Страшную, непрестанную борьбу ведет посредственность с теми, кто ее превосходит

Вот говорят - не открывайте зеленку зубами. ...

Названы открытые образовательные проекты, получившие 15 млн долларов от фонда XPRIZE
Sun, 19 May 2019 09:39:29 +0300

Выпуск системы управления доступом к сети PacketFence 9.0
Sun, 19 May 2019 08:58:52 +0300

Тестирование рабочего стола KDE Plasma 5.16
Sat, 18 May 2019 23:26:52 +0300

Релиз Linux-дистрибутива Peppermint 10
Sat, 18 May 2019 08:59:34 +0300

Выпуск John the Ripper 1.9.0-jumbo-1 с поддержкой FPGA
Fri, 17 May 2019 20:53:48 +0300

Cloudflare, Mozilla и Facebook развивают BinaryAST для ускорения загрузки JavaScript
Fri, 17 May 2019 20:13:47 +0300

Релиз дистрибутива для создания межсетевых экранов IPFire 2.23
Fri, 17 May 2019 14:07:47 +0300

Реализация FastCGI на современном C++
Fri, 17 May 2019 11:08:55 +0300

Microsoft открыл код библиотеки векторного поиска, используемой в Bing
Fri, 17 May 2019 10:18:44 +0300

Фонд свободного ПО сертифицировал звуковые карты и WiFi-адаптеры ThinkPenguin
Fri, 17 May 2019 09:08:30 +0300

Взлом дискуссионной площадки Stack Overflow (дополнено)
Fri, 17 May 2019 08:49:45 +0300

Доступен web-браузер Min 1.10
Thu, 16 May 2019 22:46:34 +0300

Фонд Khronos создаёт рабочую группу по развитию открытых стандартов 3D-коммерции
Thu, 16 May 2019 22:32:19 +0300

Intel опубликовал редакцию дистрибутива Clear Linux для разработчиков приложений
Thu, 16 May 2019 09:21:13 +0300

В Firefox будут убраны настройки для отключения многопроцессного режима
Thu, 16 May 2019 08:24:50 +0300

Intel развивает открытую прошивку ModernFW и гипервизор на языке Rust
Wed, 15 May 2019 23:41:59 +0300

Проект по избавлению GNOME от ошибок и недоработок, проявляющихся при работе поверх Wayland
Wed, 15 May 2019 12:14:47 +0300

Выпуск Proton 4.2-4, пакета для запуска Windows-игр в Linux
Wed, 15 May 2019 11:39:34 +0300

Выпуск VirtualBox 6.0.8
Wed, 15 May 2019 11:15:29 +0300

Итоги полугода работы проекта Repology, анализирующего информацию о версиях пакетов
Wed, 15 May 2019 08:34:06 +0300

Представлен новый класс уязвимостей в процессорах Intel
Tue, 14 May 2019 23:03:46 +0300

Новая версия открытой биллинговой системы ABillS 0.81
Tue, 14 May 2019 13:49:38 +0300

Выпуск открытого 4G-стека srsLTE 19.03
Tue, 14 May 2019 13:02:11 +0300

Критическая уязвимость в приложении WhatsApp, пригодная для внедрения вредоносного ПО
Tue, 14 May 2019 10:17:56 +0300

В OpenBSD-CURRENT добавлена утилита sysupgrade для автоматического обновления
Tue, 14 May 2019 00:05:09 +0300

Выпуск проекта DXVK 1.2 с реализацией Direct3D 10/11 поверх API Vulkan
Mon, 13 May 2019 23:23:44 +0300

Уязвимость в сетевом стеке ядра Linux
Mon, 13 May 2019 20:38:26 +0300

Представлен более эффективный метод определения коллизий для SHA-1
Mon, 13 May 2019 12:06:59 +0300

Подмена кода проектов Picreel и Alpaca Forms привела к компрометации 4684 сайтов
Mon, 13 May 2019 08:37:14 +0300

OpenIndiana 2019.04 и OmniOS CE r151030, продолжающие развитие OpenSolaris
Sun, 12 May 2019 23:41:20 +0300

Зафиксирована атака вредоносных шифровальщиков на Git-репозитории (дополнено)
Sun, 12 May 2019 10:22:45 +0300

Утечка персональных данных 275 млн индийских пользователей через публичную СУБД MongoDB
Sun, 12 May 2019 09:58:03 +0300

Выпуск композитного менеджера KWin-lowlatency 5.15.5
Sun, 12 May 2019 09:21:40 +0300

Выпуск отладчика GDB 8.3
Sun, 12 May 2019 07:42:53 +0300

Выпуск российского дистрибутива Astra Linux Common Edition 2.12.13
Sat, 11 May 2019 23:00:54 +0300

GitHub ввёл в строй реестр пакетов, совместимый с NPM, Docker, Maven, NuGet и RubyGems
Sat, 11 May 2019 15:36:17 +0300

Linux-дистрибутиву MagOS исполнилось 10 лет
Sat, 11 May 2019 06:35:35 +0300

Уязвимость в библиотеке PharStreamWrapper, затрагивающая Drupal, Joomla и Typo3
Fri, 10 May 2019 21:45:55 +0300

Выпуск Wine 4.8. Доступен D9VK 0.10 с реализацией Direct3D 9 поверх Vulkan
Fri, 10 May 2019 20:26:46 +0300

В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации
Fri, 10 May 2019 10:30:06 +0300

ZyXEL Trendnet Dlink Asus Level One Другие обзоры
Маршрутизация

Разделение на сети (подсети) служит основой для маршрутизации пакетов, передаваемых по сети. Термин Routing — маршрутизация — означает передачу дейтаграммы от одного узла к другому. При посылке IP-дейтаграммы узел сравнивает (логическая операция «исключающее ИЛИ») IP-адрес назначения со своим IP-адресом и накладывает (логическое «И») на результат маску подсети. Ненулевое значение результата этой операции является указанием на необходимость передачи пакета из подсети во внешнюю сеть.

Direct Routing — прямая маршрутизация — осуществляется между узлами одной подсети. В этом случае источник знает конкретный физический (MAC) адрес получателя и инкапсулирует IP-дейтаграмму в кадр сети, содержащий этот адрес и непосредственно передающийся по сети получателю. Список соответствия IP- и МАС-адресов узлов обычно формируется хостом динамически с помощью протокола ARP (Address Resolution Protocol). Для получения МАС-адреса интересующего узла (в пределах подсети) хост посылает кадр с широковещательным МАС-адресом, в который вкладывает запрос, содержащий IP-адрес интересующего узла. На этот запрос отзовется узел с IP-адресом, совпадающим с соответствующим полем запроса. В кадре ответа будет присутствовать его МАС-адрес, который и будет занесен в ARP-таблицу. ARP-запрос формируется узлом в том случае, когда ему нужно передать пакет по адресу, отсутствующему в его локальной таблице. Если ответ на ARP-запрос не будет получен, то пакет, который должен был быть передан, аннулируется. Возможно и статическое формирование таблиц, которое необходимо для тех технологий, в которых нет широковещательной адресации (например, соединение через РРР).

Indirect routing — непрямая маршрутизация — передача дейтаграмм между узлами различных подсетей. Обнаружив расхождение немаскированной (сетевой) части IP-адресов, источник посылает кадр с IP-дейтаграммой по физическому адресу маршрутизатора (его адрес узнается вышеописанным способом). Маршрутизатор анализирует IP-адрес назначения полученной дейтаграммы и в зависимости от адресов прямо подключенных к нему подсетей посылает дейтаграмму либо прямо по физическому адресу узла назначения, либо к следующему маршрутизатору.

Маршрутизатор (router) представляет собой устройство, имеющее один или несколько интерфейсов (портов) для подключения локальных сетей или удаленных соединений. Каждому физическому интерфейсу ставится в соответствие одна или несколько IР-(под)сетей, узлы которых имеют с ним непосредственную связь (на 1-2-м уровне модели OSI). Маршрутизатор обеспечивает межсетевую передачу пакетов между узлами (хостами и другими маршрутизаторами) доступных ему подсетей. Передачи могут быть как между разными интерфейсами, так и между подсетями, расположенными на одном и том же интерфейсе (без маршрутизатора их узлы друг друга «не видят», хотя и «слышат»). Возможны маршрутизаторы даже с одним физическим интерфейсом, их иногда называют «однорукими маршрутизаторами».

В терминологии TCP/IP маршрутизатор относится к шлюзам (gateway), и в каждом проходящем пакете он должен декрементировать поле TTL (по приходе пакета, а затем каждую секунду пребывания пакета в маршрутизаторе).

Маршрутизатор .для своей работы должен иметь таблицу маршрутизации, в которой содержится информация об IP-адресах и масках (под)сетей, подключенных к каждому его порту, а также список соседних маршрутизаторов. Список непосредственно доступных маршрутизаторов должен быть и в каждом, узле. Заполнение этих таблиц может осуществляться как динамически (например, с помощью протокола RIP или OSPF), так и статически (вручную). Статическое заполнение таблиц — довольно хлопотное занятие, но зато оно позволяет избежать «взломов» сети с помощью подстановки нелегальных маршрутизаторов.

На маршрутизаторы возлагается и задача фильтрации — пропускания пакетов, удовлетворяющих только определенным критериям, или/и наоборот, непропускания определенных пакетов. Фильтрация может осуществляться по различным признакам, относящимся к протоколам разных уровней. Естественно, что сложные схемы фильтрации требуют определенных ресурсов маршрутизатора (память под таблицы, процессорное время на обработку пакетов).

IP-маршрутизаторы характеризуются производительностью (число пакетов в секунду), задержкой (временем обработки пакета), способом обмена маршрутной информацией (RIP, OSPF), возможностями фильтрации, поддержкой группового вещания (IGMP), типом и количеством интерфейсов.

Маршрутизатор может быть отдельным устройством, возможна также реализация его функций и сетевой операционной системой конечных узлов (серверов). Возложение функций маршрутизатора, особенно фильтрации, на сервер значительно нагружает его. Кроме того, в этом случае появляются ограничения, не свойственные IP-протоколу. Например, сервер NetWare 3.x—4.x (и не только этих ОС) не позволяет на одной интерфейсной карте сконфигурировать более одной IP-подсети.  А вот OS Linux позволяет все, что только душе угодно.

Сегментация сети с помощью мостов и коммутаторов даже в предельном случае — в полностью коммутируемой среде — не позволяет безгранично увеличивать количество узлов сети. Дело в том, что в сетях кроме кадров, пересылаемых от одного узла к конкретному другому (unicast), всегда присутствуют и широковещательные (broadcast). Эти кадры обычно используются для рекламирования услуг серверами или, наоборот, для опроса существующих серверов, а также для иных служебных целей. В последнее время все шире стало применяться и групповое многоадресное вещание (multicast), где кадры должны доставляться всем узлам-членам группы. В большой коммутируемой сети широковещательный и групповой трафик, беспрепятственно распространяющийся через все порты коммутаторов, может вызывать значительные и длительные перегрузки. Кроме того, бесполезную загрузку сети вызывают и кадры с неизвестным положением адресатов назначения, которые прозрачными мостами (и коммутаторами) транслируются во все порты. Допустимый уровень широковещательного трафика является одним из факторов, ограничивающих предельный размер (по числу узлов) для логической сети. Решить проблемы роста позволяет разбивка сети на логические подсети, не связанные между собой традиционными коммуникационными устройствами 1-2 уровней (повторителями, мостами и коммутаторами). Каждая из подсетей будет являться доменом широковещательных пакетов. Кроме того, эти домены будут границами, в которых будут распространяться и кадры с адресами, неизвестными мостам и коммутаторам (еще не выученными). При этом для обеспечения взаимодействия узлов разных подсетей приходится обеспечивать и передачу потоков кадров между подсетями. Передача кадров между подсетями должна регулироваться на основе информации более высоких протокольных уровней (3 и выше) или по правилам, устанавливаемым администратором сети.

Классическим способом является построение сетей с помощью маршрутизаторов. Маршрутизатор представляет собой промежуточную систему с несколькими интерфейсами (портами), оперирующую информацией пакетов сетевого уровня, заключенных в кадры сети. Каждый порт имеет свой физический адрес (МАС-адрес), по которому к нему обращаются узлы, нуждающиеся в межсетевой передаче пакетов. С каждым из портов связываются один или несколько сетевых протоколов (IP, IPX, AppleTalk) и одна или несколько подсетей. Маршрутизатор пересылает между портами (подсетями) только те пакеты, которые предназначаются адресатам подсети выходного порта. При этом возможна и фильтрация — передача пакетов, удовлетворяющих определенным критериям. .Критерии фильтрации могут быть различными — разрешение/запрет передачи пакетов заданных протоколов верхних уровней, заданных адресатов и др. Маршрутизаторы используются и как средства обеспечения безопасности, препятствующие прозрачному взаимодействию между узлами разных подсетей. Маршрутизаторы необходимы для связи пространственно удаленных подсетей, когда имеются жесткие ограничения на полосу пропускания каналов связи между ними. Маршрутизатор будет посылать в канал только те пакеты, которые действительно предназначены для получателей противоположной стороны. При соединении локальных сетей с глобальными (например, подключение к сети Интернет) на границе локальной сети всегда должен быть маршрутизатор. Часто его объединяют в одном устройстве с модемом или иным устройством подключения к глобальным линиям связи. Пример использования маршрутизатора для объединения подсетей и подключения к глобальной сети приведен на рисунке ниже. Подключение к «облаку» .глобальной сети реально осуществляется с помощью двухточечного соединения, и на противоположном конце этого соединения тоже присутствует порт маршрутизатора.

Маршрутизатор принимает адресованный ему кадр во входной буфер (очередь) и анализирует заключенный в него пакет. Для маршрутизации интересен адрес назначения, для фильтрации могут анализироваться и другие поля. В зависимости от результата анализа пакет направляется в выходную очередь соответствующего интерфейса или уничтожается. По мере возможности пакеты из выходных очередей помещаются в кадры и передаются по физическим интерфейсам. Маршрутизатор обязан декрементировать поле TTL по приему кадра и каждую секунду его дальнейшего пребывания в очереди. Пакеты с обнуленным TTL уничтожаются. У маршрутизатора могут быть порты с разными сетевыми технологиями — переход осуществляется просто вкладыванием пакета в кадр соответствующей технологии. Изменять протокол (IP, IPX) маршрутизатор, естественно, не может. В случае обнаружения ошибок в пакете маршрутизатор генерирует соответствующий пакет-сообщение (для стека TCP/IP пакет ICMP).

Маршрутизаторы, как правило, имеют небольшое число физических интерфейсов и реализуются на основе одного (возможно, мощного) процессора. В отличие от «прозрачных» устройств 1-2-го уровня, присутствие маршрутизатора в сети заметно: все узлы подсети, желающие участвовать в обмене с узлами других подсетей, должны «знать» сетевой адрес маршрутизатора и иметь возможность получения его физического адреса. Пакеты, предназначенные для передачи в другую подсеть, заключаются в кадры, физически адресуемые маршрутизатору. Настройка самих маршрутизаторов всегда выполняется явно. Настройка маршрутизации для узлов IP выполняется явно, для IPX в большинстве случаев настройки не требуется. Непосредственных ограничений на топологию соединения маршрутизаторов нет - возможны и параллельные трассы, и множественные маршруты между различными подсетями. При этом возможны выбор оптимальных маршрутов и балансировка нагрузки маршрутизаторов.

Необходимость применения маршрутизатора может быть и не всегда очевидной. На следуующей схеме приведена структура сети, все узлы которой связаны между собой через повторители и коммутаторы. Однако, если по какимлибо причинам приходится узлы этой сети приписывать к различным IP-подсетям, то для взаимодействия между ними необходим маршрутизатор. В данной структуре маршрутизатор связывает подсети «одноруким» способом - он подключается к локальной сети всего одним интерфейсом, но на этом интерфейсе должны быть прописаны все три подсети. «Вторая рука» обеспечивает связь с глобальной сетью. Приведенная структура далека от идеальной - здесь узким местом может стать и сам маршрутизатор, и его порт. В плане угрозы широковещательных штормов и коллизий эта структура не дает преимуществ по сравнению с единой IP-подсетью, узлы которой связаны повторителями и коммутаторами. Но если пространства IP-адресов глобальной сети, выделенные под узлы данной сети, не дают возможности объединения (например, подсеть D а.Ь.с.48 с адресами хостов a.b.c.49-a.b.c.62 почему-то находится вне локальной сети), то эта конфигурация имеет право на существование.  

Хороший маршрутизатор является достаточно дорогим устройством со сложной настройкой, производительность которого из-за более сложных манипуляций с кадрами, выполняемых, как правило, одним процессором, гораздо ниже, чем у коммутатора. В результате маршрутизатор в сети с интенсивным обменом между подсетями может оказаться узким местом. Объединять подсети в более крупную подсеть допустимо не всегда, поскольку при увеличении числа узлов подсети возрастает вероятность широковещательных «штормов». Выходов может быть два — увеличивать производительность маршрутизатора или по возможности заменять маршрутизаторы коммутаторами с поддержкой ВЛС.

НОВОСТИ: Представлен новый класс уязвимостей в процессорах Intel Tue, 14 May 2019 23:03:46 +0300

Компания Intel опубликовала сведения о новом классе уязвимостей в своих процессорах - MDS (Microarchitectural Data Sampling). Как и прошлые атаки класса Spectre новые проблемы могут привести к утечке закрытых данных операционной системы, виртуальных машин и чужих процессов. Утверждается, что проблемы сперва были выявлены сотрудниками и партнёрами Intel в ходе внутреннего аудита. В июне и августе 2018 года информацию о проблемах в Intel также передали независимые исследователи, после чего почти год велась совместная работа с производителями и разработчиками операционных систем по определению возможных векторов атак и доставке исправлений. Процессоры AMD и ARM проблеме не подвержены.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome