27. Универсальные браузеры
Веб-обозрева́тель, обозрева́тель, бра́узер (от англ. Web browser,) — программное обеспечение для просмотра веб-сайтов, то есть для запроса веб-страниц (преимущественно из Сети), их обработки, вывода и перехода от одной страницы к другой. Многие современные браузеры также могут загружать файлы с FTP-серверов.
Браузеры постоянно развивались со времени зарождения Всемирной паутины и с её ростом становились всё более востребованными программами. Ныне браузер — комплексное приложение для обработки и вывода разных составляющих веб-страницы и для предоставления интерфейса между веб-сайтом и его посетителем. Практически все популярные браузеры распространяются бесплатно или «в комплекте» с другими приложениями: Internet Explorer (совместно с Microsoft Windows), Mozilla Firefox (бесплатно, свободное ПО, совместно с многими дистрибутивами Linux, например, Ubuntu), Safari (совместно с Mac OS X и бесплатно для Microsoft Windows), Google Chrome (бесплатно), Opera (бесплатно, начиная с версии 8.5).
28. Организация доступа к бд
Возможность обеспечения работы всех удаленных филиалов компании в рамках единой инфраструткуры делает Hardware Inspector Client/Server просто уникальным. Это значительно облегчает взаимодействие всех подразделений и делает учет прозрачным.
Для обеспечения доступа удаленных филиалов к единой базе данных через сеть Интернет необходимо в центральном офисе настроить порт-маппинг в DSL-модеме, через который организация подключена к интернет, а также порт-маппинг из сетевого интерфейса локальной сети на сетевой интерфейс, идущий к модему.
Рассмотрим один из примеров организации одновременного доступа к Hardware Inspector Server из сети интернет и локальной сети.
Общая схема работы
В центральном офисе имеем сервер с двумя сетевыми интерфейсами. Один из них «смотрит» в локальную сеть организации и имеет IP-адрес 192.168.1.1. Ко второму сетевому интерфейсу с адресом 192.168.2.1 подключен DSL-модем.
На сервере установлен прокси-сервер, с помощью которого организован доступ рабочих станций в локальной сети к интернет.
Также на сервере инсталлирован Hardware Inspector Server, который по-умолчанию слушает порт 14584 (а также несколько следующих после него по порядку портов, число которых отображается во вкладке «Настройки»; для примера будем рассматривать, что приложение использует еще и порт 14585) на сетевом интерфейсе с адресом 192.168.2.1 (адрес в сторону модема).
Настройка порт-маппинга на модеме
Даже самые дешевые ADSL-модемы позволяют настроить переадресацию TCP/IP пакетов, приходящих из интернет на определенный порт и IP-адрес в локальной сети.
В нашем случае, через интерфейс настройки модема (как правило через веб-интерфейс) необходимо создать правило(а), которое будет переадресовывать пакеты приходящие из интернета в порт 14584 (и 14585) на порт 14584 (и 14585) локального адреса 192.168.2.1.
В удаленном же филиале для подключения к серверу на клиентской части нужно будет указать внешний IP адрес, через который выходит в интернет центральный офис и порт 14584.
Настройка порт-маппинга в прокси-сервере
Так как мы настроили Hardware Inspector Server на 192.168.2.1, который не принадлежит локальной сети, а «смотрит» на модем, то нам необходимо настроить переадресацию пакетов из локальной сети на этот адрес.
Для этого в настройках прокси-сервера требуется создать правило(а), которое будет переадресовывать сетевые пакеты приходящие в 192.168.1.1:14584 и 192.168.1.1:14585 на, соответственно, 192.168.2.1:14584 и 192.168.2.1:14585.
При этом для подключения к серверу операторов, находящихся в локальной сети, нужно указывать IP-адрес 192.168.1.1 и порт 14584.
Безопасность
Любое решение, которое предполагает доступ к корпоративным ресурсам извне, должно обеспечивать высокий уровень безопасности. Поэтому данному вопросу было уделено особенно пристальное внимание.
В случае с Hardware Inspector Client/Server используются следующие меры:
Авторизация пользователя по паролю и уникальному коду сервера.
Настройка произвольного порта, который используется сервером для входящих соединений.
Сжатие и кодирование трафика для защиты от снифферов.
Разграничение прав доступа на уровне дерева оргструктуры, карты, типов устройств и функционала программы. Это позволит для операторов удаленного филиала дать права доступа только к рабочим местам их филиала.
Отсутствие полного доступа операторов к таблицам базы данных, в отличии от файлового варианта Hardware Inspector.
Протокол обмена является разработкой нашей компании и публично не документирован, что усложняет его анализ.
Также можно предпринять следующие меры:
Настройка модема с ограничением диапазона внешних IP адресов, для которых будут работать правила порт-маппинга. То есть только с этих IP-адресов возможно будет подключение к Hardware Inspector Server из сети Интернет.
Использование VPN для подключения локальной сети филиала к локальной сети центрального офиса.
Запуск на сервере приложения Hardware Inspector Server под локальным пользователем с ограниченными правами доступа к ресурсам сервера. В частности, можно дать локальному пользователю права на чтение и запись только к папкам жесткого диска, которые реально нужны для работы приложения Hardware Inspector Server.
сбор и обработка статистики посещений Web-узлов
Веб-аналитика (англ. Web analytics) — это измерение, сбор, анализ, представление и интерпретация информации о посетителях веб-сайтов с целью их улучшения и оптимизации. Основной задачей веб-аналитики является мониторинг посещаемости веб-сайтов, на основании данных которого определяется веб-аудитория и изучается поведение веб-посетителей для принятия решений по развитию и расширению функциональных возможностей веб-ресурса.
Область применения
Веб-аналитика помогает во многих аспектах развития сайта. Вот основные из них:
Развитие функциональности сайта на основании тенденций в поведении посетителей
Оценка эффективности рекламных кампаний в интернете
Выявление проблемных мест в структуре, навигации и контенте сайта
Статистика посещаемости разделов и веб-страниц сайта позволяет понять:
количество просмотренных веб-страниц,
ключевые слова и фразы, по которым посетители находят сайт в поисковых системах,
географию посетителей,
время, проведенное на веб-странице посетителем,
переходы между веб-страницами,
аудиторию сайта (случайные, постоянные посетители и т. д.)
удобство навигации сайта для посетителей и т. д. ;
Стандарты веб-аналитики
Веб-аналитика — молодая отрасль не только в странах СНГ, но и мире в целом. Однако, организация Web Analytics Association уже ввела общепринятые стандарты[1], по которым могли бы производить измерения и анализ веб-аналитики.
Методы веб-аналитики
Анализ посещаемости сайта: статистика, тенденции, абсолютные и относительные показатели
Анализ юзабилити (анализ плотности щелчков, конверсионных путей посетителей по сайту)
Анализ поведения посетителей на странице
Бенчмаркинг. Сравнение с общими тенденциями и с конкурентами с помощью независимых исследователей (Alexa, GemiusAudience, Google Trends)
Инструменты веб-аналитики
Собирать статистику можно с помощью:
Счетчиков — это внешние программы. Для получения статистики на веб-страницы сайта устанавливается небольшой фрагмент кода (обычно 1-2 килобайт). Смысл в том, что при входе на сайт браузер грузит картинку, которая размещена на сайте сбора информации. Данные о загрузках счетчика заносятся в базу данных, которая может размещаться на сервере поставщика услуги сбора и обработки статистики, и затем просматриваются, например, на его сайте.
C помощью лог-анализаторов
|
|
Преимущество |
Недостаток |
|
Счетчики |
Просты и удобны в использовании. Позволяют получать оперативную наглядную информацию. |
Требует установки на сайт программного кода.Счетчики могут не собрать или потерять данные, если веб-страница недозагрузилась или возникли технические сбои при передаче данных. Невозможность сбора статистики по скачиваемому контенту, трафику сайта, закладкам, поставленным посетителями на сайт в своем браузере. |
|
Лог-анализатор |
Позволяют анализировать ошибки работы сервера, отслеживать хакерские атаки, составлять специальные отчеты. Более точные данные о числе посетителей сайта. Позволяет решать более узкие и сложные задачи, создавать собственные специфические отчеты. Позволяет собирать статистику по скачиваемому контенту, трафику сайта, закладкам, поставленным посетителями на сайт в своем браузере. |
Требуется достаточно высокая квалификация администратора веб-ресурса для установки и настройки анализатора. |
Проблема безопасности TCP/IP
Активные атаки на уровне TCPиIP
Все вышеперечисленные атаки можно отнести в «пассивным», т.к. у злоумышленника не
было никакого активного взаимодействия с каналом передачи или хотя бы с одной из
передающих стороной. Теперь же рассмотрим «активные атаки», на протокол IPи все
вышележащие протоколы данного стека.
- Проблемы, связанные с реализацией TCP(TCPStatemachineProblems)
- Затопление SYN-пакетами (SYNFlooding)
- Предсказание TCP sequence number (IP Spoofing)
- IPHijacking
- Атаки на протоколы маршрутизации
- Затопление ICMP-пакетами
- Атаки на DNS
3.1. Проблемы, связанные с реализацией TCP(TCPStatemachineProblems)
Работу протокола TCPможно представить в виде некоторой «машины состояний»
(См. RFC793, стр. 23). Как и любая машина состояний, машинаTCPимеет состояния и
условия переходов между ними.
Уязвимость заключается в том, что событие, которое соответствует условию выхода из
какого либо состояния может никогда не наступить, и машина TCP«повиснет». Вообще
говоря существует механизм борьбы с такими зависаниями, и возник он не из
соображения безопасности. Любой канал передачи данных подвержен помехам, или
может просто оборваться. Таким образом посылка, активирующая условие выхода из
какого-либо состояния, может не дойти. Стандартный способ борьбы с этим явлением –
введения механизма таймаутов. После перехода в некоторое состояние активируется
таймер, и если по истечению некоторого времени не придет дальнейшей команды от
удаленной стороны, TCPпереходит в исходное состояние.
Несмотря на гибкий механизм таймаутов, может случиться совершенно тривиальная
вещь – у какого либо состояния не окажется таймера, и TCP, при умелых манипуляциях
злоумышленника, повиснет в этом состоянии на веки (т.е. до перезагрузки). Правда в
современных реализациях TCPтакое практически не возможно- за долгую историю
многих операционных систем, реализующих TCP/IPэта проблема была устранена. Зато
все еще актуальной остается следующая: таймаут на некоторое состояние может иметь
очень большое значение, и таким образом зависание TCPбудет не вечным, а «сего лишь»
очень долгим. Но это совсем не мешает злоумышленнику по истечению таймаута
повторить атаку.
Как пример можно рассмотреть состояние CLOSE_WAIT(ожидание подтверждения о
получении клиентом FIN+ACK- посылки для закрытия сессии). Там присутствуетKeepaliveтаймер, отвечающий за поддержкуTCPсессии. Если злоумышленник корректно не
закроет сессию, другая сторона будет ждать его посылок по умолчанию 2 часа, заморозив
при этом весь TCP.
3.2 Затопление SYN-пакетами (SYNFlooding)
Установление соединения TCPпроисходит следующим образом: 1) Клиент посылает серверу запрос на установление соединения (SYNпакет,
содержащий sequencenumberсо стороны клиентаC-SYN)
2) Сервер отвечает клиенту подтверждением, и своим запросом (SYN+ACKпакет,
содержащий в поле ACKC-SYN+1, иsequencenumberсо стороны сервераS-SYN)
3) Клиент подтверждает получение посылки сервером (ACKпакет, содержащийSSYN+1).
Для поддержки медленных каналов связи время ожидания ответа клиента сделано
довольно большим(по умолчанию 75 секунд).
Затопление SYN-пакетами основано на том, что злоумышленник может непрерывно
посылать серверу SYNпакеты, не отвечая на его запросы. Для каждого принятогоSYN
запроса будет открываться сессия. Ввиду того, что количество открытых сессий всегда
ограничено, злоумышленник (или группа злоумышленников) может открыть сессий ровно
столько, сколько поддерживает сервер, и каждые 75 секунд обновлять свои соединения.
Таким образом можно вывести из строя какой ни будь TCPсервер, он просто не
сможет принять запросы нормальных пользователей т.к. все свои ресурсы направит на
поддержание «ложных» сессий.
Для борьбы с SYNFloodingможно предложить уменьшение таймаута удержания
сессии или принудительное «разрежение» переполненной очереди сервера.
3.3 Предсказание TCP sequence number (IP Spoofing)
Еще раз посмотрим на схему установления соединения TCP, в пункте 3.2.
Предположим, что злоумышленник может предсказать, какой sequencenumber(SSYN) будет выслан сервером, тогда он сможет не получив пакета сервера, посылать ему
свои пакеты от имени другого IPадреса, которому клиент «доверяет». Это возможно
сделать на основе знаний о конкретной реализации TCP/IP. Например, в 4.3BSDзначение
sequencenumber, которое будет использовано при установке следующего значения,
каждую секунду увеличивается на 125000. Таким образом, послав один пакет серверу,
злоумышленник получит ответ и сможет (возможно, с нескольких попыткок и с
поправкой на скорость соединения) предсказать sequencenumberдля следующего
соединения.
Если реализация TCP/IPиспользует специальный алгоритм для определенияsequence
number, то он может быть выяснен с помощью посылки нескольких десятков пакетов
серверу и анализа его ответов.
Итак, предположим, что система Aдоверяет системеB, так, что пользователь системы
Bможет получить доступ кA, не вводя пароля. Предположим, что злоумышленник
расположен на системе C. СистемаAвыступает в роли сервера, системыBиC- в роли
клиентов.
Первая задача злоумышленника - ввести систему Bв состояние, когда она не сможет
отвечать на сетевые запросы. Это может быть сделано несколькими способами, в
простейшем случае нужно просто дождаться перезагрузки системы B. Нескольких минут,
в течении которых она будет неработоспособна, должно хватить. Другой вариант -
использовать способ, описанный в разделе 3.2.
После этого злоумышленник может попробовать притвориться системой B, для того,
что бы получить доступ к системе A(хотя бы кратковременный).
• злоумышленник высылает несколько IP-пакетов, инициирующих соединение,
системе A, для выяснения текущего состоянияsequencenumberсервера.
• злоумышленник высылает IP-пакет, в котором в качестве обратного адреса указан
уже адрес системы B.
• система Aотвечает пакетом сsequencenumber, который направляется системеB.
Однако система Bникогда не получит его (она выведена из строя), как, впрочем, излоумышленник. Но он на основе предыдущего анализа догадывается, какойsequence
numberбыл выслан системеB.
• злоумышленник подтверждает "получение" пакета от A, выслав от имениBпакет с
предполагаемым S-ACK
Следует заметить, что если системы располагаются в одном сегменте сети,
злоумышленнику для выяснения sequencenumberдостаточно перехватить пакет,
посланный системой A, как это было описано в пункте 2.2.
После этого, если злоумышленнику повезло и sequencenumberсервера был угадан
верно, соединение считается установленным.
3.4 IPHijacking
Как известно, при передаче данных постоянно используются sequencenumberи
acknowledgenumber(оба поля находятся вIP-заголовке). Исходя из их значения, сервер и
клиент проверяют корректность передачи пакетов.
Существует возможность ввести соединение в "десинхронизированное состояние",
когда присылаемые сервером sequencenumberиacknowledgenumberне будут совпадать с
ожидаемым значениеми клиента, и наоборот. В данном случае злоумышленник,
"прослушивая" линию, может взять на себя функции посредника, генерируя корректные
пакеты для клиента и сервера и перехватывая их ответы. Некорректные пакеты, с
«неправильным» sequencenumberилиacknowledgenumber, даже если и дойдут до клиента
или сервера, по умолчанию будут проигнорированы (точнее говоря будет отправлен ack-
пакет, см. ниже).
Метод позволяет полностью обойти такие системы защиты, как, например,
одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как
произойдет авторизация пользователя. Также очень удобно производить атаки «человек
посередине» на шифры с открытым ключом.
Существует 2 основных метода рассинхронизации сессии – ранняя десинхронизация и
десинхронизация «нулевыми данными».
В первом случае соединение десинхронизируется на стадии его установки.
Злоумышленник принудительно сбрасывает запрос сервера на установку сессии, посылая
затем запрос на установку уже своей сессии(от имени клиента), параллельно генерируя
необходимые пакеты для клиента. Таким образом получается установленная
рассинхронизированая сессия.
При десинхронизация «нулевыми данными» злоумышленник прослушивает сессию и в
какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые
фактически будут проигнорированы на уровне прикладной программы и не видны
клиенту (например, для telnetэто может быть данные типаIACNOPIACNOPIAC
NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия
переходит в десинхронизированное состояние.
Данный метод имеет довольно существенный недостаток, позволяющий его
обнаружить.
Он заключается в том, что любой пакет, высланный в момент, когда сессия находится в
десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет
выслан сервером, и для клиента он является неприемлимым, поэтому тот отвечает ACK-
пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает
ответ... И так до бесконечности. Но современные сети строятся по технологиям, когда
допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных,
повторных передачи не происходит и "буря стихает". 3.5 Атаки на протоколы маршрутизации
Хотя протоколы маршрутизации и не являются на прямую компонентом TCP/IP, они
обеспечивают работу практически всех более менее крупных TCP/IPсетей. Но так же как
и TCP/IPв большинстве из них не предусмотрена аутентификация. Посылая ложныеRIP
пакеты злоумышленник может настроить маршрутизацию так, чтобы весь поток
информации шел через него, со всеми вытекающими из этого последствиями.
3.6 Затопление ICMP-пакетами
Традиционный англоязычный термин -- "pingflood". Появился он потому, что
программа "ping", предназначенная для оценки качества линии, имеет ключ для
"агрессивного" тестирования. В этом режиме запросы посылаются с максимально
возможной скоростью и программа позволяет оценить, как работает сеть при
максимальной нагрузке.
Данная атака требует от злоумышленника доступа к быстрым каналам в Интернет.
При стандартном режиме работы пакеты выслаются через некоторые промежутки
времени, практически не нагружая сеть. Но в "агрессивном" режиме поток ICMPecho
request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности
передавать полезную информацию.
Естественно злоумышленник может также подделывать обратный адрес подобных
пакетов, затрудняя его обнаружение.
3.7 Атаки на DNS
Подобные атаки направлены на сервисы, которые запрашивают услуги по «имени»,
вместо IPадреса (на примерWWW). В таком случае ОС делает запросDNSсерверу на
преобразование имени в IP. ВDNSтак же как и в большинстве других протоколов не
предусмотрена аутентификация, таким образом данный запрос можно перехватить, и
отправить свой ответ.
Б - Стек протоколоа
История и перспективы стека TCP/IP
Transmission Control Protocol/Internet Protocol (TCP/IP) - это промышленный стандарт стека протоколов, разработанный для глобальных сетей.
Стандарты TCP/IP опубликованы в серии документов, названных Request for Comment (RFC). Документы RFC описывают внутреннюю работу сети Internet. Некоторые RFC описывают сетевые сервисы или протоколы и их реализацию, в то время как другие обобщают условия применения. Стандарты TCP/IP всегда публикуются в виде документов RFC, но не все RFC определяют стандарты.
Cтек был разработан по инициативе Министерства обороны США (Department of Defence, DoD) более 20 лет назад для связи экспериментальной сети ARPAnet с другими сателлитными сетями как набор общих протоколов для разнородной вычислительной среды. Сеть ARPA поддерживала разработчиков и исследователей в военных областях. В сети ARPA связь между двумя компьютерами осуществлялась с использованием протокола Internet Protocol (IP), который и по сей день является одним из основных в стеке TCP/IP и фигурирует в названии стека.
Большой вклад в развитие стека TCP/IP внес университет Беркли, реализовав протоколы стека в своей версии ОС UNIX. Широкое распространение ОС UNIX привело и к широкому распространению протокола IP и других протоколов стека. На этом же стеке работает всемирная информационная сеть Internet, чье подразделение Internet Engineering Task Force (IETF) вносит основной вклад в совершенствование стандартов стека, публикуемых в форме спецификаций RFC.
Если в настоящее время стек TCP/IP распространен в основном в сетях с ОС UNIX, то реализация его в последних версиях сетевых операционных систем для персональных компьютеров (Windows NT 3.5, NetWare 4.1, Windows 95) является хорошей предпосылкой для быстрого роста числа установок стека TCP/IP.
Итак, лидирующая роль стека TCP/IP объясняется следующими его свойствами:
Это наиболее завершенный стандартный и в то же время популярный стек сетевых протоколов, имеющий многолетнюю историю.
Почти все большие сети передают основную часть своего трафика с помощью протокола TCP/IP.
Это метод получения доступа к сети Internet.
Этот стек служит основой для создания intranet- корпоративной сети, использующей транспортные услуги Internet и гипертекстовую технологию WWW, разработанную в Internet.
Все современные операционные системы поддерживают стек TCP/IP.
Это гибкая технология для соединения разнородных систем как на уровне транспортных подсистем, так и на уровне прикладных сервисов.
Это устойчивая масштабируемая межплатформенная среда для приложений клиент-сервер.
Структура стека TCP/IP. Краткая характеристика протоколов
Так как стек TCP/IP был разработан до появления модели взаимодействия открытых систем ISO/OSI, то, хотя он также имеет многоуровневую структуру, соответствие уровней стека TCP/IP уровням модели OSI достаточно условно.
Структура протоколов TCP/IP приведена на рисунке 2.1. Протоколы TCP/IP делятся на 4 уровня.
Рис. 2.1. Стек TCP/IP
Самый нижний (уровень IV) соответствует физическому и канальному уровням модели OSI. Этот уровень в протоколах TCP/IP не регламентируется, но поддерживает все популярные стандарты физического и канального уровня: для локальных сетей это Ethernet, Token Ring, FDDI, Fast Ethernet, 100VG-AnyLAN, для глобальных сетей - протоколы соединений "точка-точка" SLIP и PPP, протоколы территориальных сетей с коммутацией пакетов X.25, frame relay. Разработана также специальная спецификация, определяющая использование технологии ATM в качестве транспорта канального уровня. Обычно при появлении новой технологии локальных или глобальных сетей она быстро включается в стек TCP/IP за счет разработки соответствующего RFC, определяющего метод инкапсуляции пакетов IP в ее кадры.
Следующий уровень (уровень III) - это уровень межсетевого взаимодействия, который занимается передачей пакетов с использованием различных транспортных технологий локальных сетей, территориальных сетей, линий специальной связи и т. п.
В качестве основного протокола сетевого уровня (в терминах модели OSI) в стеке используется протокол IP, который изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи. Протокол IP является дейтаграммным протоколом, то есть он не гарантирует доставку пакетов до узла назначения, но старается это сделать.
К уровню межсетевого взаимодействия относятся и все протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), а также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом - источником пакета. С помощью специальных пакетов ICMP сообщается о невозможности доставки пакета, о превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п.
Следующий уровень (уровень II) называется основным. На этом уровне функционируют протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagram Protocol). Протокол TCP обеспечивает надежную передачу сообщений между удаленными прикладными процессами за счет образования виртуальных соединений. Протокол UDP обеспечивает передачу прикладных пакетов дейтаграммным способом, как и IP, и выполняет только функции связующего звена между сетевым протоколом и многочисленными прикладными процессами.
Верхний уровень (уровень I) называется прикладным. За долгие годы использования в сетях различных стран и организаций стек TCP/IP накопил большое количество протоколов и сервисов прикладного уровня. К ним относятся такие широко используемые протоколы, как протокол копирования файлов FTP, протокол эмуляции терминала telnet, почтовый протокол SMTP, используемый в электронной почте сети Internet, гипертекстовые сервисы доступа к удаленной информации, такие как WWW и многие другие. Остановимся несколько подробнее на некоторых из них.
Протокол пересылки файлов FTP (File Transfer Protocol) реализует удаленный доступ к файлу. Для того, чтобы обеспечить надежную передачу, FTP использует в качестве транспорта протокол с установлением соединений - TCP. Кроме пересылки файлов протокол FTP предлагает и другие услуги. Так, пользователю предоставляется возможность интерактивной работы с удаленной машиной, например, он может распечатать содержимое ее каталогов. Наконец, FTP выполняет аутентификацию пользователей. Прежде, чем получить доступ к файлу, в соответствии с протоколом пользователи должны сообщить свое имя и пароль. Для доступа к публичным каталогам FTP-архивов Internet парольная аутентификация не требуется, и ее обходят за счет использования для такого доступа предопределенного имени пользователя Anonymous.
В стеке TCP/IP протокол FTP предлагает наиболее широкий набор услуг для работы с файлами, однако он является и самым сложным для программирования. Приложения, которым не требуются все возможности FTP, могут использовать другой, более экономичный протокол - простейший протокол пересылки файлов TFTP (Trivial File Transfer Protocol). Этот протокол реализует только передачу файлов, причем в качестве транспорта используется более простой, чем TCP, протокол без установления соединения - UDP.
Протокол telnet обеспечивает передачу потока байтов между процессами, а также между процессом и терминалом. Наиболее часто этот протокол используется для эмуляции терминала удаленного компьютера. При использовании сервиса telnet пользователь фактически управляет удаленным компьютером так же, как и локальный пользователь, поэтому такой вид доступа требует хорошей защиты. Поэтому серверы telnet всегда используют как минимум аутентификацию по паролю, а иногда и более мощные средства защиты, например, систему Kerberos.
Протокол SNMP (Simple Network Management Protocol) используется для организации сетевого управления. Изначально протокол SNMP был разработан для удаленного контроля и управления маршрутизаторами Internet, которые традиционно часто называют также шлюзами. С ростом популярности протокол SNMP стали применять и для управления любым коммуникационным оборудованием - концентраторами, мостами, сетевыми адаптерами и т.д. и т.п. Проблема управления в протоколе SNMP разделяется на две задачи.
Первая задача связана с передачей информации. Протоколы передачи управляющей информации определяют процедуру взаимодействия SNMP-агента, работающего в управляемом оборудовании, и SNMP-монитора, работающего на компьютере администратора, который часто называют также консолью управления. Протоколы передачи определяют форматы сообщений, которыми обмениваются агенты и монитор.
Вторая задача связана с контролируемыми переменными, характеризующими состояние управляемого устройства. Стандарты регламентируют, какие данные должны сохраняться и накапливаться в устройствах, имена этих данных и синтаксис этих имен. В стандарте SNMP определена спецификация информационной базы данных управления сетью. Эта спецификация, известная как база данных MIB (Management Information Base), определяет те элементы данных, которые управляемое устройство должно сохранять, и допустимые операции над ними.