1. Главная
  2. Книги
  3. Кенин Александр Михайлович
  4. Самоучитель системного администратора
  5. Страница 55
Выбрать главу

ректное назначение параметров TCP/IP-протокола для компьютерных систем.

ПРИМЕЧАНИЕ

Из-за того, что в данной технологии используется один и тот же диапазон адресов,

организовать канал соединения двух таких локальных сетей невозможно.

Структура сети

85

Порт

При передаче данных кроме IP-адресов отправителя и получателя пакет информа-

ции содержит в себе номера портов. Порт — это некое число, которое использует-

ся при приеме и передаче данных для идентификации процесса (программы), кото-

рый должен обработать данные. Так, если пакет послан на 80-й порт, то это свиде-

тельствует, что информация предназначена серверу HTTP.

Номера портов с 1-го по 1023-й закреплены за конкретными программами (так на-

зываемые well-known-порты). Порты с номерами 1024—65535 могут быть исполь-

зованы в программах собственной разработки. При этом возможные конфликты

должны разрешаться самими программами путем выбора свободного порта. Иными

словами, порты будут распределяться динамически: возможно, что при следующем

старте программа выберет иное значение порта.

Знание того, какие порты используют те или иные прикладные программы, важно

при настройке брандмауэров. Часть настроек в таких программах для наиболее по-

пулярных протоколов предопределена, и вам достаточно только разре-

шить/запретить протоколы, руководствуясь их названиями. Однако в некоторых

случаях придется обращаться к технической документации, чтобы определить, ка-

кие порты необходимо "открыть", чтобы обеспечить прохождение пакетов данной

программы.

ПРИМЕЧАНИЕ

При настройке брандмауэра следует учитывать, что многие программы при подключе-

нии к Интернету открывают не один порт, а используют некоторый диапазон значений.

Один из возможных вариантов настройки брандмауэров для недокументированных

программ — это анализ их реального трафика с помощью какой-либо программы для

перехвата передаваемых по сети пакетов.

Увидеть, какие порты реально задействованы на компьютере, можно с по-

мощью команды netstat. В зависимости от версии операционной системы данная

команда имеет различный набор ключей, позволяющих детализировать отчет (на-

пример, указать программы или процессы, использующие конкретные порты).

В общем случае достаточно запустить команду netstat с ключом -а:

>netstat -a

Активные подключения

Имя Локальный адрес Внешний адрес Состояние

TCP sasha:http sasha.ask.ru:0 LISTENING

TCP sasha:epmap sasha.ask.ru:0 LISTENING

TCP sasha:https sasha.ask.ru:0 LISTENING

TCP sasha:microsoft-ds sasha.ask.ru:0 LISTENING

TCP sasha:1025 sasha.ask.ru:0 LISTENING

TCP sasha:1033 sasha.ask.ru:0 LISTENING

TCP sasha:1064 ack-isa2.ask.ru:8080 CLOSE_WAIT

TCP sasha:1067 ack-exchange.ask.ru:2703 ESTABLISHED

TCP sasha:1070 ack-exchange.ask.ru:1025 ESTABLISHED

TCP sasha:1078 ack-frw.ask.ru:8080 CLOSE_WAIT

86

Глава 3

UDP sasha:microsoft-ds *:*

UDP sasha:isakmp *:*

UDP sasha:1041 *:*

UDP sasha:1053 *:*

В данном примере на компьютере готовы к подключению несколько портов (со-

стояние LISTENING): это порты http, epmap и т. д. — номера портов можно отобра-

зить, если добавить ключ -n; порты 1067 и 1079 подключены (ESTABILISHED, про-

грамма показывает, с какой системой идет обмен данными); передача информации

с портов 1064 и 1078 завершена и система находится в состоянии закрытия соеди-

нения (CLOSE_WAIT) и т. д.

ПРИМЕЧАНИЕ

Для получения информации по удаленному компьютеру используются специальные

программы сканирования портов. Наиболее известный бесплатный продукт — nmap.

Данные по отдельному порту можно получить штатными средствами системы (напри-

мер, с помощью команды telnet или утилиты PortQry из состава Support Tools).

Обратите внимание, что хотя использование подобных программ не запрещено стан-

дартами, тем не менее многие системы оценивают сканирование портов как попытку

вторжения и блокируют источник на некоторый период времени.

Протокол ARP

Пакеты, пересылаемые в сети Ethernet, адресуются компьютерам не по их именам и

не на IP-адрес. Пакет предназначается устройству с конкретным MAC-адресом.

MAC-адрес — это уникальный адрес сетевого устройства, который заложен в него

изготовителем оборудования. Первая половина MAC-адреса представляет собой

идентификатор изготовителя, вторая — уникальный номер данного устройства.

~ 55 ~