станции-отправителя (адреса источника), который может быть постоянным или динамическим. Каждый пакет содержит такой адрес, длина которого, в соответствии с современной спецификацией IPv4, составляет 32 бита.
Кроме того, в заголовке пакета записан IP-адрес его места назначения. Если отправляющая станция определяет, что адрес доставки не локальный, пакет направляется маршрутизатору первого сетевого сегмента. Этот маршрутизатор определяет IP-адрес пакета и проверяет по своей таблице, не расположена ли станция получателя в локальной физически подключенной к нему сети, которая называется IP-подсетью (обычно она назначается для всех сетевых интерфейсов маршрутизатора). Если же выясняется, что IP-адрес получателя локальный, маршрутизатор начинает искать внутреннее хранилище IP- и MAC-адресов локальных устройств - ARP-кэш (Adress Resolution Protocol), позволяющий сопоставлять IP- и MAC-адреса.
При обнаружении нужного MAC-адреса маршрутизатор помещает его в заголовок пакета (удаляя собственный MAC-адрес, который больше не нужен) и направляет пакет по месту назначения. Если MAC-адрес получателя не найден в ARP-кэше, маршрутизатор пересылает ARP-запрос в подсеть, соответствующую IP-адресу получателя пакета, где конечная станция с этим IP-адресом передает ответ на запрос, содержащий необходимый MAC-адрес. Затем маршрутизатор обновляет содержимое кэша, устанавливает новый MAC-адрес в заголовке пакета и отправляет его. Если пакет не предназначен для локальной подсети, маршрутизатор направляет его на маршрутизатор следующего сегмента по MAC-адресу последнего.
Процесс построения и обновления таблиц маршрутизации практически непрерывен. Он осуществляется средствами, использующими интеллектуальные протоколы обнаружения, например RIP или OSPF. В таблице каждого маршрутизатора указан оптимальный маршрут до адреса назначения или до маршрутизатора следующего сегмента (если адрес не принадлежит локальной подсети). Последовательно просматривая собственные таблицы маршрутизации, соответствующие устройства передают пакет "по этапу", запрашивая, при необходимости, MAC-адрес конечной станции. Этот процесс продолжается до тех пор, пока пакет не доберется до пункта назначения.
Однако при пересылке пакета через множество сетевых сегментов существует опасность образования "петель": неправильно сконфигурированный маршрутизатор постоянно возвращает пакет тому маршрутизатору, через который данный пакет уже проходил. Во избежание этого в IP предусмотрена TTL-функция (time-to-live), позволяющая задать предел времени путешествия пакета по сети. Значение TTL устанавливается заранее и уменьшается на единицу при каждом прохождении любого сегмента. Если величина TTL становится равной нулю, пакет удаляется, а маршрутизатор отсылает отправителю сообщение ICMP.
Механизм IP- маршрутизации
Маршрутизатор проверяет IP-адрес входящего пакета и просматривает таблицу, определяя, не является ли пунктом назначения локальная сеть.
Если IP-адрес назначения локальный, то маршрутизатор находит во внутреннем хранилище IP- и MAC-адресов локальных устройств MAC-адрес места назначения, помещает его в заголовок пакета и направляет пакет получателю.
Если MAC-адрес получателя не обнаруживается, маршрутизатор должен послать запрос о нем по IP-адресу получателя. Если после просмотра таблицы выясняется, что пакет не предназначен для локальной сети, маршрутизатор переправляет его маршрутизатору следующего сетевого сегмента, используя MAC-адрес последнего.
IP адрес: определение и сокрытие
http://v.foto.radikal.ru/0705/33/a92334b52835.jpg
Как известно, Internet основана на семействе протоколов tcp/ip, определяющих, каким образом осуществляется взаимодействие между подключенными к сети компьютерами. Идентификация этих компьютеров осуществляется с помощью так называемых IP-адресов, каждый из которых представляет собой уникальный 32-битный идентификатор, обычно записываемый в виде четырех десятичных чисел, напрмер, 192.168.0.1. И с точки зрения адресации сервер, обрабатывающий ежесекундно тысячи запросов практически ничем не отличается от вашего компьютера, подключаемого к сети по dial-up. Единственная разница - домашний пользователь, как правило, получает так называемый динамический ip-адрес, меняющийся от подключения к подключению.
В то время как адрес сервера должен быть доступен всем клиентам, желающим воспользоваться его услугами, клиент вовсе не обязан афишировать свой адрес на каждом углу. Более того, обнародование ip-адреса может привести к весьма серьезным последствиям.
Что можно сделать с человеком, зная его ip-адрес ? Ну, например, если на его машине с Windows'95 живет NetBIOS over IP, и разделены для доступа по сети, да еще и без паролей, некоторые диски, то довольно много :) (для заинтересовавшихся - помочь здесь могут nbtstat, lmhosts и net use). Правда это не слишком часто встречается у dial-up пользователей. Другой пример - в прошлом году были найдены дыры в IE и NN, позволяющие получить доступ к файлам клиента. Дырки те, правда, уже прикрыли, но кто знает, сколько их еще осталось.
До сих пор пользуются популярностью в определенных кругах программы, объединяемые общим названием (восходящего к первой программе этого класса - Winnuke), которые осуществляют атаки типа Denial of Service, приводящие к зависанию или отключению от сети атакуемого компьютера.
Нежно любимая миллионами пользователей ICQ (http://www.icq.com) тоже оказалась не без греха. На странице Fyodor's Exploit world (http://www.dhp.com/~fyodor/sploits.html) помимо прочего приведена информация о слабостях ICQ-шного протокола (http://www.dhp.com/~fyodor/sploits/icq.spoof.overflow.seq.html), которые уже позволили создать многочисленные программы, делающие жизнь пользователя ICQ не слишком пресной. Так, например, на странице ICQ Snoofer Team (http://const.ricor.ru/~icq/) предлагается опробовать программу, позволяющую слать сообщения по ICQ с чужого UIN. Snoofer существует в двух вариантах - в виде скрипта, доступного со страницы, и в виде программы, которую обещают рассылать по почте. Для его использования достаточно знать ip-адрес адресата, номер порта, на котором висит ICQ, и UIN отправителя. Инструкция прилагается.
Впрочем, все эти веселые программы пригодны в основном для деструктивной деятельности, особого смысла в которой я не вижу (кстати, запущенное на нашем сервере голосование по поводу "нюков" показало, что большинство посетителей со мной солидарно).
Посмотрим, какие действия можно предпринять для определения и скрытия ip-адреса.
Абсолютных рецептов конечно не существует, можно говорить лишь о наиболее распространенных случаях. Вообще говоря, ваш IP-адрес может засветиться в огромном количестве мест. Другое дело - как его потом оттуда вытащить. Скажем, ваш любимый броузер при заходе на любую страницу сообщает о себе достоточно много информации.
В качестве простой демонстрации приведу скрипт на Perl'е, выводящий основную информацию о посетителе страницы:
Листинг 1. showuser.pl
#!/usr/bin/perl
print ("Content-type: text/html\n\n");
@ee=(
"CHARSET",
"HTTP_USER_AGENT",
"HTTP_REFERER",
"REMOTE_ADDR",
"REMOTE_HOST"
);
foreach $e(@ee)
{
print "<b>$e</b>: $ENV{$e}<br>\n";
}
Вообще-то это самый безобидный случай обнародования ip-адреса (разве что если допустить злой умысел веб-мастера, установившего скрипт, атакующий посетителя, но вероятность целенаправленной атаки ничтожно мала).
IP-адрес отправителя можно вытащить из заголовка полученной электронной почты (Скорее всего, он будет лежать в последнем поле Received:, в отличие от поля From: его подделать чуть сложнее). Если у вас динамически выделяемый адрес, то подобная ситуация не слишком опасна. Хуже, если адрес постоянный, что, правда, встречается пореже.
Самыми опасными с точки зрения обнародования ip-адреса оказываются всевозможные системы для интерактивного общения - IRC (командой /whois), InternetPhone, ICQ и т.д. Справедливости ради надо заметить, что некоторые из них пытаются прикрыть адрес пользователя (скажем, в MS Comic Chat показывается только часть адреса, в ICQ'98 появилась возможность скрытия своего адреса, не слишком правда хорошо работающая при общении со старыми версиями), но в большинстве систем адрес лежит совершенно открыто. Теперь немного о том, как же защититься от всего этого безобразия. Самый простой способ прикрыться при прогулках по Web - воспользоваться proxy либо службой наподобие Anonymizer, Inc. (http://sol.infonex.com/). Принцип их работы аналогичен - вы напрямую общаетесь только с proxy-сервером, а черную работу по заходу на сайты он делает за вас.
Если вас все-таки волнует проблема с обнаружением своего ip-адреса при использовании e-mail, вы можете воспользоваться службой того же Anonymizer'а для отправления писем через web (https://www.anonymizer.com/), либо каким-нибудь анонимным ремэйлером (http://www.replay.com/remailer/).
Хуже всего дело обстоит с чатами. Проблема в том, что если найти какой-нибудь левый прокси для www достаточно легко, подобный сервис для irc, icq и иже с ними встречается, мягко говоря, очень редко и для простого dialup-пользователя практически недоступен. Именно поэтому большая часть средств для атаки по ip заточена под всевозможные irc-клиенты. Так что бороться тут можно лишь двумя способами. Самый надежный - не использовать их вообще :) Более реалистичный - бороться не с причиной, а со следствиями - разыскать свежайшие заплаты и надеяться, что против вашей брони еще не изобрели подходящей пушки.