دانلود تحقیق،مقاله،جزوات دانشگاهی،خلاصه کتاب و طرح لایه بازفتوشاپ

مرکز دانلود تحقیق رايگان دانش آموزان و فروش آنلاين انواع مقالات، پروژه های دانشجويی،جزوات دانشگاهی، خلاصه کتاب، كارورزی و کارآموزی، طرح لایه باز کارت ویزیت، تراکت مشاغل و...******* توجه: اگر شما نویسنده یا پدیدآورنده اثر هستید در صورت عدم رضایت از نمایش اثر خود به منظور حذف اثر از سایت به پشتیبانی پیام بدهید

نمونه سوالات کارشناسی ارشد دانشگاه پیام نور (سوالات تخصصی)

نمونه سوالات کارشناسی دانشگاه پیام نور (سوالات تخصصی)

نمونه سوالات دانشگاه پيام نور (سوالات عمومی)

کارآموزی و کارورزی

مقالات رشته حسابداری و اقتصاد

مقالات علوم اجتماعی و جامعه شناسی

مقالات روانشناسی و علوم تربیتی

مقالات فقهی و حقوق

مقالات تاریخ- جغرافی

مقالات دینی و مذهبی

مقالات علوم سیاسی

مقالات مدیریت و سازمان

مقالات پزشکی - مامایی- میکروبیولوژی

مقالات صنعت- معماری- کشاورزی-برق

مقالات ریاضی- فیزیک- شیمی

مقالات کامپیوتر و شبکه

مقالات ادبیات- هنر - گرافیک

اقدام پژوهی و گزارش تخصصی معلمان

پاورپوئینت و بروشورر آماده

طرح توجیهی کارآفرینی

آمار سایت

آمار بازدید

  • بازدید امروز : 326
  • بازدید دیروز : 2215
  • بازدید کل : 6639613

نفوذگري در شبكه و راه هاي مقابله با آن


نفوذگري در شبكه و راه هاي مقابله با آن

پيشينة جنبش نفوذگري و ظهور نفوذگران با كلاه هاي رنگارنگ

ابداع واژة نفوذگر ( Hacker) به دهة شصت ميلادي در دانشگاه MIT باز مي گردد.در آن زمان " نفوذگر" يا هكر بدين گونه تعبير مي شد : "HACKER يا نفوذگركسي است كه از سر كشي كردن به جزئيات سيستم هاي قابل برنامه ريزي ونفوذ ورسوخ در آن لذت مي برد ومصمم به شكست دادن توانايي محاسباتي ماشين در مقابل هوش وذكاوت بشري خويش است. فردي كه با سماجت و به گونه اي لجوجامه شيفتة برنامه نويسي است.نفوذگر، بد خواه نيست وصدمه نمي زند . " در اواخر دهة80 جنبش نفوذگري ( Hacktivism) در شبكه به سوي فعاليتهاي ضد امنيتي ، ضد انساني وماليخوليايي گرايش پيدا كرد . در آن زمان وقتي در رسانه هاي خبري از واژة " نفوذگر" ياد مي شد ، در ذهن مخاطبين ، تصوير يك دزد كامپيوتر يا يك مخرب نابكار تجسم مي يافت ؛ لذا آنان تلاش نمودند مجددا به واژه هكر يا نفوذگر روحي مثبت و خوشايند بدهند . برخي از آنها سعي كردند نفوذگر را انساني مثبت ونخبه بنامند كه در مقابل Cracker قرار مي گيرد . بدين ترتيب واژة Cracker نيز معنا يافت : Crackerموجودي بي ارزش و بيمار است كه با فراگيري برخي از مهارتهاي نفوذگري به كارهاي بي ارزش همانند دزديدن User ID &Password ديگران ، مزاحمت و عمليات غير قانوني وضد اخلافي مي پردازد و با شكستن حريم امنيت يك سيستم اهداف غير شرافتمندانة خود را دنبال مي كند . اين مرزبندي و ابداع واژة جديد هم نتوانست ذهنيت مردم عادي را نسبت به هكرها تغيير بدهد . لذا هكرهاي واقعي سعي كردند بر سر واژة هكر ، كلاه هاي رنگي بگذارند !!! اينجا بود كه هكرهاي كلاه رنگي هم به جمع بشريت پيوستند :

گروه هكرها يا نفوذگران كلاه سفيد(White Hat Hacker Group) :

نفوذگر كلاه سفيد، انسان نخبه اي است كه نه تنها مضر نيست بلكه باعث سازندگي و پويايي سيستمها شده و با شكستن حريم امنيتي سيستم (به گونه اي كه خرابي به بار نيايد) معايب آن سيستم را در مواجهه با اخلالگران بيمار يا مغرض آشكار مي نمايد . از اين رو مورد احترام است و معمولا داراي مدارج بالاي علمي و تجربي هستند !!! اينان نفوذگران اصولگرا هستند و تخطي از مرامنامة زير براي آنها به قيمت سياه شدن كلاهشان تمام مي شود :

- كلاه سفيد هرگز به سيستم صدمه نمي زند .

- كلاه سفيد هرگز به شبكه هاي دولتي و امنيتي كه مشغول انجام وظيفة ملي هستند نفوذ نمي كند .

- كلاه سفيد هرگز به فايلهاي يك سيستم دست نمي زند و سعي در انتقال آنها ندارد .

- كلاه سفيد هرگز اثري از خود در سيستمي كه به آن نفوذ كرده باقي نمي گذارد.

- كلاه سفيد هرگز در مورد دانش و مهارتهاي نفوذگري خود به كسي اطلاعات نمي دهد . ( مگر افراد متخصص و مورد اطمينان ، آنهم به منظور بالا بردن مهارتهاي تخصصي و تبادل افكار )

- كلاه سفيد هيچگاه بر روي شبكة اينترنت در مورد جزئيات نفوذگري خود اطلاعاتي مبادله نمي كند .

- ممارست ، پشتكار و شكيبايي اصول اساسي عمليات يك نفوذگر كلاه سفيد است .

- كلاه سفيد بايد به اندازة ديگران خلاقيت داشته باشد و حداقل يكبار روشي نو ارائه كند !

گروه نفوذ گران كلاه سياه ( BlackHat Hacker Group ):

نام ديگر اين گروه Cracker است .

گروه نفوذ گران كلاه خاكستري( GrayHat Hacker Group ) :

نام ديگر اين گروه Whacker مي باشد . واكرها با يافتن كد ورود به سيستم امنيتي ، به داخل آن سيستم نفوذ مي كنند و هدف آنها صدمه زدن به سيستم يا سرقت و يا خرابكاري نيست بلكه فقط اطلاعات بدست آمده را در اختيار عموم قرار مي دهند .

گروه نفوذ گران كلاه صورتي Pink Hat Hacker Group)) :

نام ديگر اين گروه Booter مي باشد . بوترها اغلب جوانان عصباني و جسوري هستند كه خود سواد برنامه نويسي نداشته و از نرم افزارهاي ديگران استفاده مي كنند و در سيستم ها اختلال بوجود مي آورند و يا در سالنهاي چت براي ساير كاربران ايجاد مزاحمت مي كنند . ناگفته نماند كه بعضي مواقع همين هكرهاي كم سواد هم مي توانند خطراتي جدي براي امنيت باشند . اين افراد با ايجاد ترافيك در پايگاههاي وب از طريق اتصالات بدون مكث ، باعث از كار افتادن پايگاه مي شوند . اغلب اين افراد دقيقا نميدانند چه مي كنند ؟!

مفاهیم اولیه شبکه

  • شبكه : از به هم پيوستن چند کامپيوتر به يکديگر و برقراري ارتباط بين آنها يک شبکه تشکيل مي گردد .
  • Lan: به شبکه محلي که در آن کامپيوتر ها نزديک به هم بوده و ارتباط آنها از طريق Hub ,witch يا Wireless باشد اطلاق مي شود .
  • Intranet و Internet: منظور از اينترانت همان شبکه جهاني اينترنت است که در محيط بسته (Lan) پياده سازي شده و با دنياي خارج از آن ارتباطي ندارد .
  • پروتکل : عبارتست از قراردادي که تعدادي کامپيوتر طبق آن با يکديگر ارتباط برقرار کرده و به تبادل اطلاعات مي پردازند .
  • TCP/IP: يک پروتکل جامع در اينترنت بوده و تمام کامپيوترهايي که با اينترنت کار مي کنند از آن تبعيت مي کنند.
  • IP Address: در اينترنت هر کامپيوتر داراي يک آدرس IP است . هر IP متشکل از 4 عدد بوده که با يک نقطه ازهم جدا مي شوند . ( مثل 217.219.175.11 ) هر کدام از اين اعداد حداکثر مي توانند 254 باشند . هر IP داراي يک Mask مي باشد که از روي آن مي توان تعداد IP هاي يک شبکه محلي را تشخيص داد .
  • Valid IP: به IP هايي گفته مي شود که در اينترنت معتبر بوده و قابل شناسايي باشند .
  • Invalid IP: به IPهايي گفته مي شود که در اينترنت فاقد هويت و غير قابل شناسايي مي باشند. از اين IP ها معمولا در شبکه هاي Lan در صورت نداشتن Valid IPبه ميزان کافي استفاده مي شود . از Invalid IPبدليل نداشتن هويت در اينترنت نمي توان براي اتصال به اينترنت استفاده کرد. بلکه بايد از تکنيکهايي مثل NAT يا Proxy استفاده کرد .
  • Proxy: در مفهوم عاميانه به سانسور کردن سايتها تعبير مي شود . اما از نظر فني راه حلي است براي اينکه ما بتوانيم از Invalid IP ها براي اتصال به اينترنت استفاده کنيم . در اين روش بايد يک Proxy Server در شبکه نصب شود. در کل اين روش مطلوب نبوده و داراي نقاط ضعف عمده زير است: 1- نياز است که کاربران تنظيمات خاصي را در کامپيوتر خود انجام دهند. 2- در اين روش بسياري از پروتکلها پشتيباني نشده و قابل استفاده نيستند. با اين حال برخي از مراکز اينترنتي نظير دانشگاهها , مؤسسات دولتي و امنيتي و ... براي کنترل بيشتر کاربران خود و گزارشگيري از سايتهاي ملاقات شده توسط هر کاربر از Proxy استفاده مي کنند. از جمله نرم افزارهاي Proxy Server مي توان به ISA , MSProxy , Winproxyو ... اشاره کرد.
  • NAT: يک تکنيک خوب براي بکارگيري Invalid IPاست. در اين روش تقريبا" تمام پروتکل ها پشتيباني مي شوند و مهمتر اينکه نياز به تنظيم خاصي بر روي کامپيوتر کاربران نيست. از جمله نرم افزارهايي که کار NAT را انجام مي دهند مي توان به ISA و Winroute اشاره کرد.
  • DNS: پروتکل تبديل اسم Domain به IP مي باشد . در شبکه به دستگاهي که اين کار را انجام مي دهد DNS Server گفته مي شود .
  • Routing : اگر کامپيوتري بخواهد با يک کامپيوتر ديگر در اينترنت ارتباط برقرار کند , Packet هايش الزاما از چندين Node (کامپيوتر يا Router ) عبور مي کند تا به مقصد برسد. به عملي که يک Node بر روي Packet ها و ارسال آنها به Node ديگر براي رسيدن به مقصد انجام مي دهد Routing گفته مي شود.
  • Mail Server: در شبکه به سروري گفته مي شود که کار دريافت , ارسال و نگهداري Email را انجام ميدهد . از جمله نرم افزارهايي که براي Mail Server مورد استفاده قرار مي گيرند مي توان به MDaemon و Exchange اشاره کرد.
  • Web Server: به سروري گفته مي شود که صفحات Web بر روي آن قرار گرفته و Page هاي آن از طريق اينترنت قابل دستيابي است.
  • FTP Server: به سروري گفته مي شود که فايلهاي مورد نياز براي Download کردن کاربران بر روي آن قرار گرفته است. و کاربران مي توانند فايلهاي موجود در FTP Server را Download کنند.
  • Domain: به نام يک شبکه که منحصر بفرد بوده و در اينترنت Register شده است گفته مي شود. مثل Deznegar.com يا Jamejam.net. يک شبکه مي تواند داراي يک يا چند Domain باشد. البته يک شبکه مي تواند بدون Domain يا داراي Domain محلي نيز باشد.
  • DomainRegistration : به عمل ثبت Domain گفته مي شود. چنانچه شما بخواهيد يک Domain براي خود رجيستر کنيد ابتدا بايد يک نام را که تا کنون در اينترنت استفاده نشده است انتخاب کنيد. سپس توسط شرکتهايي که عمل DomainRegistration را انجام مي دهند آنرا بنام خود به مدت زمان معين Register کنيد.
  • Host: به کامپيوترهاي ميزبان که صفحات Web يا فايلهاي FTP بر روي آن قرار دارند Host گفته مي شود.
  • PC 2 Phone: به امکان ايجاد ارتباط تلفني بوسيله اينترنت از طريق يک کامپيوتر با يک تلفن PC2Phone گفته مي شود.
  • Phone 2 Phone: به امکان ايجاد ارتباط تلفني بوسيله اينترنت از طريق يک تلفن با يک تلفن ديگر Phone2Phoneگفته مي شود.
  • ISP: به مراکز سرويس دهي اينترنت ISP گفته مي شود. (Internet Service Provider)
  • ITSP: به مراکز سرويس دهي Phone2Phone , ITSP گفته مي شود. (InternetTelephonyService Provider)
  • DVB: به کارت سخت افزاري اطلاق مي شود که در يکي از Slotهاي کامپيوتر قرار مي گيرد و بوسيله يک کابل به ديش متصل شده و از طريق آن مي تواند Receive کند.
  • Receiver: يک Device است که به ديش وصل شده و عمل دريافت اطلاعات از ديش را انجام مي دهد.
  • Transiver: يک Device است که به ديش وصل شده و عمل ارسال اطلاعات به ديش را انجام مي دهد.
  • Cache Server: به تجهيزاتي گفته مي شود که بتواند هنگام کارکردن کاربران, سايتهاي بازديد شده توسط آنها را در خود نگهداري کرده و در صورتي که يک کاربر ديگر بخواهد همان سايتها را بازديد نمايد با سرعت بيشتر و صرفه جويي در پهناي باند پاسخ خود را از طريق Cache Server دريافت کند. وجود Cache Server در شبکه مي تواند تا 50 درصد در اندازه پهناي باند صرفه جويي کند و راندمان شبکه را بالا ببرد. CacheServer هم مي تواند سخت افزاري باشد (مثل Cache Force) و هم مي تواند نرم افزاري باشد.(مثل : 1- Squid که تحت Linux و Windowsقابل نصب است. 2- ISA که تحت Win2000 قابل نصب است.3- CacheXpress که تحت Linux و اکثر Windows ها قابل نصب است. 4- RealCache که محصول شرکت داده پردازان دوران بوده و تحت Win2000 و NT4 قابل نصب است.)
  • Accounting/Billing: به نرم افزارهاي مديريت کاربران در يک ISP گفته مي شود. اين نرم افزارها کنترل ميزان استفاده کاربران از شبکه اينترنت را برعهده دارند. معروف ترين نرم افزار در اين زمينه در کشورمان محصول شرکت داده پردازان دوران بوده و ISPUtil نام دارد که هم اکنون بيش از 40 درصد از ISPهاي کشور از آن استفاده مي کنند. همچنين نرم افزار VoIPUtilنيز که براي کنترل مصرف کاربران تلفني بکار رفته و مختص ITSPها مي باشد ديگر محصول اين شرکت مي باشد.
  • Firewall: هم بصورت سخت افزاري و هم بصورت نرم افزاري وجود دارد و وظيفه آن بالا بردن ضريب امنيتي شبکه به منظور جلوگيري از Hack شدن و سوء استفاده توسط افراد سودجو مي باشد.
  • URLFiltering: هم بصورت سخت افزاري و هم بصورت نرم افزاري وجود دارد و وظيفه آن جلوگيري از ورود کاربران به سايتهاي غير اخلاقي و غير مجاز مي باشد.
  • MultiPort: دستگاهي است که معمولا در ISPها مورد استفاده قرار مي گيرد. داراي يک کارت PCI بوده و بر روي Mainboard يک کامپيوتر نصب مي شود . با نصب MultiPort مي توان Comportهاي يک کامپيوتر را افزايش داد و تعداد زيادي Modem به يک کامپيوتر متصل کرد.
  • RAS: به کامپيوتري گفته مي شود که تعداد زيادي Modem به آن متصل بوده و کاربران مي توانند به آن Connect کرده و از اينترنت استفاده کنند.

Access Server : به دستگاههايي گفته مي شود که کاربران اينترتني قادر باشند به آن Connect کرده و از طريق آن به اينترنت دسترسي پيدا کنند.

  • VOIP Gateway: به دستگاههايي گفته مي شود که کاربران تلفني قادر باشند به آن Connect کرده و از طريق آن با کشورهاي مختلف ارتباط تلفني برقرار کنند.
  • VOIP Carrier: به تشکيلاتي گفته مي شود که با VoIP Gateway از طريق اينترنت در ارتباط بوده و ارتباط هاي تلفني بين VoIP Gateway و کشورهاي مختلف را برقرار مي سازد.انواع راههاي ارتباط كاربر به ISP :

خط آنالوگ ، خط Leased ، خط E1 ، Wireless ، ADSL

هرISP مي تواند براي دستيابي به اينترنت از يک يا چند روش از روشهاي زير استفاده کند.

خط آنالوگ ، خط Leased ، خط E1 ،Wireless ، ADSL ، Receive OnlyDish ، Send/RecDish .

انواع دستگاههاي ارتباطي كه كاربر را به ISP متصل مي-كند(براي خطوط آنالوگ و E1 ) عبارتند از:

□ روترهاي Cisco : امروزه استفاده از روترهاي Cisco به منظور برقراري ارتباط کاربران با ISP از جمله رايج ترين روشهاي موجود است.

□Moxa Multiports : همانگونه که قبلا" گفته شد از Multiport براي افزايش دادن پورتهاي Com و اتصال مودمهايExternal به آنها استفاده مي شود. رايج ترين Multiport محصول شرکت Moxa مي باشد که داراي دو مدل Desktop (روميزي) و Rackmount (قابل نصب در Rack ) مي باشد. Multiportها داراي مدلهاي 8 پورت , 16 پورت و 32 پورت هستند. از انواع ديگر مولتي پورت مي توان به Equinox اشاره کرد.

□Moxa Async Server : محصول شرکت Moxa بوده و داراي CPU مي باشد و در شبکه مستقيما" به Hub وصل مي شود. و تعداد زيادي خطوط تلفن به آن وصل مي شود و کاربران از طريق آن مي توانند به شبکه وصل شوند.

IP(Internet Protocol )

هدايت بسته‌ها از فرستنده به شبکه و ايستگاه کاری مقصد ، و تبديل مجدد بسته‌ها که بر تجزيه پيام های داده‌های به بسته‌های لازم، TCP/IP پروتکلی در به پيامهای اوليه در مقصد نظارت دارد.

TCP/IP

مجموعه پروتکلی که دپارتمان دفاع آمريکا برای ارتباط از طريق شبکه‌های متصل به هم و گاهی اوقات غيرمشابه، ابداع نموده است. اين مجموعه در OSI سيستم عامل يونيکس گنجانده شده و به استاندارد غيررسمی انتقال داده‌ها از طريق شبکه‌ها، از جمله اينترنت، مبدل شده است.

مدل مرجع TCP/IP

TCP/IPمدلی برای شبکه سازی که بر اساس مفهوم تبادل اطلاعات در بين شبکه های مختلف ، اغلب با معماريهای مختلف ، طراحی شده است . مدل مرجع که اغلب مدل مرجع اينترنت ناميده می‌شود ، از چهار لايه تشکيل می‌شود که متمايزترين آنها با مسيريابی پيامها سروکار دارد.

پروتکل Protocol

مجموعه‌ای از قوانين يا استانداردها که برای آن طراحی شده‌اند تا به کامپيوترها امکان دهند که با حداقل خطای ممکن با يکديگر ارتباط برقرار نموده و به تبادل ارتباط بپردازند. ( يعني قواعدي که به صورت يکسان همه‌جا به کار مي‌روند، تا در انتقال داده‌ها در شبکه‌ها مشکل يا ناهماهنگي پيش نيايد)

ISO/OSI

( InternationalOrganization for Standardization Open Systems Interconnection ) :

يک معماری لايه‌ای که سطوح خدمات و انواع ارتباطات را برای کامپيوترهايي که از طريق يک شبکه ارتباطات بين کامپيوتری را به ISO/OSIارتباطاتی به تبادل اطلاعات می پردازند،استاندارد می‌کند . مدل مرجع هفت لايه يا سطح تقسيم می‌کند و هر يک از لايه‌ها بر اساس استانداردهای موجود در لايه‌هاي زيرين بنا می‌شوند. پايين ترين لايه تنها با ارتباطهای سخت افزاری سروکار دارد. بالاترين سطح نيز در سطح برنامه کاربردی به ارتباطات نرم افزاری می‌پردازد. اين مدل يک برنامه کاری اساسی است که برای آن طراحی شده تا به ايجاد نرم افزار و سخت افزارهای شبکه‌سازی ياری رساند.

اين هفت لايه به‌ترتيب از پايين به بالا عبارتند از:

1-Physical
2- Data-link
3-Network
4-Transport
5-Session
6-Presentatin
7-Application يا highest level

 


لايه‌هاي مدل مرجع OSI:

مدل مرجعOSI از هفت لايه زير تشکيل می‌شود ( که ترتيب لايه‌ها از پايين به بالا ذکر شده است):

۱- لايه فيزيکی:

اين لايه در واقع بيت‌ها را از طريق فيزيکی منتقل می‌کند که می‌تواند کابل مسی، فيبرنوری، اتصال راديويی، يا هر محيط فيزيکی ديگر باشد. نکته‌ای که در طراحی اين لايه هست، اينه که وقتی يک طرف بيت يک (بيت مي‌تونه صفر يا يک باشه، منظور همين است) ميفرستد، طرف مقابل بيت يک دريافت کند، نه يک بيت صفر.

۲- لايه اتصال داده‌ها (پيوند داده‌ها):

اين لايه از طريق کليد مرکزی شبکه داده‌ها منتقل می نمايد. مسئله‌ای که در اين لايه بايد حل شود، آن است که چطور يک گيرنده کند رو با يک گيرنده سريع هماهنگ کند.

۳- لايه شبکه:

اين لايه مسؤول جابجايی داده‌ها از يک سيستم و از طريق شاخه‌ای از مسيريابها به دستگاه مقصد و در طول شبکه می‌باشد. يکي از مسائلی که بايد در اين لايه حل شود، نحوه مسيريابی بسته‌ها از مبدا به مقصد است.

۴- لايه انتقال(لايه حمل):

اين لايه برای فراهم آوردن جريان ارتباطات منطقی بين دو سيستم استفاده می‌شود که ذاتا شامل بسته‌هايي می‌شود که درحين انتقال درست منتقل نشده‌اند و بايد دوباره منتقل شوند. بسته‌ها را در مرتبه مناسب قرار می دهد و کنترل خطا را فراهم می آورد. به عبارت ديگر داده‌ها را از لايه بالاتر بگيرد . در صورتی که لازم باشد آنها را به قطعات کوچکتر تقسيم کند ، و آن را به لايه شبکه ارسال کند و اطمينان پيدا کند که طرف مقابل آنها را درست دريافت کرده باشد .

۵- لايه جلسه (لايه دوره کار) :

اين لايه با دوره‌های کار بين دستگاه‌های ارتباطی هماهنگی بر قرار می‌نمايد و به آغاز به کار آنها، نگهداری و برنامه ريزيشان کمک می‌نمايد.

۶- لايه نمايش (لايه ارائه يا لايه نمودار سازی) :

توانايی ايجاد استانداردهايي برای رمزگذاری داده‌ها در پروتکلهای ارتباطی را بوجود می‌آورند. پروتکلهای اين لايه امکان ارتباط سيستم‌های غير مشابه را فراهم می‌کنند و هراس از رمزگشايی داده‌های دريافت شده توسط يک پشته ارتباطی را برطرف می نمايند.تعريف ساده‌تر اين لايه (لايه نمايش) لايه‌اي است که با روشی سرو کار دارئ که در آن اجزای داده‌ها برای انتقال نمودار خواهند شد. مثل مرتبه عددی بيت‌ها و بايت‌ها، فرمت اعداد شناور و غيره. اين لايه برخلاف لايه های پايين‌تر ( که عمدتا با بيت‌ها سروکار دارند )، توجه خود را روی ساختار پيامها و مفهوم آنها متمرکز می‌کند. برای اين که کامپيوترها با ساختارهای متفاوت بتوانند با هم ارتباط داشته باشند، پيام‌های مبادله شده بايد ساختار کاملا مشخص و استاندارد داشته باشد. وظيفه لايه، نمايش اين ساختارها در سطح بالاست. در اين لايه معمولا کارهايی صورت می‌گيره که ممکن اساسی نباشه ولی جزو نيازهای عمومی هستند. مثل فشرده‌سازی فايل، رمزنگاری برای فرستادن داده‌های محرمانه، رمزگشايی، تبديل کدها به يکديگر و...

۷- لايه کاربرد:

بسياری از پروتکل‌های مورد نياز کاربرها، در لايه کاربرد قرار دارد که يکی از مهمترين آنها پروتکل HTTP است که پروتکل اصلی وب مي‌باشد. داخل اين لايه استاندارد مبادله يک پيام بين نرم افزارهايي که در اختيار کاربر بوده و به صورتی با شبکه در ارتباطند تعريف مي شود. اين لايه شامل تعريف استانداردهايي مانند انتقال مطمئن فايل، انتقال E-mail ها، دسترسی به بانکهای اطلاعاتی راه دور، مديريت شبکه و انتقال صفحات وب می‌باشد.


قالب يك بستةIP

در شكل زير قالب يك بستة IP رانمايش مي دهد.

Total length

Type of service

IHL

Version

DF MF fragment offset

Identification

Header checksum

Protocol

Time to live

Source address

Desitination address

Options(0 or more words)

Payload

يك بستة IP از دو قسمت سرآيندوقسمت حمل داده تشكيل شده است مجموعة اطلاعاتي كه در سرآيند بستة IP درج مي شود توسط مسير ياب ها مورد استفاده وپردازش قرار مي گيرد.

فيلد version:

در اين فيلد در سرآيند يك بستة IP كه چهار بيت است نسخةپروتكل IPكه اين بستةبر اساس آن سازماندهي وارسال شده است را تعيين مي كند. در حال حاضر تمام شبكه ها ومسيرياب ها از نسخة شمارة 4 پرتكل IP پشتيباني مي كنند

فيلد ihl :

اين فيلد هم چهار بيتي است وطول كل سآيند بستهرا بر مبناي كلمات 32 بيتي مشخص مي نمايد.اگر به ساختار يك بستة IPدقت شود به غير ازفيلد opsion كه اختياري است ، وجود تمام فيلد هاي سرآيند الزامي مي باشد. در حقيقت اين فيلد بعنوان يك اشاره گر مرز بين سآيند وداده ها را مشخص مي كند.

فيلد type of service:

اين فيلد هشت بيتي است وتوسط آن ماشين ميزبان ) يعني ماشين توليد كنندة بستة IP )مجموعة زير شبكه(يعني مجموعة مسيرياب هاي بين راه( تقاضاي سرويس ويژه اي براي ارسال يك ديتا گرام مي نمايد.

فيلد totol length:

در اين فيلد 16 بيتي عددي قرار مي گيرد كه طول كل بستة IPرا كه شامل مجموع اندازة وناحيه داده است ، تعيين مي كند. مبناي طول بر حسب بايت است وبنابراين حداكثر طول كل بستة IP مي تواند 65535 بايت باشد.

فيلد identification :

برخي از مواقع مسير ياب ها يا ماشين هاي ميزبان مجبورند يك ديتا گرام را به قطعات كوچكتر بشكنند وماشين مقصد مجبور است آنها را با سازي كند ، بنا براين وقتي يك ديتا گرام واحد شكسته ميشود بايد مشخصه اي دا شته باشد تا در هنگام باسازي آن را در مقصد بتوان قطعه هاي آن ديتاگرام را از بقيه جدا كرد . در اين فيلد 16 بيتي عددي قرار مي گيرد كه شمارةيك ديتا گرام واحد را مشخص مي كند .

فيلد fragment :

اين فيلد در سه بخش ساز ماندهي شده است:

الف ) بيت DF : با يك شدن اين بيت در يك بستة IP هيچ مسير يابي حق ندارد آن بسته را قطعه قطعه كند ، چرا كه مقصد قادر به باسازي ديتاگرام هاي تكه تكه شده نيست. اگر اين بيت به 1 تنظيم شده باشد ومسيرياب نتواند آنرا به دليلي بزرگي اندازه ،انتقال بدهد لاجرم حذف خواهد شد.

ب ) بيت MF : اين بيت مشخص مي كند كه آيا بستةآخرين قطعه از يك ديتا گرام محسوب مي شود يا باز هم قطعه هاي بعدي وجد دارد.در آخرين قطعه از يك ديتاگرام بيتMF ، صفر خواهد بود و در بقيه الزاما يك است.

ج)Fragment offset : اين قسمت كه سيزده بيتي است در حقيقت شماره ترتيب هر قطعه در يك ديتاگرام شكسته شده محسوب مي شود .

با توجه به سيزده بيتي بودن اين فيلد يك ديتاگرام حداكثر مي تواند به 8192 تكه تقسيم شود.

فيلد Time To Live:

اين فيلد هشت بيتي در نقش يك شمارنده،طول عمر بسته را مشخص مي كند. طول عمر يك بسته بطور ضمني به زماني اشاره مي كند كه يك بستة IP مي تواند بر روي شبكه سرگردان باشد.

حداكثر طول عمر يك بسته،255خواهد بود كه به ازاي عبور از هر مسيرياب از مقدار اين فيلد يك واحد كم مي شود.

هر گاه يك بستة IP به دليل بافر شدن در حافظة يك مسيرياب زماني را معطل بماند،به ازاي هر ثانيه يك واحد از اين فيلد كم خواهد شد. به محض آنكه مقدار اين فيلد به صفر برسد بستة IP در هر نقطه از مسير باشد حذف شده و از ادامةسير آن به سمت مقصد جلوگيري خواهد شد.

فيلد Protocol:

ديتا گرامي كه در فيلد داده از يك بستة IPحمل مي شود با ساختمان دادةخاص از لاية بالا تر تحويل پروتكل IPشده تا روي شبكه ارسال شود .به عنوان مثال ممكن است اين داده ها را پروتكل TCPدر لايه بالاتر ارسال كرده باشد و يا ممكن است اين كار توسط پروتكل UDPانجام شده باشد . بنابراين مقدار اين فيلد شمارة پروتكلي است كه در لاية بالاتر تقاضاي ارسال يك ديتاگرام كرده است;بسته ها پس از در يافت درمقصد بايد به پروتكل تعيين شده تحويل داده شود.

فيلد Header Checksum :

اين فيلد كه 16 بيتي است به منظوره كشف خطاهاي احتمالي در سرآيند هر بستةIP استفاده ميشود. براي محاسبةكد كشف خطا،كل سرآيند به صورت دو بايت،دو بايت با يكديگر جمع ميشود. نهايتا حاصل جمع به روش “مكمل يك”منفي مي شود واين عدد منفي از اين سرآيند قرار مي گيرد. در هر مسير ياب قبل از پردازش و مسير يابي ابتدا صحت اطلاعات درون سرآيند بررسي مي شود. دقت كنيد كه فيلد Checksumدر هر مسيرياب بايد از نو محاسبه و مقدار دهي شود زيرا وقتي يك بستة IPوارد يك مسير ياب مي شود حداقل فيلدTTLاز آن بسته عوض خواهد شد.

فيلد Source Adders:

هر ماشين ميزبان در شبكة اينترنت يك آدرس جهاني ويكتاي 32 بيتي دارد. بنابراين هر ماشين ميزبان در هنگام توليد يك بستة IPبايد آدرس خودش را در اين فيلد قرار بدهد.

فيلد Destination Address :

در اين فيلد آدرس32 بيتي مربوط به ماشين مقصد كه بايد بستة IP تحويل آن بشود،قرار مي گيرد.

فيلد اختياري Option :

در اين فيلد اختياري مي توان تا حداكثر 40 بايت قرار داد.

فيلد Payload :

در اين فيلد داده هاي دريافتي از لاية بالاتر قرار مي گيرد.

كلاسهاي آدرس IP

از آنجا كه TCP/IPبراي شبكه هاي با مقياس بزرگ طراحي شده است لذا نمي توان انتظار داشت كه فضاي32 بيتي آدرس كه حدود چهار ميلياردوسيصدميليون آدرس را در اختيار مي گذارد، بدون هيچ نظم وسياق خاص به ماشينهاي شبكه اختصاص داده شود.

با توجه به آنكه اينترنت مجموعه اي از شبكه هاي متصل شده به هم مي باشد، براي آدرس دادن به ماشين هاي ميزبان بهتر است 32بيت آدرس IP به قسمتهاي زير تقسيم شود:

الف) آدرس شبكه

ب) آدرس زير شبكه( درصورت لزوم)

ج)آدرس ماشين ميزبان

آدرسهاي IP درپنج كلاس E,D,C,B,A معرفي شده اند.در زير قالب كلاس پنج گانة آدرسIP مشخص شده است:

آدرسهاي كلاس A :

در كلاس A، پرازش ترين بيت از آدرس ،مقدار صفر دارد واين بيت، كلاس A را از ديگر كلاسها متمايز مي كند؛ 7بيت بعدي “ مشخصةآدرس شبكه” وسه بايت باقيمانده، آرس ماشين ميزبان را تعيين مي كند.بنابراين در كلاس A بايت 1ر ارزش در محدودة صفر تا 127 تغيير مي كند. مشخصة شبكه بهيچوجه نمي توان اعداد صفر يا 127 انتخاب شود چرا كه اين دو عدد در شبكه معناي ديگري خواهند داشت وبعدا به آن اشاره خواهيم كرد.

اگر آدرس IP به صورت دهدهي نوشته شودوعدد سمت چپ آن بين صفر تا 127 باشد ، آن آدرس از كلاس A خواهد بود:

74 .103 .14 .138

Host ID Network ID

آدرسهاي كلاس B:

هر گاه دو بيت پرازش از آدرس IP مقدار10 ذاشته باشد آن آدرس از كلاس B خواهد بود.14 بيت باقيمانده از 2 بايت سمت چپ، آدرس شبكه را تعيين مي كند و دو بايت اول از سمت راست(16 بيت) آدرس ماشين ميزبان خواهد بود.در آدر كلاس B ، تعداد 16382 شبكة گوناگون قابل تعريف خواهد بود و هر شبكه مي تواند 65534 (216-2) ماشين ميزبان تعريف نمايد.

اگر آدرس IP به صورت دهدهي نوشته شود و عدد سمت چپ آن بين 128 تا 191 باشد ، آن آدرس از كلاس B خواهد بود:

134 .103 .14 .138

Host ID Network ID

آدرسهاي كلاس C:

كلاس C مناسب ترين و پر كار برد ترين كلاس از آدرس هاي IPاست. همانگونه كه از مشخص است در اين كلاس، سه بيت با ارزش داراي مقدار110 است و 21 بيت بعدي از سمت چپ براي تعيين آدرس شبكة مورد نظر بكار رفته است .بنابراين در اين كلاس مي توان حدود دو ميليون شبكه را در جهان آدرس دهي كرد وهر شبكه مي تواند تا254 عدد ماشين ميزبان تعريف نمايد.

اگر آدرس IP به صورت دهدهي نوشته شودوعدد سمت چپ آن بين 192 تا 223 باشد ، آن آدرس از كلاس C خواهد بود:

199 .103 .14 .138

Host ID Network ID

آدرسهاي كلاس D :

در اين كلاس ، چهار بيت پر ارزش داراي مقدار 1110 است و28 بيت باقيمانده از كل آدرس براي تعيين آدرسهاي”چند مقصده” (آدرسهاي گروهي) است. از اين آدرسها براي ارسال يك ديتاگرام به طور هم زمان براي چندين ماشين ميزبان كاربرد دارد و به منظور عمليات رسانه اي و چند پخشي بگار مي رود.

آدرسهاي كلاس E :

فعلا اين دسته آدرسها كه پنج بيت با ارزش آنها در سمت چپ11110 است كاربرد خاصي ندارند وبراي استفاده در آينده بدون استفاده رها شده اند.

آدرسهاي خاص:

در بين تمام كلاسهاي آدرس IP پنج گره از آدرسها ، معناي ويژه اي دارند وبا آنها نمي توان يك شبكة خاص را تعريف و آدرس دهي كرد. اين پنج گروه آدرس عبارتند از:

الف ) آدرس 0.0.0.0:هر ماشين ميزبان كه از آدرس IP خودش مطلع نيست اين آدرس را به عنوان آدرس خودش فرض مي كند . ابته از اين آدرس فقط به عنوان آدرس مبدأ وبراي ارسال يك بسته مي توان استفاده كرد وگيرندة نمي تواند پاسخي به مبدأ بسته بر گرداند .

ب) آدرس 0.HostID:اين آدرس زماني بكار مي رود كه ماشين ميزبان ، آدرس مشخصة شبكه اي كه بدان متعلق است را نداند در اين حالت در قسمت NetID مقدار صفر ودر قسمت HostID شمارة مشخصة ماشين خود را قرار مي دهد.

ج)آدرس255.255.255.255:براي ارسال پيامهاي فرارگير براي تمام ماشين هاي ميزبان بر روي شبكةمحلي كه ماشين ارسال كننده به آن متعلق است.

د) آدرس NetID.255: براي ارسال پيامهاي فرا گير براي تمام ماشين هاي يك شبكة راه دور كه ماشين ميزبان فعلي متعلق به آن نيست. آدرس شبكة مورد نظر در قسمت NetID تعيين شده و تمام بيت هاي قسمت مشخصة ماشين ميزبان 1 قرار داده مي شود .البته بسياري از مسير ياب ها براي مصون ماندن شبكه از مزاحمت هاي بيروني، چنين بسته هايي را حذف مي كنند .

ه) آدرس 127.xx.yy.zz :اين آدرس به عنوان" آدرس بازگشت" سناخته مي شود و آدرس بسيار مفيدي براي اشكال زدايي از نرم افزارمي باشد. به عنوان مثال اگر بسته اي به آدرس 127.0.0.1 ارسال شود بسته براي ماشين توليد كنندة آن بر خواهد گشت ؛ در اين حالت اگر نرم اغزار هاي TCP/IP درست و بدون اشكال نصب شده باشد فرستندة بسته بايد آنرا مجدا دريافت كند . همچنين از اين آدرس مي توان براي آزمايش برنامه هاي تحت شبكه ، قبل از نصب آنها بر روي ماشينهاي ميزبان استفاده كرد.

آدرسهاي زير شبكه

شما با نگاه اول به اولين عدد سمت چپ يك آدرسIP متوجه خواهيد شد كه اين آدرس از چه كلاسي است ولي هنوز موارد مبهمي وجود دارد: آيا شبكه اي كه آدرس آنرا پيش رو داريد فقط يك شبكه است يا خودش زير شبكه بندي شده است؛ يعني از چند شبكة محلي متصل بهم تشكيل شده است؟

اين اطلاعات براي شبكه هاي مبتني برTCP/IPكه قابليت مسير يابي دارند بسيار مهم است ، چرا كه هر ماشين ميزبان بايستي قادر به درك اين مطلب باشد كه آيا يك ماشين مقصد با آدرس خاص و مشخص، بر روي شبكة محلي خودش واقع است يا آنكه آن آدرس متعلق به زير شبكه ديگري است.بر اساس اين اطلاعات ماشين ميزبان تصميم مي گيرد كه آيا انتقال اطلاعات بايد مستقيما بر روي شبكة محلي انجام شود يا آنكه بايد از طريق يك مسيرياب روي شبكه اي ديگر ارسال شود.

براي آنكه بتوان زير شبكه ها(Subnetworks) را تفكيك كرد جداي از قسمت آدرس شبكه بايستي در قسمت مشخصة ماشين ميزبان نيز به گونه اي زير شبكه ها مشخص شوند. اين كار از طريق مفهومي به نام " الگوي زير شبكه يا Subnet Mask " انجام مي شود.

الگوي زير شبكه يك عدد 32 بيتي دودويي است كه براي ماشين ميزبان نقش يك مقايسه گر را بازي مي كند تا با استفاده از بتواند تشخيص دهد كه آيا مقصد روي همين شبكه محلي است كه خودش به آن تعلق دارد يا روي شبكه ديگري است.

فرض كنيدشما كاربري روي يك ايستگاه در شبكه دانشگاهي هستيد آدرس IP متعلق به شما به صورت زير اختصاص داده شده است:

3 1.55.213.73 1

با يك نگاه متوجه مي شويد كه آدرس از كلاسB است كه مشخصة شبكه آن معادل 131.55.0.0 ومشخصة ماشين شما 0.0.213.73 است؛ ولي هنوز نمي دانيد شبكه اي كه مشخصة آن معادل 131.55است آيا زير شبكه دارد يا خير؟

فرض كنيد كه شبكه مورد نظر با آدرس 131.55.0.0 ، ميخواهد حداكثر داراي 254 زير شبكه باشد ،به همين دليل فرض كرده است كه در فيلد مشخصة ماشين ميزبان كه در كلاس Bدو بايت سمت راست را شامل مي شود، بايت دوم آن به عنوان مشخصة مربوط به زير شبكه تعريف شود . يعني فيلد دو بايتي مربوط به مشخصة ماشين ميزبان به دو بخش تقسيم شده است:

الف ) مشخصة زير شبكه

ب) مشخصة ماشين ميزبان

با توجه به آنچه كه در بالا اشاره شد دومين بايت از سمت راست به عنوان مشخصة زير شبكه اختصاص داده شده است و به همين دليل هر ماشين براي دانستن آنكه آيا ماشين مقصد در شبكة محلي خودش واقع است يا در خارج از شبكه قرار دارد بايد قسمت" مشخصة شبكه" و" مشخصةزير شبكه" از آدرسIP خودش را با همين مشخصه ها از آدرس مقصد مقايسه نمايد. اينجاست كه يك الگوي 32 بيتي تعريف مي شودكه يك عدد 32 بيتي ودر اين مثال به صورت 255.255.255.0 است:

هرگاه ماشين به خواهد يك آدرس IP را تحليل كند .الگوي فوق را با آدرس IP خودش AND مي كند.(با اين كار HOST IDخودش را صفر مي نمايد) سپس مجددا الگو را با آدرس IPمقصد AND مي كند.(با اين كار HOST ID مقصد هم صفر مي شود) حال نتيجه دو مرحله را با هم مقايسه مي نمايد. اگر نتيجه دو مرحله يكسان بود, هر دو روي يك شبكه محلي قرار دارند.در غير اين صورت دو ماشين روي يك شبكه محلي قرار ندارند.


راهكارهاي پروتكل TCP براي جبران كاستي هاي لاية IP

در اين بخش مفهوم عملياتي كه پروتكل TCP براي جبران كاستي هاي لاية IP انجام مي دهد ، بررسي مي شود و سپس جزئيات اين عمليات را در بخشهاي آتي ارائه مي دهيم .

اولين كاستي در لاية IP ، عدم تضمين در آماده بودن و توانايي دريافت داده ها توسط ماشين مقصد ، عنوان شد . در پروتكل TCP راهكاري ساده و كارآمد براي اين مشكل اتخاذ شده است : " برقراري يك ارتباط و اقدام به هماهنگي بين مبدأ و مقصد ، قبل از ارسال هر گونه داده ".

براي تشريح اين راه حل ، فرض كنيد پروسه اي روي ماشين A تمايل داشته باشد براي پروسة ديگر بر روي ماشينB ، داده هايي را ارسال كند ؛ قبل از اقدام به ارسال داده به صورت زير عمل مي كند :

A يك بستة خاص را به عنوان درخواست براي ارتباط ، به آدرس ماشين Bمي فرستد و منتظر مي ماند .

B درخواست ارتباط را دريافت كرده و بر حسب شرايط ، آمادگي يا عدم آمادگي خودرا به A اعلام مي نمايد (ممكن است B اصلاً وجود خارجي نداشته باشد و طبعاً هيچ پاسخي بر نمي گردد . ) در صورتي كه A دريك مهلت زمان مشخص ، پاسخ مثبت مبني بر آماده بودن Bدريافت نمايد مي تواند به ارسال داده ها اقدام نمايد .

نكته : به پروتكلهايي كه قبل از مبادلة داده ها سعي در برقراري يك ارتباط و ايجاد هماهنگي قبلي مي نمايند ،پروتكلهاي« اتصال گرا»گفته مي شود . در اين پروتكل ها خاتمة مبادلة داده نيز بايد در يك روند هماهنگ و با اطلاع قبلي انجام شود .

معضلات بعدي در لاية IP تضمين به ترتيب رسيدن داده ها و صحت آنهاست .حل اين مسائل چندان مشكل نيست . مجدداً فرض كنيد پروسة A تمايل داشته باشد براي پروسة B بر روي يك ماشين مشخص ، داده هايي را ارسال كند و قبل از اقدام به ارسال داده ها يك ارتباط موفق برقرار كرده باشد . براي تضمين صحت و ترتيب داده ها روند زير قابل انجام است :

A بخشي از داده هايي كه بايد ارسال شوند را در قالب يك بسته سازماندهي كرده و در سرآيند آن يك " شمارة ترتيب " تنظيم مي نمايد ؛ سپس ضمن نگهداري آن بسته درون يك بافر ، آنرا جهت هدايت به مقصد ، تحويل لاية IP مي دهد و يك " زمان سنج " تنظيم مي نمايد . همچنين براي نظارت بر خطاهاي احتمالي يك كد 16 بيتي كشف خطا در سرآيند بسته قرار مي دهد . در صورتي كه B بستة ارسالي از A را سالم دريافت كرد ، يك " پيغام تصديق " كه انحصاراً Ack ناميده مي شود براي Aپس مي فرستد .

اگر A زمان مقرر پيغام Ack را دريافت كرد ، بافر مربوط به آه بسته را آزاد كرده و اقدام به ادامة ارسال داده ها به همين روال مي نمايد . اگر به دليل خرابي داده ها ( يا خرابي پيغام Ack در مسير برگشت ) درمهلت مقرر پيغام تصديق دريافت نشود ، بستة بافر شده از نو ارسال مي شود .

با قرار دادن شمارة ترتيب براي داده ها مي توان تضمين كرد كه جريان داده ها به ترتيب مي رسد و اگر به هر دليلي يك بسته دو بار دريافت شود ، با مقايسة شماره هاي ترتيب ، يكي از آنها دور انداخته مي شود .با تنظيم يك كد 16 بيتي كشف خطا درمبدأ و بررسي مجدد آن در مقصد ، مي توان از صحت داده ها نيز مطمئن شد . جزئيات اين عمليات با تشريح پروتكل TCP مشخص خواهد شد .

در پروتكل TCP براي به رسميت شناختن پروسه هاي مختلفي كه بر روي يك ماشين در حال اجرا هستند راه حل زير ارائه شده است :

هر پروسه براي تقاضاي برقراري يك ارتباط با پروسه اي ديگر روي شبكه ، يك شمارة شناسايي براي خود بر مي گزيند . به اين شمارة شناسايي « آدرس پورت » گفته مي شود . در سرآيند بسته اي كه توسط پروتكل TCP سازماندهي مي شود آدرس پورت پروسة فرستنده و آدرس پورت پروسة گيرندة آن درج مي شود . يكتا بودن شماره هاي پورت كه به پروسه ها رسميت و هويت مي بخشد ، توسط پروتكل TCP به عنوان جزئي از سيستم عامل نظارت خواهد شد . سيستم عامل جدولي را نگهداري مي كند كه شماره شناسايي تقاضا دهندة ارتباط در آن وجود دارد .

آدرس IP ، يك ماشين يكتا را در كل شبكه مشخص مي نمايد ؛ شمارة پورت نيز از بين پروسه هاي اجرا شده بر روي آن ماشين، يكي از آنها را بعنوان مبدأ ( يا مقصد ) تعيين ميكند . بنابراين زوج آدرس IP و آدرس پورت مي تواند يك پروسة يكتا و واحد را برروي هر ماشين در دنيا مشخص نمايد . در ادبيات شبكه به اين آدرس " آدرس سوكت " گفته مي شود :

IP Address : Port Aumber = Socket Address

دیوار آتش

دیوار آتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه بیرونی(مثلا اینترنت) قرار می گیرد و ضمن نظارت بر دسترسی ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد. در این ساختار هر سازمان یا نهادی که بخواهد ورود و خروج اطلاعات شبکه را کنترل کند، موظف است تمام ارتباطات مستقیم شبکه داخلی خود را با دنیای خارج قطع کرده و هر گونه ارتباط خارجی از طریق یک دروازه که دیوار آتش یا فیلتر نام دارد انجام شود. بسته های TCPو IP قبل از ورود به شبکه ( یا خروج از آن )، ابتدا وارد دیوار آتش می شوند و منتظر می مانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند. پس از پردازش و تحویل بسته سه حالت ممکن است اتفاق بیافتد:

  • اجازه عبور بسته صادر شود. (AcceptMode)
  • بسته حذف گردد.(BlockingMode)
  • بسته حذف و پاسخ مناسب به مبدا آن بسته داده شود.(Response Mode)

( به غیر از پیغام حذف بسته می توان عملیاتی نظیر ثبت اخطار، ردگيري، جلوگيري ازادامه استفاده از شبكه و توبيخ هم در نظر گرفت)

ديوار آتش داراي سه لايه مي باشد كه به اختصار به توضيح آن مي پردازيم.

لایه اول دیوار آتش

لايه اول در ديوار آتش براساس تحليل بسته IPو فيلد هاي سريند اين بسته كار مي كند. در اين بسته فيلدهاي زير قابل نظارت و بررسي هستند :


آدرس مبدا :

برخي از ماشينهاي داخل يا خارج شبكه با آدرس IP خاص "حق ارسال " بسته نداشته باشند و بسته هاي آنها به محض ورود به ديواره آتش حذف شود.

آدرس مقصد :

برخي از ماشينهاي داخل يا خارج شبكه با آدرس IP خاص "حق دريافت " بسته نداشته باشند و بسته هاي آنها به محض ورود به ديواره آتش حذف شوند. ( آدرس IP غير مجاز توسط مسئول ديواره آتش تعريف مي شود. )

شماره شناسائي يك ديتاگرام قطعه قطعه شده:

بسته هايي كه قطعه قطعه شده اند يا متعلق به يك ديتا گرام خاص هستند حذف شوند .

شماره پروتكل :

بسته هايي كه متعلق به پروتكل خاصي در لايه بالاتر هستند، ممکن است حذف شود يعني بررسي اينكه بسته متعلق به چه پروتكلي در لايه بالاتر است و آيا براي تحويل به آن پروتكل مجاز است يا خير.

زمان حیات بسته :

بسته هایی که بیش از یک مسیریاب را طی کرده اند مشکوک هستند و باید حذف شوند. مهمترین خصوصیات لایه اول از دیوار آتش آن است که در این لایه بسته ها به طور مجزا و مستقل از هم بررسی می شوند و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یک بسته نیست. به همین دلیل ساده ترین و سریعترین تصمیم گیری در این لایه انجام می شود. امروزه برخی از مسیریابها با امکان لایه اول دیوار آتش به بازار عرضه می شوند. یعنی به غیر از مسیریابی وظیفه لایه اول یک دیوار آتش را هم انجام می دهند که به آنها "مسیریابهای فیلتر کننده بسته" گفته می شود. مسیریاب قبل از اقدام به مسیریابی، براساس جدولی بسته های IP را غربال می کنند. تنظیم این جدول براساس نظر مسوول شبکه و برخی از قواعد امنیتی انجام می گیرد.

با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در این لایه دقیقتر باشد حجم پردازش در لایه بالاتر کمتر و احتمال نفوذ کمتر خواهد بود. در مجموع به خاطر تنوع میلیاردی آدرس های IP نقوذ از این لایه با آدرس های جعلی یا قرضی، امکان پذیر خواهد بود و این ضعف در لایه های بالاتر بایستی جبران شود.

لایه دوم دیوار آتش

در این لایه از فیلدهای سرآیند لایه انتقال، برای تحلیل بسته استفاده می شود.

شماره پورت پروسه مبدا و شماره پورت پروسه مقصد :

با توجه به آ نکه پورتهای استاندارد شناخته شده هستند، ممکن است مسوول یک دیوار آتش بخواهد سرویس ftp (انتقال فایل) فقط در محیط شبکه محلی امکان پذیر باشد و برای تمام ماشینهای خارجی این سرویس وجود نداشته باشد. بنابراین دیوار آتش می تواند بسته های TCP با شماره پورت 20 و 21 (مربوط به ftp ) که قصد ورود یا خروج از شبکه را دارند حذف کند. یکی دیگر از سرویس های خطرناک که ممکن است مورد سوء استفاده قرار گیرد Telnet است که می تواند پورت 23 را مسدود کرد یعنی بسته هایی که شماره پورت مقصدشان 23 است حذف شود.

فیلد شماره ترتیب و فیلد Acknwledgment :

این دو فیلد نیز بنابر قواعد تعریف شده توسط مسوول شبکه قابل استفاده هستند.

کدهای کنترلی (TCP Code BITS) :

دیوار آتش با بررسی این کدها به ماهیت آن بسته پی برده و سیاست های لازم را بر روی آن اعمال می کند. به عنوان مثال یک دیوار آتش ممکن است به گونه ای تنظیم شود که تمام بسته هایی که از بیرون به شبکه وارد

می شود و دارای بیت SNI=1 هستند را حذف کند. بدین ترتیب هیچ ارتباط TCP از بیرون به درون شبکه برقرار نخواهد شد.

از مهمترین خصوصیات این لایه آن است که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگذرد وچون در ارتباط TCP تا مراحل "دست تکانی سه گانه اش" به اتمام نرسد، انتقال داده امکان پذیر نیست. دیوار آتش می تواند تقاضای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نماید و در صورت غیر قابل اعتماد بودن مانع از برقراری ارتباط شود. دیوار آتش در این لایه نیاز به جدولی از شماره پورت های غیر مجاز دارد.

لايه سوم ديوار آتش

در اين لايه حفاظت بر اساس نوع سرويس و برنامه كاربردي انجام مي شود . يعني با در نظر گرفتن پروتكل در لايه چهارم به تحليل داده ها مي پردازد .

در لايه سوم ديواره آتش براي هرسرويس مجزا(مثل سرويسهاي پست الكترونيكي سرويس TCP/IP، سرويس وب و....) بايد يك سلسله پردازش و قواعد امنيتي مجزا تعريف شود و به همين دليل حجم وپيچيدگي پردازش در لايه سوم زياد مي شود .

توسعه موكد آن است كه تمام سرويسهاي غير ضروري و شماره پورتهايي كه مورد استفاده نيستد درلايه دوم مسدود شوند تا كار در لايه سوم كمتر باشد .

فیلترهای StateFul و هوشمند :

فیلترهای معمولی کارایی لازم را برای مقابله با حملات ندارند زیرا آنها براساس یکسری قواعد ساده بخشی از ترافیک بسته های ورودی به شبکه را حذف می نمایند. امروزه بر علیه شبکه ها حملاتی بسیار تکنیکی و هوشمند طرح ریزی می شود. به گونه ای که یک فیلتر ساده (که قواعد آن بر همگان آشکار است) قابل اعتماد و موثر نخواهد بود. نرم افزار Firewalk بسادگی قواعد دیوار آتش را کشف کرده و در اختیار نفوذ گر قرار می دهد. سپس او براساس این قواعد برای رسوخ به شبکه تلاش خواه

  انتشار : ۲۹ آبان ۱۳۹۵               تعداد بازدید : 836

دفتر فنی دانشجو

توجه: چنانچه هرگونه مشكلي در دانلود فايل هاي خريداري شده و يا هر سوال و راهنمایی نیاز داشتيد لطفا جهت ارتباط سریعتر ازطريق شماره تلفن و ايميل اعلام شده ارتباط برقرار نماييد.

فید خبر خوان    نقشه سایت    تماس با ما