|
-ma’ruza.
Transport sathida ma’lumotlarni himoyalash
| | bet | 41/144 | | Sana | 20.05.2024 | | Hajmi | 10,58 Mb. | | #245858 |
Bog'liq “tarmoq xavfsizligi”8-ma’ruza.
Transport sathida ma’lumotlarni himoyalash
Reja:
1. OSI modelining transport sathi imkoniyatlari va xususiyatlari
2. Transport sathi xavfsizlik protokollari
Transport sathining asosiy vazifasi xabarlarni uzatish va ishonchli yetkazib berishni ta'minlab, manbadan belgilangan qurilmaga ma'lumot oqimini boshqarishdir. Aloqaning bir uchidan ikkinchisiga xabarlarning uzatilishini boshqarish va ishonchlilik segment sarlavhalarida uzatiladigan bir qator parametrlar bilan ta'minlanadi:
• uzatilgan ma'lumotlar segmentlarining tartib raqamlari;
• toymasin derazaning o'lchamlari;
• tasdiqlash, ya'ni xabar olinganligini tasdiqlash.
Transport qatlami ikkita tarmoqning oxirgi nuqtalari o'rtasida mantiqiy aloqa o'rnatadi. Transport sathining protokollari uzatish tarafida yuqori darajadagi ilovalar tomonidan yuborilgan ma'lumotlarning segmentini va qabul qiluvchi tomonda olingan segmentlardan butun xabarni qayta yig'ish (qayta yig'ish).
Shunday qilib, transport sathining protokollari:
• qabul qilingan segmentlardan ma'lumotlarni segmentatsiyalash va butun xabarni qayta yig'ishni amalga oshirish. Aksariyat tarmoqlarda uzatiladigan xabarlar soniga cheklov mavjud. Shuning uchun, Transport sathi katta hajmdagi amaliy sath xabarini ma'lumot segmentlariga ajratadi, ularning o'lchami tarmoq modelining quyi qatlamlarining PDU protokoli transport birliklarining talablariga mos keladi. Bundan tashqari, agar monitoring jarayonida olingan xabarda xato mavjudligi aniqlansa, u holda butun katta xabarni qayta yuborish kerak bo'ladi. Agar qabul qilingan segmentlardan birida xato aniqlansa, faqat ushbu segment qayta yuboriladi. Segmentlarni bitta yoki bir nechta maqsad tugunlariga yo'naltirish mumkin;
• bir vaqtning o'zida bo'lib o'tadigan ko'plab ma'lumotlar almashinuvi jarayonlarini ta'minlash. Tarmoqning har bir so'nggi tugunida ko'plab turli xil dasturlarni ishga tushirish mumkin. Bir vaqtning o'zida yuqori darajadagi ma'lumotlar almashinuvi jarayonlari bitta mantiqiy transport ulanishining tepasida ko'paytirilishi mumkin. Ma'lumot oqimlarini tegishli dasturlarga uzatish uchun transport sathining protokoli har bir dasturni identifikatsiya qilishi kerak. TCP va UDP-da, port raqami dastur identifikatori sifatida ishlatiladi. Transport sathi segmenti sarlavhasidagi port raqami qaysi dastur tomonidan yuborilgan xabarni yaratganligini va qabul qilingan tomonda qabul qilingan ma'lumotlarni qayta ishlashi kerakligini ko'rsatadi. Bir vaqtning o'zida ko'plab ma'lumotlar almashinuvi bilan har bir dastur yoki xizmatga o'z manzili (port raqami) beriladi, shunda transport sathi uzatilayotgan ma'lumotlar qaysi amaliy dastur yoki xizmat bilan o'zaro ishlashi kerakligini aniqlaydi.
Eng taniqli transport sathlari protokollari Transmit Control Protocol (TCP) va User Datagram Protocol (UDP) hisoblanadi. TCP uzatishni boshqarish protokoli ulanishga yo'naltirilgan oldindan ulanish turi. Xabarlarni segmentlashtirish va dasturlarni aniqlashdan tashqari, TCP oqimni boshqarish va ishonchlilikni ta'minlaydi. Ilovalar qatlami protokollari bilan o'zaro ishlaydi: HTTP, SMTP, FTP, Telnet va boshqalar. UDP - bu ulanish o'rnatilmaydigan ma'lumotlar sxemasi, domen nomlari tizimi - DNS, video oqimi - Video bug'lanishi, IP orqali ovoz - IP orqali ovoz va boshqalar. Shuni ta'kidlash kerakki, DNS tizimi ham TCP, ham UDP bilan o'zaro ta'sir qiladi.
Shunday qilib, xabarni segmentlarga bo'lish va ilovalarni identifikatsiyalashdan tashqari, TCP transport sathi protokoli quyidagilarni ta'minlaydi:
1. Oqimni boshqarish.
2. Ishonchlilik.
Tekshirishni osonlashtirish va ishonchliligini ta'minlash uchun xabarlar qismlarga (qismlarga), ya'ni segmentlarga bo'linadi. Bunday holda, manba tugunining transport qatlamining protokoli uzatish paytida har bir ma'lumot segmentini kuzatishi va qabul qilinadigan moslama tomonidan tasdiqlanmagan xabarning istalgan qismini uzatishi kerak. Qabul qiluvchi tomonda joylashgan xostning transport qatlami ma'lumotlarning olinishini kuzatishi va ushbu tasdiqni tasdiqlashi kerak.
Oqim nazorati manba ma'lum bir tezlikda ma'lumotlarni uzatishda, maqsad tugunining bufer qurilmalarini ortiqcha bosmasligini ta'minlash uchun zarur. Agar maqsad tugmasi ma'lumotlarni kirish tezligida qayta ishlay olmasa, bufer toshib ketishi va ma'lumotlar yo'qolishi mumkin. Ma'lumot uzatish tezligini boshqarish slayd oynasining o'lchamini o'zgartirish orqali ta'minlanadi (Oyna), bu bitta to'plamda qancha bayt ma'lumotlarni uzatish mumkinligini ko'rsatadi. Bufer qurilmalari toshib ketganda, maqsad tugun manbaga deraza hajmini kamaytirish uchun so'rov yuboradi.
Har bir ma'lumotni olgandan so'ng, maqsad tugunlari manbaga tasdiqni tasdiqlashni yuboradi. Tasdiqlash (tasdiqlash) ma'lumotlar tarmog'ining ishonchliligini ta'minlaydi. Agar tasdiq olinmasa, tasdiqlanmagan ma'lumotlar manba tugunlari orqali yana uzatiladi.
IP-datagram tarmoqlarida ikkita so'nggi qurilma o'rtasida bir xil xabarlarning paketlari turli yo'llar bilan ketishi mumkin. Shuning uchun, segmentlar etkazib berish tuguniga ular uzatilish tartibida kelmasligi mumkin. Ishonchli transport qatlami protokoli (TCP) segmentlarning to'g'ri tartibini tiklashi va uzatilgan xabarni to'plashi kerak (uni qayta yig'ish).
Ishonchlilik, oqimlarni boshqarish, xabarlarni segmentatsiyalash va qayta yig'ish, dasturga murojaat qilish TCP segment sarlavhasida bir qator parametrlarni o'rnatish orqali amalga oshiriladi (13.1-rasm), bu 20 bayt hajmga ega.
13.1-rasm. TCP segment sarlavhasi formati
TCP segmentlari quyidagilarni belgilaydi:
• Manba port raqami - ma'lumot yuboradigan port raqamining 16 biti;
• Belgilangan port raqami - ma'lumotlarni qabul qiladigan port raqamining 16 biti;
• Tartib raqami - maqsad qismidagi to'g'ri tartibda ma'lumotlar qismlarini (qismlarini) birlashtirishni kafolatlash uchun foydalaniladigan segmentdagi birinchi bayt sonining 32 biti;
Tasdiqlash raqami - olingan ma'lumotlarning tasdiqlanishining seriya raqamidan 32 bit (keyingi kutilayotgan qismning bayt raqamidan boshlab);
• DZ (HL) - sarlavha uzunligi (sarlavhada 32 bitli so'zlarning soni);
• zaxira - maydon bitlari nolga o'rnatildi;
Kod (Code bit) - segmentning turini aniqlaydigan 6 bit, masalan, o'rnatish funktsiyalarini bajarish (SYN) va seansni tugatish (FIN), olingan ma'lumotlarni tasdiqlash (ACK), shoshilinch xabar (URG);
• Mavjud oynalar o’lchami - har bir bo'lak uchun baytlar soni;
• Nazorat summasi - sarlavha va ma'lumotlar maydonining hisoblangan nazorat summasi;
• indikator (Urgent pointer) - shoshilinch ma'lumotlarning tugashini bildiradi;
• opsiyalar (Variant) - har bir joriy variant TCP segmentining maksimal hajmini belgilaydi;
• ma'lumot - yuqori darajadagi protokol xabari.
UDP ma'lumotlar sxemasi tipidagi protokol bo'lgani uchun uning segmenti sarlavhasida (13.2-rasm) Sequence Number, Tasdiqlash raqami, Oyna o'lchami kabi parametrlar mavjud emas.
13.2-rasm. UDP segment formati
• Manbaning port raqami- ma'lumot yuboradigan port raqamining 32 biti;
• Belgilangan port raqami - ma'lumotlarni qabul qiladigan port raqamining 32 biti;
• Uzunlik - sarlavha va ma'lumotlardagi baytlar soni,
• Nazorat summasi - sarlavha va ma'lumotlar maydonining nazorat summasi;
• ma'lumot - yuqori darajadagi protokol xabari.
UDP-da ishonchlilik mexanizmlari mavjud emasligi sababli, u yuqori darajadagi amaliy protokollar bilan ta'minlanadi. Shu bilan birga, UDP sarlavhasining kichik o'lchamlari va tartib raqami, oyna va qo'shimcha ma'lumotlarning qabul qilinganligini tasdiqlash uchun qo'shimcha ishlov berishning yo'qligi TCP bilan solishtirganda xabarlarni qayta ishlash tezligini oshiradi.
Port raqami va IP-manzil kombinatsiyasi murakkab manzili, soket deb ataladigan shaklni yaratadi, unda nafaqat noyob qurilma, balki xabar yaratish va ishlov berish uchun ishlatiladigan dasturiy ta'minot ham aniqlanadi, masalan, 192.168.10.17:1275, 10.1.10.6:53.
Port raqamlari bir nechta turlarga bo'linadi:
-
Taniqli raqamlar (yaxshi ma'lum bo'lgan portlar), manzillar oralig'i 0 dan 1023 gacha;
-
1024 dan 49151 gacha raqamlar bilan ro'yxatdan o'tgan portlar;
-
Odatda foydalanuvchilarga dinamik ravishda berilgan 49152 dan 65535 gacha raqamlarga ega dinamik portlar.
FTP fayllarni uzatish protokoli ikkita ma'lum (standart) port raqamlaridan foydalanadi - 20 va 21. Port 20 ma'lumotlar uzatishda ishlatiladi va 21 port ulanishni boshqarish uchun ishlatiladi.
Ma'lum UDP protokol portlari orasida eng keng tarqalganlari: TFTP protokoli - 69, RIP - 520.
53-portli DNS xizmati va oddiy SNMP-161 tarmoqni boshqarish protokoli ham TCP, ham UDP tomonidan qo'llaniladi.
Ro'yxatdan o'tgan portlar foydalanuvchilarga ham, ilovalarga ham tayinlanadi. Ro'yxatdan o'tgan portlar server manbalari uchun ishlatilmaganda, ular mijoz tomonidan dinamik ravishda manba porti raqami sifatida ishlatilishi mumkin. Ro'yxatdan o'tgan portlardan, HTTP protokoli alternativlari 8008 va 8080.
TCP segmentining sarlavhasi xabar qismlari (segmentlari) ularni uzatish tartibida birlashtirilganligini ta'minlash uchun ishlatiladigan tartib raqamini o'z ichiga oladi. UDP protokolida bunday mexanizm mavjud emas, shuning uchun murakkab tarmoq orqali uzatish paytida ma'lumotlar segmentlarini birlashtirishda xatolar bo'lishi mumkin. Biroq, UDP protokoli yordamida ma'lumot uzatish tezligi TCP dan yuqori.
Tarmoqning so'nggi tugunida qaysi TCP ulanishlari faol ekanligini bilishingiz kerak bo'lsa, buyruq satri holatida netstat buyrug'idan foydalanishingiz mumkin. Buyruqning bosilishi quyidagilarni bildiradi: protokol (TCP), dinamik ravishda tayinlangan port raqami bilan tugunning mahalliy manzili, port raqami bilan belgilangan tugunning tashqi manzili (yoki nomi), shuningdek aloqa holati.
|
| |
