Из чего складывается индивидуальный адрес сервера: Присвоение IP-адресов в корпоративной сети

Содержание

Сетевая инфраструктура предприятия от Telehouse Caravan

Защита от большинства типов атак
IP malformed, ICMP flood, TCP SYN flood, ICMP smurf, NTP amplification, DNS amplification и других типов атак большой полосой

Отказоустойчивость системы при мощнейших DDoS-атаках
Гарантирована защита ресурсов от атак мощностью до 1,5 терабит/сек и 120 млн. пакетов/сек.

Отсутствие задержек в получении легитимного трафика
Инфраструктура организована на базе геораспределенной сети фильтрации, узлы которой расположены в Нидерландах, Украине, России и Германии. Вредоносный трафик принимается и обрабатывается максимально близко к точке генерации, а легитимный направляется по кратчайшему маршруту, что гарантирует доступность ресурса более 99,95%

Простота подключения
Нет необходимости устанавливать дополнительное ПО или производить перенастройку ПО или оборудования, находящееся под защитой

Гибкая ценовая политика
Оплата производится только за входящий легитимный трафик

Реализована защита DNS
Система позволяет защитить DNS, несмотря на использование UDP протокола, валидация и фильтрация которого затруднены. Защита обеспечивается за счет переключения на протокол TCP посредством Message Truncated в моменты значительного увеличения UDP трафика

Индивидуальная настройка системы мониторинга
Позволяет устанавливать пороги для различных типов трафика до фильтрации

Доступ в Личный кабинет
Позволяет, в том числе, получить информацию об объеме легитимного и паразитного трафика и настроить уведомления о превышении порога «оплаченного» трафика

На Палау установлено первое зеркало корневого сервера под управлением ICANN

СИНГАПУР – 2 июля 2020 – Сегодня Интернет-корпорация по присвоению имен и номеров (ICANN) сообщила об успешной установке корневого сервера под управлением ICANN (IMRS) в Республике Палау.

Установка первого зеркала на Палау – результат совместной работы ICANN и Национальной корпорации связи Палау (PNCC). PNCC предоставила необходимое для установки оборудование, а также необходимую для обслуживания зеркала полосу пропускания.

«Мы признательны PNCC за работу по размещению зеркала IMRS. Это поможет улучшить качество функционирования корневой зоны DNS и повысить техническую стабильность и отказоустойчивость DNS в регионе», – заявил Давид Конрад (David Conrad), технический директор ICANN.

«Размещение зеркала IMRS на Палау не должно считаться достижением PNCC», – сказал Лео Бен Терионг (Leo Ben Teriong), генеральный директор PNCC. «Зеркало позволит улучшить опыт работы в интернете для всех интернет-пользователей Палау на фоне общей работы по созданию нашей Республики Палау».

На сегодняшний день ICANN управляет более 165 зеркалами IMRS, распределенными по всему миру, при чем большинство из них размещены у третьих сторон. В Океании на сегодняшний день размещено уже более 22 зеркал IMRS, а именно – в Австралии, Федеративных Штатах Микронезии, на Фиджи, во Французской Полинезии, на Гуаме, Маршалловых островах, в Новой Каледонии, Новой Зеландии, на Палау, в Папуа-Новой Гвинее, Самоа и на Соломоновых островах.

О корпорации ICANN

Миссия ICANN – обеспечение стабильного, безопасного и единого глобального интернета. Для того, чтобы связаться с кем-нибудь в интернете, в компьютер или другое устройство необходимо ввести адрес – имя или номер. Этот адрес должен быть уникальным, чтобы компьютеры могли друг друга находить. ICANN занимается координацией этих уникальных идентификаторов во всем мире. ICANN была создана в 1998 году как некоммерческая корпорация по обеспечению общественных интересов с сообществом, объединяющим участников из разных стран мира.

СПРАВОЧНАЯ ИНФОРМАЦИЯ

Что такое корневой сервер?

Корневой сервер – это DNS-сервер для корневой зоны системы доменных имен (DNS). Корневые серверы реагируют на запросы о поиске по DNS, поступающие от DNS-резолверов, и обычно находятся в управлении интернет-провайдеров. Когда обращение представляет собой запрос о самой корневой зоне, официальный ответ предоставляется корневым сервером. По всем остальным запросам корневой сервер в ответ дает ссылку на соответствующий DNS-сервер домена верхнего уровня (TLD) или выдает ошибку (т.е. сообщает, что такого TLD не существует). Каждый корневой сервер состоит из множества компьютеров, находящихся в разных местах. Эти компьютеры называются зеркалами.

Что такое зеркало корневого сервера?

Зеркалами используется метод маршрутизации сетевого трафика, известный под названием «anycast», который позволяет всем зеркалам корневого сервера иметь по два одинаковых IP-адреса (адрес IPv4 и адрес IPv4) и предоставлять одинаковое содержание DNS, включая информацию о DNS-серверах для TLD.

Преимущества использования локальных узлов корневого сервера

Увеличение количества зеркал повышает общую устойчивость DNS к ошибкам и к некоторым типам киберугроз, таким как атака типа «отказ в обслуживании» (DoS-атака), и может помочь сократить для интернет-пользователей время отклика на DNS-запросы.

Несмотря на широко распространенное заблуждение, корневые серверы не контролируют интернет. Зеркала не оснащены никакими механизмами изменения содержания DNS. Последствия любого изменения содержания корневой зоны минимизируются благодаря части DNS-протокола, известной под названием расширения безопасности DNS (DNSSEC), и если одно зеркало не отвечает на запрос, то резолверы задают этот же вопрос другому зеркалу или корневому серверу.

Вне зависимости от того, которому корневому серверу резолверы направляют запросы, расширение географического распространения благодаря добавлению новых зеркал помогает обеспечить более устойчивую, распределенную систему, которая в свою очередь помогает понизить риск потери доступа в интернет для пользователей из-за сбоев или атаки. Более масштабное распределение зеркал также обеспечивает максимально короткое время отклика на DNS-запросы, что делает интернет удобнее для интернет-пользователей.

Раньше услуги корневой зоны предоставлялись 13-ю индивидуальными компьютерами, и каждому компьютеру был присвоен один из 13 уникальных адресов IPv4, а сегодня существует 26 уникальных IP-адресов – 13 адресов IPv4 и 13 адресов IPv6, которые используются для предоставления услуг корневой зоны при помощи 1000 индивидуальных компьютеров.

Оборудование, техника и связность для этих машин, использующих эти 26 адресов, обслуживаются 12 организациями, известными под названием «операторы корневого сервера». ICANN, которая обслуживает корневой сервер под управлением ICANN (IMRS) – одна из этих 12 организаций.

Каждый оператор корневого сервера управляет созвездием зеркал независимо от других, хотя в случае необходимости они и координируют свою работу друг с другом. Хотя каждый оператор корневого сервера предоставляет свои услуги по-своему, они все получают одинаковые ответы на вопросы к DNS. Операторы корневых серверов не уникальны – все 12 операторов корневых серверов получают данные корневой зоны согласно правилам Администрации адресного пространства Интернет (IANA) и предоставляют эти данные через адрес IPv4 или IPv6, связанный с их сервером.

Принципы маршрутизации и преобразования IP-трафика в VPN-сети, созданной с использованием технологии ViPNet

Принципы маршрутизации и преобразования IP-трафика в VPN-сети, созданной с использованием технологии ViPNet

В публикации рассматриваются основные принципы маршрутизации и преобразования трафика в виртуальной сети ViPNet, которые обеспечивают взаимодействие узлов ViPNet при разных способах их подключения к телекоммуникационным сетям.

Публикация ориентирована на технических специалистов, которым нужно разобраться в специфике работы сети ViPNet. Например, в случаях, когда нужно оценить возможность ее внедрения или спланировать ее развертывание.

Для чтения статьи нужно иметь базовые представления об IP-сетях и межсетевых экранах. 

Введение

Многие VPN-системы предназначены главным образом для безопасного соединения локальных сетей через Интернет и организации защищенного удаленного доступа к ресурсам. В случае, если наряду с данными задачами есть задача организации защиты трафика напрямую между узлами независимо от их месторасположения, в том числе внутри локальной сети, по схеме Peer-to-Peer, то использование таких систем сильно затрудняется. Технология ViPNet позволяет легко решить задачи VPN-связности узлов в любых топологиях.

Одним из выгодных отличий технологии ViPNet от классических VPN-систем является отсутствие каких-либо процедур синхронизации и выработки ключей в процессе сеансов обмена защищенной информацией между узлами ViPNet. Это свойство значительно повышает устойчивость системы и обеспечивает высокую надежность работы различных сетевых служб. 

1.1 Компоненты виртуальной сети ViPNet

Виртуальная сеть строится с использованием компонентов ViPNet для различных операционных систем, программно-аппаратных комплексов ViPNet, а также готовых виртуальных машин для различных виртуальных сред.  В виртуальную сеть могут включаться также мобильные устройства на платформах iOS, Android и других ОС, на которых установлены приложения ViPNet Client, разработанные для данных платформ.

Компьютеры и мобильные устройства с ПО ViPNet Client в дальнейшем именуются Клиентами. Клиенты обеспечивают сетевую защиту и включение в VPN-сеть отдельных компьютеров и устройств.

Компьютеры с ПО ViPNet Coordinator для Windows и Linux, программно-аппаратные комплексы ViPNet для больших и мелких сетей, индустриальные шлюзы безопасности различной мощности, координаторы ViPNet на виртуальных машинах в дальнейшем именуются Координаторами.  Координаторы различного класса защищенности обеспечивают шифрование трафика туннелируемых ими сетевых ресурсов (как VPN-шлюзы), ретранслируют VPN-трафик между другими VPN-узлами, выполняют служебные функции по поддержанию связности защищенной сети и оптимизации маршрутов прохождения VPN-трафика между узлами.

Клиенты и Координаторы называются узлами виртуальной сети ViPNet или просто узлами ViPNet. Возможность обмена трафиком через защищенные каналы между узлами ViPNet (связи между узлами) централизованно задает администратор.

1.2 Функции координатора

Координаторы, как правило, устанавливаются на границе сетей и выполняют следующие функции:
  • VPN-шлюз — стандартная для классических VPN функция, реализующая создание защищенных каналов (туннелей) site-to-site и client-to-site между локальными и удаленными узлами. Координатор может создавать такой канал через каскад других координаторов, выполняющих функцию маршрутизации VPN-пакетов.

  • Межсетевой экран — функция фильтрации открытых, защищенных и туннелируемых транзитных и локальных сетевых соединений, а также функция трансляции адресов для открытых и туннелируемых соединений.

  • Сервер IP-адресов — функция автоматического обмена актуальной информацией о топологии сети между узлами ViPNet как внутри данной виртуальной сети, так и при взаимодействии с узлами других виртуальных сетей ViPNet. Обмен информацией осуществляется с помощью специального защищенного протокола динамической маршрутизации VPN-трафика (см. «Протокол динамической маршрутизации»). Результатом работы данного протокола является возможность маршрутизации VPN-трафика между узлами сети ViPNet по маршруту, оптимальному для используемого способа и места подключения узла к сети.

  • Маршрутизатор VPN-пакетов — функция, обеспечивающая маршрутизацию транзитного VPN-трафика, проходящего через координатор на другие узлы ViPNet. Маршрутизация осуществляется на основании идентификаторов защищенных узлов, передаваемых в открытой части VPN-пакетов и защищенных от подделки имитовставкой, и на основании данных, полученных в результате работы протокола динамической маршрутизации VPN-трафика. Любой VPN-трафик, прошедший на координаторе маршрутизацию, отправляется на следующий или конечный узел ViPNet на IP-адрес и порт, по которому этот узел доступен. IP-адрес источника пакета заменяется на адрес интерфейса координатора, с которого ушел пакет.  При работе в роли маршрутизатора VPN-пакетов координатор не имеет доступа к самим зашифрованным данным других узлов, а только выполняет их пересылку.

  • Если клиент или координатор подключается к Интернету через устройство с динамическим NAT, то они недоступны напрямую для входящих инициативных соединений других узлов. В этом случае для организации доступа к ресурсам корпоративной сети за этим координатором или для соединения с таким клиентом с удаленных узлов один из координаторов во внешней сети определяется для них как сервер соединений, с которым они поддерживают постоянную связь. За счет функционала маршрутизатора VPN-пакетов сервер соединений служит промежуточным звеном для установления связи с таким узлом из внешней сети (с возможностью последующего перехода на прямое общение, подробнее см. «Соединение двух узлов, которые подключаются к Интернету через устройства с динамическим NAT»).

  • Сервер соединений автоматически задается в настройках клиентов при их развертывании, и впоследствии его можно менять. Для координатора при необходимости сервер соединений можно задать в его настройках.

  • Транспортный сервер — функция, которая обеспечивает доставку обновлений ключей, справочной информации, политик, обновлений ПО ViPNet из программ управления сетью ViPNet на защищенные узлы, а также маршрутизацию почтовых конвертов прикладного ПО ViPNet (например, программ ViPNet Деловая почта, Файловый обмен).

По умолчанию сервер IP-адресов является сервером соединений для клиента. При необходимости сервером соединений может быть назначен другой координатор.  

2. Общие принципы взаимодействия узлов ViPNet в виртуальной сети

Узлы сети ViPNet могут располагаться в сетях любого типа, поддерживающих IP-протокол. Способ подключения узла к сети может быть любой: сеть Ethernet, PPPoE через XDSL-подключение, PPP через подключение Dial-up или ISDN, любая сеть сотовой связи, устройства Wi-Fi, сети MPLS или VLAN и другие.

2.1 Протокол динамической маршрутизации

Два узла в сети ViPNet могут взаимодействовать друг с другом, если администратор задал между ними связи в управляющем приложении (ViPNet Administrator). Для доступа к удаленным туннелируемым узлам нужно задать связь с туннелирующим их координатором. Задание связи между двумя узлами означает появление у двух узлов необходимой ключевой информации для организации защищенного VPN-соединения между ними.

У каждого клиента есть «свой» координатор — его сервер IP-адресов, сервер соединений и транспортный сервер (см. «Функции координатора». При необходимости можно настроить выполнение этих функций разными координаторами).

Постоянную возможность доступа узлов ViPNet друг к другу обеспечивает протокол динамической маршрутизации VPN-трафика, работающий на прикладном уровне ОС. Обмен служебными данными в рамках этого протокола происходит через те же VPN-соединения и, таким образом, защищен.

Работа протокола динамической маршрутизации заключается в автоматической передаче между узлами сети ViPNet актуальной информации о возможных способах доступа друг к другу, а также списков своих реальных IP-адресов. Протокол распространяет эту информацию не только в рамках своей сети ViPNet, но и также между узлами разных сетей ViPNet (если администраторы двух сетей договорились и обменялись между собой соответствующей информацией о связях между узлами двух сетей для защищенного взаимодействия в соответствии со своими задачами).

Ключевую роль в работе протокола играют координаторы, которые и обеспечивают все узлы сети необходимой информацией для организации связи. Выполняя функцию сервера IP-адресов, координаторы собирают информацию об актуальных способах доступа к «своим» клиентам. Далее серверы IP-адресов передают эту информацию на связанные с их клиентами узлы, напрямую или через некоторую цепочку других координаторов.

Для обеспечения защищенной передачи трафика в соответствии с задачами информационного обмена (далее целевого трафика) нужно задать связи между узлами, обеспечивающими защиту этого трафика (клиентами и туннелирующими координаторами), а также задать связи клиентов со «своими» координаторами, которые в большинстве случаев создаются автоматически.

Для обеспечения защищенной передачи трафика протокола динамической маршрутизации (далее служебного трафика) требуется также задать связи между координаторами, по цепочке которых должна передаваться информация о доступе к узлам. В небольших сетях для простоты можно связать координаторы по принципу «все со всеми». Однако в больших сетях с целью сокращения служебного трафика число связей между координаторами следует минимизировать и задавать связи исходя из следующих возможностей маршрутизации служебного трафика:  

  • В рамках одной сети ViPNet информация передается по цепочке, в которой присутствует не более двух координаторов. То есть, если клиенты связаны между собой, то должны быть связаны между собой и координаторы, которые выполняют для этих клиентов функции сервера IP-адресов.

  • При взаимодействии двух разных сетей ViPNet обмен служебным трафиком может происходить по цепочке до двух координаторов в каждой из сетей. Благодаря этому в каждой сети достаточно выделить один координатор (шлюзовой), через который будет происходить обмен с другой сетью, и связать его с таким же координатором в другой сети. А уже с этими координаторами связываются координаторы каждой из сетей, которые должны передать служебную информацию в другую сеть. При такой топологии шлюзовые координаторы становятся «единой точкой входа» в другую сеть, что упрощает и управление, и контроль межсетевого обмена. Естественно, если координаторы двух сетей связать напрямую, а не через выделенные шлюзовые координаторы, то информация будет передаваться более коротким путем.

В результате работы протокола динамической маршрутизации все узлы ViPNet владеют информацией о параметрах доступах к другим узлам, с которыми связаны. При этом во всех случаях целевой трафик между узлами независимо от маршрута служебного трафика пойдет кратчайшим путем, минуя координаторы, если это позволяет существующая сетевая инфраструктура (см., например: «Соединение двух узлов, которые подключаются к Интернету через устройства с динамическим NAT»).

2.2 Инкапсуляция

ПО ViPNet перехватывает весь сетевой трафик клиента или координатора. Трафик, предназначенный для передачи через защищенный канал на другой узел ViPNet, инкапсулируется в защищенные ViPNet IP-пакеты. Инкапсулируются исходные IP-пакеты любых протоколов (туннелирование на сетевом уровне).

При появлении любого IP-пакета в адрес других узлов ViPNet, с которыми есть связь, пакет без каких-либо протоколов предварительного установления соединений с узлом-получателем шифруется, инкапсулируется в ViPNet-пакет и передается через VPN-сеть на узел-получатель. 

Определенные модификации координаторов также поддерживают построение туннелей на канальном уровне (L2 OSI), что позволяет объединить в единую локальную сеть удаленные сегменты сетей. В этом случае в защищенные ViPNet IP-пакеты (UDP-протокол) инкапсулируются Ethernet-кадры любых сетевых протоколов, а не только IP.

Для инкапсуляции в ViPNet-пакеты используются два типа IP-протокола:

  • IP/UDP с портом источника 55777 по умолчанию или любым другим портом, который автоматически регистрируется на других узлах.

  •  IP/241 — используется при взаимодействии узлов в одной локальной сети. 

Для взаимодействия узлов в одном широковещательном домене автоматически используется протокол IP/241, у которого меньше накладные расходы благодаря отсутствию дополнительных UDP-заголовков.

   

Для инкапсуляции трафика между узлами в одном широковещательном домене используется протокол IP/241

В других случаях автоматически используется протокол UDP, для которого легко организовать прохождение IP-пакетов через любые типы межсетевых экранов и устройства с NAT. При формировании защищенных UDP-пакетов узлы по умолчанию задают порт источника 55777 (порт инкапсуляции), но в их настройках можно задать произвольный порт, который благодаря протоколу динамической маршрутизации станет известен и другим узлам для организации доступа по этому порту. При прохождении через устройства NAT в сети порт источника в пакетах может поменяться. Информация об этом также станет известной другим узлам для организации прохождения встречного трафика.

Для инкапсуляции трафика между узлами, разделенными NAT-устройством, используется UDP-протокол

Бывают случаи, когда передача UDP-пакетов запрещена Интернет-провайдером, и взаимодействие защищенных узлов по UDP-протоколу невозможно. Например, UDP-трафик бывает запрещен при использовании точек доступа в гостиницах и других общественных местах.

Узел автоматически определяет такой запрет и устанавливает с сервером соединений TCP-соединение (по умолчанию по порту 80), через которое передает сформированные UDP-пакеты. ViPNet-трафик для других узлов передается через это соединение на сервер соединений, откуда уже в обычном виде передается дальше. При настройке TCP-туннеля на сервере соединений может быть указан любой порт, на котором сервер будет принимать TCP-пакеты.


Если использование UDP-трафика невозможно, узел устанавливает соединение по протоколу TCP со своим сервером соединений и через него обменивается UDP-трафиком с другими узлами сети ViPNet   

2.3 Первоначальные настройки защищенной сети

Всю информацию, необходимую для взаимодействия приложений, узлы получают автоматически за счет работы протокола динамической маршрутизации VPN-трафика. Первоначальные настройки, которые нужно сделать при развертывании сети, минимальны:
  • В Центре управления сетью сформируйте структуру сети – клиенты, координаторы и их связи.

  • Задайте IP-адреса или DNS-имена для доступа к координаторам сети.

  • Клиенты ViPNet после инсталляции ПО в общем случае не требуют каких-либо настроек.

  • Для каждого координатора при необходимости задайте один из нескольких режимов подключения к внешней сети. Режим по умолчанию («Со статической трансляцией адресов») в большинстве случаев обеспечивает его работу без дополнительных настроек. Подробнее о задании режимов подключения на координаторе см. раздел «Варианты подключения координаторов к внешней сети».

  • На внешнем сетевом экране организации при необходимости настройте пропуск соответствующего протокола ViPNet (порты и адреса UDP- и/или TCP-протокола).

  • Для взаимодействия с требуемыми узлами других сетей ViPNet обменяйтесь некоторой первичной служебной информацией с администратором другой сети ViPNet. В дальнейшем такой обмен будет происходить автоматически.

3. Механизмы соединений в сети ViPNet 

3.1 Определение взаиморасположения узлов

Узлы по-разному устанавливают соединения, в зависимости от того, как они расположены по отношению друг к другу:
  • Находятся в одном широковещательном домене.

  • Находятся в одной маршрутизируемой сети, но в разных широковещательных доменах, то есть — разделены маршрутизирующими устройствами (в том числе со статической трансляцией адресов) и недоступны друг для друга по широковещательной рассылке.

  • Разделены NAT-устройствами с динамической трансляцией адресов.

При подключении к сети или изменении собственного IP-адреса узел выполняет специальную широковещательную рассылку и по ответам определяет, какие другие узлы ViPNet находятся с ним в одном широковещательном домене. Такие узлы регистрируют IP-адреса друг друга. Пакеты, отправляемые по этим адресам, шифруются и инкапсулируются в протокол IP/241.  

Для получения информации об узлах, недоступных в своем широковещательной домене, клиенты используют сервер IP-адресов, а для надежного первоначального соединения с ними используется сервер соединений, который владеет полным объемом информации о доступе к другим узлам.

3.2. Соединение двух узлов, которые подключаются к Интернету через устройства с динамическим NAT

Рассмотрим организацию соединений между двумя узлами, которые подключаются к сети Интернет через провайдера, предоставляющего доступ в Интернет в режиме динамического NAT. Например, Клиент 1 находится в гостинице в Лондоне, а Клиент 2 — в гостинице в Санкт-Петербурге:

1. При включении компьютера ПО ViPNet каждого из Клиентов определяет канал доступа к своему серверу соединений по UDP-протоколу (сервер соединений может быть и общий).

Если Клиенту 1 не удается соединиться со своим сервером соединений по UDP-протоколу, то Клиент устанавливает соединение по протоколу TCP (по умолчанию — порт 80, но можно установить и любой другой порт).

2. После подключения к серверу соединений клиент поддерживает соединение с ним путем периодической отправки на него тестовых IP-пакетов. Благодаря этому Клиент 1 предоставляет возможность другим узлам, в том числе и Клиенту 2, установить с ним инициативное соединение через свой сервер соединений. Интервал отправки IP-пакетов на сервер соединений по умолчанию равен 25 секундам. Этого, как правило, достаточно для работы через большинство устройств NAT. При необходимости интервал (тайм-аут) можно изменить.

3. Если от некоторого приложения на Клиенте 1 появляется целевой трафик в направлении Клиента 2 (например, VoIP), то Клиент 1 начинает передавать пакеты через свой сервер соединений. Сервер соединений, в свою очередь, пересылает эти пакеты на сервер соединений Клиента 2, а тот уже — самому Клиенту 2. Обратный трафик идет аналогичным маршрутом.

Если Клиент 1 соединяется со своим сервером соединений через TCP-соединение, то сервер соединений извлекает из TCP-соединения UDP-трафик (который по-прежнему зашифрован и недоступен для расшифрования на сервере соединений). Сервер передает UDP-трафик Клиенту 2 через его сервер соединений. Если Клиент 2 поддерживает связь со своим сервером соединений через TCP, то трафик, дойдя до сервера соединений Клиента 2, пойдет к Клиенту 2 через это TCP-соединение.

Таким образом, два клиента устанавливают связь друг с другом через два сервера соединений. Если клиент подключается к серверу соединений по UDP, то при благоприятной конфигурации сетевого окружения серверы соединений могут быть исключены из взаимодействия, то есть клиенты переходят к сообщению напрямую. Рассмотрим этот механизм:

1. Параллельно с началом передачи и приема целевого трафика по протоколу UDP через серверы соединений происходит следующее:

  • Оба клиента через серверы соединений передают друг другу тестовый пакет с информацией о параметрах прямого доступа к себе из внешней сети (адрес и порт), полученной от своего сервера соединений.

  • Оба клиента получают эти пакеты друг от друга и узнают о параметрах возможного прямого доступа друг к другу. Кроме того, каждый клиент также владеет информацией о доступе к серверу соединений другого клиента (эту информацию они получают заранее от своих серверов IP-адресов). Используя эти данные, оба клиента передают тестовые IP-пакеты напрямую на адреса и порты доступа друг к другу и к серверам соединений другой стороны. 

1. Если тестовый IP-пакет хотя бы одной из сторон сумел пройти напрямую через NAT-устройство другой стороны, то между узлами устанавливается прямое соединение. Доступность этого прямого соединения для обеих сторон сохраняется в течение 75 секунд после окончания передачи целевого трафика. После этого маршруты сбрасываются, а при необходимости установить соединение узлы опять начинают передачу трафика через свои серверы соединений.

Не все типы NAT позволяют установить прямое соединение (см. ниже). Прямое соединение возможно, если хотя бы у одной из сторон используется устройство NAT, позволяющее это сделать.

2. Если тестовые прямые IP-пакеты не дошли ни до одной из сторон, но дошли до сервера соединений другой стороны, то целевой трафик между двумя клиентами будет идти через один из серверов соединений. Доступность этого соединения также сохраняется для соединяющихся узлов в течение 75 секунд после окончания передачи целевого трафика. Аналогичная ситуация возникает, если один из клиентов подключается к своему серверу соединений через TCP. Этот сервер соединений не может быть исключен из передачи трафика, но может быть исключен другой сервер соединений, к которому его узел подключен по UDP.

3. Если тестовые пакеты никуда не дошли, то трафик между двумя узлами так и продолжит идти по длинному маршруту через два сервера соединений.

Начало взаимодействия клиентов за NAT-устройствами через серверы соединений и переход к взаимодействию напрямую

Существует четыре типа динамического NAT: Cone NAT, Address-Restricted cone NAT (или Restricted cone NAT), Port-Restricted cone NAT, Symmetric NAT. Установка прямого соединения не поддерживается только в случае, если оба NAT-устройства настроены для выполнения Symmetric NAT. В этом случае трафик будет идти через один из серверов соединений. Если хотя бы у одной стороны выполняется другой тип NAT, то прямое соединение будет установлено.

Таким образом, с удаленным узлом устанавливается либо прямое соединение, либо соединение через один из серверов соединений. Если существует возможность, узлы устанавливают взаимодействие друг с другом по кратчайшим маршрутам без участия их серверов соединений, за счет чего повышается скорость обмена шифрованным IP-трафиком и снижается нагрузка на координаторы. Если клиентам не удается установить более короткое соединение, то клиенты по-прежнему продолжают обмен между собой через свои серверы соединений.

3.3 Соединение узлов в одной маршрутизируемой сети

Если два клиента находятся в одной маршрутизируемой сети или разделены устройствами со статическим NAT, но недоступны друг для друга по широковещательной рассылке, первые пакеты они также отправляют через сервер соединений. После этого по описанному выше механизму (см. «Соединение двух узлов, которые подключаются к Интернету через устройства с динамическим NAT») такие узлы гарантированно переходят к общению напрямую, без участия сервера соединений. Последующие соединения два узла устанавливают в соответствии с сохраненной информацией о маршрутизации без участия сервера соединений напрямую.

 Узлы сохраняют информацию о маршрутизации пакетов друг для друга, которая не будет сброшена даже при отсутствии целевого трафика. Информация сбрасывается, только если узел будет отключен и затем заново подключен к сети.

3.4 Выбор сервера соединений для клиента, который перемещается в другую сеть ViPNet

Пользователь клиента или администратор сети может выбирать для клиента в качестве сервера соединений любой координатор, в том числе — координатор в другой сети ViPNet, с которой установлено межсетевое взаимодействие. Это бывает нужно, например, если клиент перемещается в локальную сеть, из которой доступ в Интернет возможен только через расположенный в этой локальной сети «чужой» координатор (координатор другой сети ViPNet). Условием возможности подключения через сервер соединений в другой сети является:
  • наличие межсетевого взаимодействия между сетью клиента и сетью сервера соединений;

  • связь «чужого» сервера соединений с координатором в «своей» сети, выполняющим для клиента роль сервера IP-адресов.

Задача сервера соединений — обеспечить соединения клиента с узлами, с которыми клиент связан. Для этого сервер соединений должен владеть информацией о возможных путях доступа к этим узлам, чтобы обеспечить маршрутизацию целевого трафика клиента. Однако в чужую сеть (сеть сервера соединений) информация о параметрах доступа к узлам других сетей может попасть, только если эти узлы связаны с какими-либо узлами этой чужой сети. Чаще всего это не так, и хотя бы некоторые (а возможно — и все) узлы, с которым связан клиент, и к которым клиенту может потребоваться доступ, не имеют связи с этой сетью. Зато информацией о доступе к этим узлам владеет сервер IP-адресов клиента в его сети. Сервер IP-адресов передает ее на клиент.  Получив эту информацию, клиент пересылает ее серверу соединений в чужой сети. В результате сервер соединений в чужой сети может выполнить маршрутизацию целевого трафика клиента для всех узлов, с которыми он связан. Клиент получает доступ ко всем ресурсам своей и других защищенных сетей, с которыми связан.

Если исходный сервер соединений клиента доступен из локальной сети, в которую переместился клиент, то необходимости менять сервер соединений не возникает.

4. Варианты подключения координаторов к внешней сети

Для координатора можно задать один из нескольких режимов подключения в внешней сети. Выбор режима зависит от того, отделен ли координатор от внешней сети внешним по отношению к координатору межсетевым экраном. Можно установить следующие режимы:
  • Режим подключения «Без использования межсетевого экрана».

  • Режим подключения «За координатором», при котором внешним межсетевым экраном является другой координатор.

  • Режим подключения через межсетевой экран «Со статической трансляцией адресов».

  • Режим подключения через межсетевой экран «С динамической трансляцией адресов».

По умолчанию координаторы устанавливаются в режим работы через межсетевой экран «Со статической трансляцией адресов». Режим можно изменить в управляющем приложении ViPNet Administrator или непосредственно на координаторе. Этот режим достаточно универсален и может использоваться в большинстве случаев.

4.1 Подключение координатора в режиме «Без использования межсетевого экрана»

Если координатор имеет постоянный IP-адрес в Интернете, то к нему можно построить маршрут из любой сети, имеющей доступ в Интернет. На таком координаторе можно установить режим «Без использования межсетевого экрана».

В этом случае может использоваться и режим по умолчанию  «Со статической трансляцией адресов». В последующих версиях ViPNet режим «Без использования межсетевого экрана» предполагается исключить из использования. 

4.2 Подключение координатора через другой координатор: режим «За координатором»

   Если координатор А расположен на границе между внутренним и внешним сегментами локальной сети, а внешняя сеть защищена координатором Б, то координатор А обычно устанавливают в режим «За Координатором», выбрав в качестве внешнего координатора координатор Б. Координатор Б в этом случае выполняет для координатора А роль сервера соединений.

Такая установка координаторов в цепочку друг за другом (каскадирование) позволяет защитить трафик внутренних сегментов локальной сети как во внешнем контуре локальной сети, так и при выходе трафика за ее пределы. Количество координаторов в цепочке не ограничивается. За один координатор можно установить несколько координаторов и тем самым обеспечить надежную изоляцию друг от друга и от общей локальной сети нескольких ее сегментов. В любой точке этой локальной сети могут находиться клиенты для защиты конкретных рабочих станций.

Каскадное включение координаторов   

При установке координаторов внутри локальной сети за координатор, стоящий на ее границе (каскадное включение координаторов) трафик из внутреннего сегмента локальной сети на удаленные узлы ViPNet передается следующим образом:

  • Координаторы ViPNet, защищающие внутренние сегменты локальной сети, автоматически отправляют зашифрованный ими трафик, предназначенный удаленным защищенным ресурсам, на координатор на границе внешнего сегмента сети. Этот координатор отправляет защищенный трафик дальше в соответствии с имеющейся у него информацией об удаленных узлах.

  • Удаленные узлы ViPNet отправляют трафик, предназначенный для внутреннего сегмента локальной сети, через внешний координатор, который перенаправляет его дальше, координаторам внутри локальной сети.

Каскадное включение координаторов позволяет защитить трафик внутреннего сегмента локальной сети при его прохождении как во внешнем сегменте локальной сети, так и во внешней публичной сети. Каскадирование также позволяет пропустить VPN-трафик по нужному маршруту в глобальной сети, что часто используется для его контроля в различных схемах администрирования.

Построение схемы с каскадированием координаторов не ограничено настройкой координаторов в режиме «За координатором». Такую же схему можно создать путем использования режима координатора с динамическим NAT с настройкой «Весь трафик передавать через сервер соединений». В последующих версиях для построения каскадных схем планируется использовать только этот режим координатора.

4.3 Подключение координатора через межсетевой экран «Со статической трансляцией адресов»

Если на границе локальной сети уже установлен межсетевой экран стороннего производителя с возможностью настройки статических правил трансляции адресов, то за ним можно расположить координатор с частными адресами сетевых интерфейсов и установить на нем режим межсетевого экрана «Со статической трансляцией адресов». Каждый из сетевых интерфейсов координатора может быть подключен к той или иной сети через отдельный межсетевой экран со статическими правилами трансляции. Через этот координатор будет обеспечено взаимодействие других узлов ViPNet и открытых узлов в локальной сети с узлами за ее пределами.  На межсетевом экране должны быть настроены статические правила трансляции адресов:
Работа координатора в режиме «Со статической трансляцией адресов»

Координатор в данном режиме успешно работает и при отсутствии реального внешнего межсетевого экрана. Поэтому такой режим устанавливается на координаторах по умолчанию.

4.1 Режим межсетевого экрана «С динамической трансляцией адресов»

Если координатор устанавливается на границе локальной сети, которая подключается к внешним сетям через межсетевые экраны с динамической трансляцией адресов, то нужно задать режим работы за межсетевым экраном «С динамической трансляцией адресов».

Поскольку координатор недоступен из внешней сети для инициативных соединений, то для него следует назначить в качестве сервера соединений один из координаторов, доступный из внешней сети (работающий в режиме «Со статической трансляцией адресов» или «Без использования межсетевого экрана»).  Сервер соединений обеспечит возможность инициативного соединения с ресурсами локальной сети за таким координатором со стороны любых других узлов (с учетом связей в защищенной сети).

За счет того, что координатор в данном режиме доступен из внешней сети через его сервер соединений, клиенты и туннелируемые ресурсы в локальной сети за ним доступны для других узлов в полном объеме — так же, как за координатором в любом другом режиме. Работа координатора через сервер соединений в этом режиме аналогична описанной выше работе клиента за NAT-устройством и позволяет переходить к сообщению «напрямую», без участия сервера соединений (подробно о работе клиентов через сервер соединений см. «Соединение двух узлов, которые подключаются к Интернету через устройства с динамическим NAT»).

Работа координатора в режиме «С динамической трансляцией адресов» аналогична работе клиента за NAT-устройством: координатор гарантированно доступен из внешней сетичерез сервер соединений. Для простоты на рисунке не отображен сервер соединений удаленного клиента, который также участвует в первоначальном установлении соединения.

Если в настройках координатора включить опцию «Весь трафик передавать через сервер соединений», то можно строить каскадные схемы, аналогичные режиму «За координатором».

5. Туннелирование IP-трафика открытых ресурсов

Для включения в виртуальную сеть узлов локальной сети, трафик которых не требуется защищать в локальной сети, координатор выполняет функцию туннелирующего сервера (VPN-шлюза):
  • Выступает шлюзом для передачи IP-трафика в сеть ViPNet, осуществляя инкапсуляцию и шифрование трафика открытых туннелируемых узлов.

  • Обеспечивает взаимодействие туннелируемых узлов с удаленными узлами для любых IP-протоколов. При этом не имеет значения, согласованы ли локальные адреса взаимодействующих узлов. Благодаря технологии виртуальных адресов в сети ViPNet могут взаимодействовать узлы, имеющие одинаковые IP-адреса (см. «Виртуальные адреса в сети ViPNet»), так что согласования адресации не требуется.

  • Скрывает адресную структуру защищаемой локальной сети за счет того, что принимает и передает инкапсулированный трафик от имени своего IP-адреса.

Для соединения открытых туннелируемых ресурсов с любыми удаленными клиентами, координаторами или туннелируемыми узлами удаленной локальной сети доступны все вышеописанные схемы подключения координаторов к сети. Это позволяет использовать все преимущества виртуальной сети ViPNet в распределенных информационных сетях со сложной топологией.

Открытые узлы, которые данный координатор будет туннелировать, можно задавать в настройках координатора или в управляющем приложении ViPNet Administrator в виде отдельных адресов или диапазонов.

6. Виртуальные адреса в сети ViPNet

6.1 Принцип работы виртуальных адресов

Технология ViPNet обеспечивает взаимодействие между защищаемыми ресурсами, которые имеют частные IP-адреса, без согласования IP-адресации подсетей. На удаленных сторонах могут использоваться одинаковые частные IP-адреса и подсети защищаемых ресурсов.

Для обеспечения такой возможности на каждом узле ViPNet для всех других узлов ViPNet, с которыми у него задана связь, автоматически формируются непересекающиеся виртуальные адреса:

  • Для клиентов и координаторов формируется столько же виртуальных адресов, сколько у них есть реальных адресов.

  • Для индивидуальных адресов или диапазонов адресов узлов, туннелируемых удаленными координаторами, формируются непересекающиеся виртуальные адреса и диапазоны.

На каждом узле для других узлов и туннелируемых ими устройств формируется свой уникальный набор виртуальных адресов.

Виртуальные адреса узлов не зависят от их реальных адресов и привязаны к уникальным ViPNet-идентификаторам узлов, присвоенным им в управляющем приложении ViPNet Administrator. При изменении IP-адреса удаленного узла ViPNet (что характерно для мобильных компьютеров, устройств и компьютеров с настроенной службой DHCP-client) его виртуальный адрес, единожды созданный на данном узле, не изменится. Это свойство можно использовать в приложениях для надежной аутентификации узла по его виртуальному адресу.

6.2 Адреса видимости

На каждом узле ViPNet известны списки реальных IP-адресов всех узлов ViPNet, с которыми связан данный узел, а также списки IP-адресов туннелируемых координаторами узлов. Узел получает эти адреса разными способами:

1. Списки реальных адресов других клиентов и координаторов передаются на узел в служебных сообщениях из управляющего приложения ViPNet Администратор и за счет работы протокола динамической маршрутизации ViPNet-трафика (см. «Протокол динамической маршрутизации»).

2. Списки реальных адресов узлов, туннелируемых удаленными координаторами, передаются на узел в служебных сообщениях из управляющего приложения ViPNet Администратор.

3. Если зашифрованный трафик приходит от узла, реальный адрес которого не был получен ранее из ViPNet Administrator или за счет протокола динамической маршрутизации (пп. 1 и 2), то узел регистрирует IP-адрес источника расшифрованного пакета как реальный адрес этого узла.

Как сказано выше, реальным адресам сопоставлены уникальные виртуальные адреса. Приложения на клиентах, координаторах и туннелируемых узлах для взаимодействия с ресурсом на некотором удаленном узле должны использовать адрес видимости — реальный или соответствующий ему виртуальный адрес удаленного узла. Какой адрес (реальный или виртуальный) следует использовать в качестве адреса видимости того или иного узла на данном узле, определяется настройками на данном узле.

Пользователям и администраторам нет необходимости заботиться о том, какой из адресов используется в качестве адреса видимости, и задавать его в приложениях. Приложения, использующие стандартные службы имен (DNS-службы), или мультимедийные приложения, использующие служебные протоколы SCCP, SIP, H.323 и другие (например IP-телефон), автоматически получат правильный IP-адрес другой стороны. В телах пакетов этих протоколов приложениям сообщаются IP-адреса требуемых им ресурсов. ПО ViPNet на клиентах и координаторах обрабатывает пакеты этих протоколов: при их отправке добавляет в инкапсулированные пакеты дополнительную информацию, идентифицирующую узел ViPNet, которому принаждлежит данный IP-адрес. Например, при отправке ответа на DNS-запрос добавляется информация, идентифицирующая IP-адрес защищенного ресурса, имя которого было запрошено. При приеме пакета эта информация позволяет выполнить подмену IP-адреса в теле извлеченного пакета на актуальный адрес видимости требуемого ресурса (адрес видимости на данном узле). Полученный адрес приложения используют для организации разговора с удаленным пользователем, для работы с почтой Exchange, доступа по имени на веб-порталы и другие ресурсы в защищенном режиме.

При обработке входящих расшифрованных пакетов от других узлов в них производится подмена адреса источника на адрес видимости этих узлов на данном узле. В результате приложения на самом узле или его туннелируемых узлах передают ответный трафик на правильный адрес видимости. Такой трафик будет зашифрован и передан на узел назначения.    

7. Маршрутизация трафика координаторов с несколькими сетевыми интерфейсами

Координатор ViPNet может иметь произвольное количество физических или виртуальных интерфейсов, подключенных к разным подсетям. Со стороны каждой подсети могут находиться открытые туннелируемые ресурсы.

Для соединения с ресурсами, расположенными за удаленными координаторами, можно настроить использование нескольких альтернативных каналов связи через разные подсети. Для этого нужно задать соответствующие адреса доступа к удаленным координаторам в этих подсетях и, при необходимости, задать метрики, определяющие приоритет их использования.

Приложения, работающие на координаторе или туннелируемых им ресурсах, посылают свои пакеты в адрес удаленных защищаемых ресурсов по их адресам видимости: реальным адресам удаленных узлов (как правило, это частные IP-адреса, выданные в тех локальных сетях, где они находятся) или по соответствующим им автоматически назначенным виртуальным адресам. Операционная система координатора маршрутизирует трафик в соответствии с имеющимися маршрутами для этих адресов.

Однако нет никакой необходимости производить настройки маршрутов для всех многочисленных удаленных подсетей с частными адресами или соответствующих им виртуальных адресов, что было бы особенно сложно, учитывая, что виртуальные адреса выделяются из одной подсети. Драйвер ПО ViPNet самостоятельно обеспечивает маршрутизацию трафика на нужный интерфейс в соответствии с маршрутом, заданным для внешних адресов доступа. 

То есть на координаторе достаточно настроить один маршрут по умолчанию и другие необходимые маршруты во внешние маршрутизируемые сети. Это типовой набор настроек для стандартных роутеров.

8.Туннелирование трафика открытых ресурсов на канальном уровне (работа координаторов в режиме L2-шифратора L2-шифратора)

Координаторы типа HW могут быть установлены в режим L2-шифратора (технология туннелирования на канальном уровне L2OverIP). Координаторы в этом режиме устанавливаются на границах нескольких (до 32) удаленных локальных сетей и объединяют их в единую локальную сеть. Узлы в этих локальных сетях взаимодействуют так, как если бы они находились в одном широковещательном домене (без маршрутизации, с прямой видимостью по MAC-адресам).

Координатор в режиме L2-шифратора работает как виртуальный коммутатор, который пересылает поступившие на его L2-адаптер Ethernet-кадры в удаленные сети через аналогичные L2-шифраторы на их границах:

  • широковещательные (в частности ARP-запросы) и мультикастовые кадры — во все объединяемые сети;

  • юникастовые кадры — в конкретную сеть в соответствии с накопленной таблицей MAC- адресов виртуального коммутатора.

Не имеет значения протокол более высокого уровне (IP или иной) трафика, поступившего на L2-адаптер.

Координатор обрабатывает Ethernet-кадры и не различает IP-пакеты. Поэтому он не может использоваться для туннелирования IP-трафика открытых ресурсов (см. «Туннелирование IP-трафика открытых ресурсов»).

 Ethernet-кадр, перехваченный на L2-адаптере, сначала упаковывается в простой IP-пакет с адресом назначения нужного координатора. Широковещательный Ethernet-кадр дублируется в нескольких IP-пакетах с адресами назначения координаторов других локальных сетей. Каждый такой IP-пакет шифруется на ключе связи с соответствующим координатором, инкапсулируется в стандартный ViPNet-пакет и пересылается на нужный координатор через внешний интерфейс. При приеме исходный Ethernet-фрейм извлекается и отправляется в локальную сеть.

Координаторы поддерживают технологию VLAN (802.1Q):

  1. Координатор в режиме L2-шифратора может пересылать тегированные кадры в другие сегменты с сохранением тегирования.

  2. На L2-адаптере координатора можно создать виртуальные интерфейсы VLAN, которые будут работать через L2-туннель с узлами в удаленных сегментах с учетом их нахождения в VLAN.

Можно увеличить производительность L2-канала между локальными сетями за счет подключения нескольких координаторов к внешнему коммутатору через разные порты по технологии EtherChannel. Испытания такого кластера из трех координаторов HW2000 показали производительность 10 Гбит/с (прямо-пропорциональное числу координаторов увеличение производительности). Подробнее см. статью «Защита ЦОД при помощи кластера ViPNet Coordinator HW» https://www.anti-malware.ru/analytics/Technology_Analysis/ViPNet_Coordinator_HW .

Заключение

Рассмотренные методы использования технологических решений ViPNet для организации безопасного соединения компьютеров в IP-сетях с непрозрачной адресацией удовлетворяют все возникающие на сегодня практические потребности в этой области.

За счет работы протокола динамической маршрутизации VPN-трафика настройка узлов ViPNet со стороны пользователей и администраторов даже в самых сложных конфигурациях сетей минимизируется или не требуется вовсе.

Владимир Игнатов

Отказоустойчивая веб-архитектура в облачной платформе: как реализовать

Что мы используем для отказоустойчивости на уровне приложений

Наш сервис построен на ряде opensource-компонентов.

ExaBGP — сервис, который реализует ряд функций с использованием протокола динамической маршрутизации на базе BGP. Мы активно его используем, чтобы анонсировать наши белые IP-адреса, через которые пользователи получают доступ к API.

HAProxy — высоконагруженный балансировщик, позволяющий настраивать очень гибкие правила балансировки трафика на разных уровнях модели OSI. Мы используем его для балансировки перед всеми сервисами: базы данных, брокеры сообщений, API-сервисы, web-сервисы, наши внутренние проекты — все стоит за HAProxy.

API application — web-приложение, написанное на python, с помощью которого пользователь управляет своей инфраструктурой, своим сервисом.

Worker application (далее просто worker) — в сервисах OpenStack это инфраструктурный демон, который позволяет транслировать API-команды на инфраструктуру. Например, создание диска происходит именно в worker, а запрос на создание — в API application.

Стандартная архитектура OpenStack Application

Большинство сервисов, которые разрабатываются под OpenStack, пытаются следовать единой парадигме. Cервис обычно состоит из 2 частей: API и worker’ы (исполнители бэкенда). Как правило, API — это WSGI-приложение на python, которое запускается либо как самостоятельный процесс (daemon), либо с помощью уже готового веб сервера Nginx, Apache. API обрабатывает запрос пользователя и передает дальнейшие инструкции на выполнение приложению worker application. Передача происходит с помощью брокера сообщений, как правило это RabbitMQ, остальные поддерживаются плохо. Когда сообщения попадают в брокер, их обрабатывают worker’ы из в случае необходимости возвращают ответ.

Эта парадигма подразумевает изолированные общие точки отказа: RabbitMQ и базу данных. Зато RabbitMQ изолирован в рамках одного сервиса и по идее может быть индивидуальным для каждого сервиса. Так что мы в MCS максимально разделяем эти сервисы, для каждого отдельного проекта создаем отдельную базу, отдельный RabbitMQ. Этот подход хорош тем, что в случае аварии в каких-то уязвимых точках ломается не весь сервис, а только его часть.

Количество worker application ничем не ограничено, поэтому API может легко масштабироваться горизонтально за балансировщиками в целях увеличения производительности и отказоустойчивости.

В некоторых сервисах необходима координация внутри сервиса — когда происходят сложные последовательные операции между API и worker’ами. В этом случае используется единый центр координации, кластерная система типа Redis, Memcache, etcd, которая позволяет одному worker’у сказать другому, что эта задача закреплена за ним («ты, пожалуйста, ее не бери»). Мы используем etcd. Как правило воркеры активно общается с базой данных, пишет и читает оттуда информацию. В качестве базы данных мы используем mariadb, которая у нас находится в мультимастер-кластере.

Такой классический одиночный сервис организован общепринятым для OpenStack образом. Его можно рассматривать как замкнутую систему, для который достаточно очевидны способы масштабирования и отказоустойчивости. Например, для отказоустойчивости API достаточно поставить перед ними балансировщик. Масштабирование worker’ов достигается за счет увеличения их количества.

Слабым местом во всей схеме являются RabbitMQ и MariaDB. Их архитектура заслуживает отдельной статьи.В этой статье хочу сфокусироваться на отказоустойчивости API.

Введение в серверную часть — Изучение веб-разработки

Добро пожаловать на курс для начинающих по программированию серверной части сайта! В этой первой статье мы рассмотрим программирование на стороне сервера с высокого уровня, отвечая на такие вопросы, как «что это»?, «как это отличается от программирования на стороне клиента»? и «почему это так полезно»? После прочтения этой статьи вы поймёте дополнительные возможности, доступные веб-сайтам посредством программирования на стороне сервера.

Перед стартом: Базовая компьютерная грамотность. Базовое понимание, что такое веб-сервер.
Цель: Ознакомиться с тем, что такое программирование серверной части, на что оно способно и чем отличается от программирования клиентской части.

Большинство крупных веб-сайтов используют программирование серверной части чтобы динамично отображать различные данные при необходимости, в основном взятые из базы данных, располагающейся на сервере и отправляемые клиенту для отображения через некоторый код (например, HTML и JavaScript).

Возможно, самая значительная польза программирования серверной части в том, что оно позволяет формировать контент веб-сайта под конкретного пользователя. Динамические сайты могут выделять контент, который более актуален в зависимости от предпочтений и привычек пользователя. Это также может упростить использование сайтов за счёт сохранения личных предпочтений и информации, например, повторного использования сохранённых данных кредитной карты для оптимизации последующих платежей.

Это также даёт возможность взаимодействовать с пользователем сайта, посылая уведомления и обновления по электронной почте или по другим каналам. Все эти возможности позволяют глубже взаимодействовать с пользователями.

В современном мире веб-разработки настоятельно рекомендуется узнать о разработке на стороне сервера.

Веб-браузеры взаимодействуют с веб-серверами при помощи гипертекстового транспортного протокола (HTTP). Когда вы нажимаете на ссылку на веб-странице, заполняете форму или запускаете поиск,  HTTP-запрос  отправляется из вашего браузера на целевой сервер.

Запрос включает в себя URL, определяющий затронутый ресурс, метод, определяющий требуемое действие (например, получить, удалить или опубликовать ресурс) и может включать дополнительную информацию, закодированную в параметрах URL (пары поле-значение, оправленные как строка запроса), как POST запрос (данные, отправленные методом HTTP POST) или в куки-файлах.

Веб-серверы ожидают сообщений с клиентскими запросами, обрабатывают их по прибытию и отвечают веб-браузеру при помощи ответного HTTP сообщения (HTTP-ответ). Ответ содержит строку состояния, показывающую, был ли запрос успешным или нет (например, «HTTP/1.1 200 OK» в случае успеха).

Тело успешного ответа на запрос может содержать запрашиваемые данные (например, новую HTML-страницу или изображение, и т. п.), который может отображаться через веб-браузер.

Статические сайты

Схема ниже показывает базовую архитектуру веб-сервера для статического сайта (статический сайт — это тот, который возвращает одно и то же жёстко закодированное содержимое с сервера всякий раз, когда запрашивается конкретный ресурс). Когда пользователь хочет перейти на страницу, браузер отправляет HTTP-запрос «GET» с указанием его URL. 

Сервер извлекает запрошенный документ из своей файловой системы и возвращает HTTP-ответ, содержащий документ и успешный статус (обычно 200 OK). Если файл не может быть извлечён по каким-либо причинам, возвращается статус ошибки (смотри ошибки клиента и ошибки сервера).

Динамические сайты

Динамический веб-сайт — это тот, где часть содержимого ответа генерируется динамически только при необходимости. На динамическом веб-сайте HTML-страницы обычно создаются путём вставки данных из базы данных в заполнители в HTML-шаблонах (это гораздо более эффективный способ хранения большого количества контента, чем использование статических сайтов).

Динамический сайт может возвращать разные данные для URL-адреса на основе информации, предоставленной пользователем или сохранёнными настройками, и может выполнять другие операции, как часть возврата ответа (например, отправку уведомлений).

Большая часть кода для поддержки динамического веб-сайта должна выполняться на сервере. Создание этого кода известно, как «программирование серверной части» (или иногда «программирование бэкенда»).

Схема ниже показывает простую архитектуру динамического сайта. Как и на предыдущей схеме, браузеры отправляют HTTP-запросы на сервер, затем сервер обрабатывает запросы и возвращает соответствующие HTTP-ответы.

Запросы статических ресурсов обрабатываются так же, как и для статических сайтов (статические ресурсы — это любые файлы, которые не меняются, обычно это: CSS, JavaScript, изображения, предварительно созданные PDF-файлы и прочее).

Запросы динамических данных отправляются (2) в код серверной части (показано на диаграмме как Веб-приложение). Для «динамических запросов» сервер интерпретирует запрос, читает необходимую информацию из базы данных (3), комбинирует извлечённые данные с шаблонами HTML и возвращает ответ, содержащий сгенерированный HTML (5, 6).

Теперь обратим внимание на код, задействованный в серверной части и клиентской части. В каждом случае код существенно различается:

  • Они имеют различные цели и назначение.
  • Как правило, они не используют одни и те же языки программирования (исключение составляет JavaScript, который можно использовать на стороне сервера и клиента).
  • Они выполняются в разных средах операционной системы.

Код, который выполняется в браузере, известный как код клиентской части, прежде всего связан с улучшением внешнего вида и поведения отображаемой веб-страницы. Это включает в себя выбор и стилизацию компонентов пользовательского интерфейса, создание макетов, навигацию, проверку форм и т. д. Напротив, программирование веб-сайта на стороне сервера в основном включает выбор содержимого, которое возвращается браузеру в ответ на запросы. Код на стороне сервера обрабатывает такие задачи, как проверка отправленных данных и запросов, использование баз данных для хранения и извлечения данных и отправка правильных данных клиенту по мере необходимости.

Код клиентской части написан с использованием HTML, CSS и JavaScript — он запускается в веб-браузере и практически не имеет доступа к базовой операционной системе (включая ограниченный доступ к файловой системе).

Веб-разработчики не могут контролировать, какой браузер может использовать каждый пользователь для просмотра веб-сайта — браузеры обеспечивают противоречивые уровни совместимости с функциями кода на стороне клиента, и одной из задач программирования на стороне клиента является изящная обработка различий в поддержке браузера.

Код серверной части может быть написан на любом количестве языков программирования — примеры популярных языков серверной части включают в себя PHP, Python, Ruby, C# и NodeJS (JavaScript). Код серверной части имеет полный доступ к операционной системе сервера, и разработчик может выбрать какой язык программирования (и какую версию) он хотел бы использовать.

Разработчики обычно пишут свой код, используя веб-фреймворки. Веб-фреймворки — это наборы функций, объектов, правил и других конструкций кода, предназначенных для решения общих проблем, ускорения разработки и упрощения различных типов задач, стоящих в конкретной области.

И снова, поскольку и клиентская и серверная части используют фреймворки, области очень разные и, следовательно, фреймворки тоже разные. Фреймворки клиентской части упрощают вёрстку и представление данных, тогда как фреймворки серверной части обеспечивают много «обычной» функциональности веб-сервера, которую вы, возможно, в противном случае, должны были осуществлять самостоятельно (например, поддержка сессий, поддержка пользователей и аутентификация, простой доступ к базе данных, шаблонам библиотек и т. д.).

На заметку: Фреймворки клиентской части часто используются для ускорения написания кода клиентской части, но вы также можете решить писать весь код руками; на самом деле, написание кода руками может быть более быстрым и эффективным, если вам нужен небольшой простой веб-сайт UI.

И, наоборот, вы практически никогда не посмотрите в сторону написания кода серверной части веб-приложения без фреймворка: осуществление жизненно важной функции, такой как HTTP сервер действительно сложно сделать с нуля, скажем, на Python, но веб-фреймворки для Python, такие как Django, обеспечивают это из коробки наряду с другими полезными инструментами.

Что можно сделать в серверной части?

Программирование серверной части очень полезно поскольку позволяет эффективно доставлять информацию, составленную для индивидуальных пользователей и, таким образом, создавать намного лучший опыт использования.

Компании, такие как Amazon, используют программирование серверной части для построения исследовательских результатов для товаров, формирования целевого предложения, основанного на предпочтениях клиента и предыдущих покупках, упрощения заказов и т. д. Банки используют программирование серверной части, чтобы хранить учётную информацию и позволять только авторизованным пользователям просматривать и совершать транзакции. Другие сервисы, такие как Facebook, Twitter, Instagram и Wikipedia используют бэкенд, чтобы выделять, распространять и контролировать доступ к интересному контенту.

Некоторые типичные применения и выгоды бэкенда перечислены ниже. Вы заметите, что есть некоторое пересечение!

Эффективное хранение и доставка информации

Представьте, сколько товаров доступно на Amazon, и представьте, сколько постов было написано на Facebook? Создание статической страницы для каждого товара или поста было бы абсолютно неэффективным.

Программирование серверной части позволяет вместо этого хранить информацию в базе данных и динамически создавать и возвращать HTML и другие типы файлов (например, PDF, изображения, и т. д.). Также есть возможность просто вернуть данные (JSON, XML, и т. д.) для отображения, используя подходящий фреймворк клиентской части (это уменьшает загрузку процессора на сервере и количество передаваемых данных).

Сервер не ограничен в отправке информации из баз данных и может вместо этого возвращать результат инструментов программного обеспечения или данные из сервисов коммуникации. Контент даже может быть целевым относительно устройства клиента, который его получает.

Из-за того, что информация находится в базе данных, её также можно легко передать и обновить через другие бизнес системы (например, отслеживание).

На заметку: вам не нужно сильно напрягать своё воображение, чтобы увидеть достоинства кода серверной части для эффективного хранения и передачи информации:

  1. Зайдите на Amazon или в другой интернет-магазин.
  2. Введите в поиск несколько ключевых слов и заметьте, как структура страницы не изменилась, тогда как результаты изменились.
  3. Откройте два или три разных товара. Заметьте, что они имеют схожую структуру и внешний вид, но содержимое для разных товаров было вставлено из базы данных.

Для обычного поиска (например, «рыба») вы можете увидеть буквально миллионы найденных значений. Использование базы данных позволяет им храниться и передаваться эффективно, и это позволяет контролировать представление информации всего в одном месте.

Настраиваемый пользовательский опыт взаимодействия

Серверы могут хранить и использовать информацию о клиентах чтобы поставлять удобный и сделанный индивидуально пользовательский опыт взаимодействия. Например, многие сайты хранят данные кредитных карт, чтобы не нужно было вводить их повторно. Сайты, наподобие Google Maps, могут использовать сохранённое и текущее местоположение для предоставления информации о маршруте, а также историю поиска или путешествий для выделения местных предприятий в результатах поиска.

Более глубокий анализ привычек пользователя может быть использован для прогнозирования их интересов и дальнейших настроек ответов и уведомлений, например, предоставление списка ранее посещённых популярных мест, которые вы, возможно, захотите найти на карте.

На заметку: Google Maps сохраняет вашу историю поиска и посещений. Часто посещаемые или часто вводимые в поиск локации выделяются больше, чем остальные.

Результаты поиска Google оптимизируются на основе предыдущего поиска.

  1.  Перейдите в поиск Google.
  2.  Произведите поиск по слову «футбол».
  3.  Теперь попробуйте ввести «любимое» в поисковой строке и понаблюдайте, как работают подсказки автозаполнения поиска.

Стечение обстоятельств? Нет!

Контролируемый доступ к контенту

Программирование серверной части позволяет сайтам ограничивать доступ авторизованным пользователям и предоставлять только ту информацию, которую пользователю разрешено видеть.

Реальные примеры:

  • Социальные сети, такие как Facebook, позволяют пользователям полностью контролировать свои данные, но только своим друзьям разрешать просматривать или комментировать их. Пользователь определяет, кто может просматривать его данные и, более того, чьи данные появляются на его стене. Авторизация — центральная часть опыта взаимодействия.
  • Сайт, на котором вы находитесь прямо сейчас, контролирует доступ к контенту: статьи видны всем, но только авторизованные пользователи могут редактировать контент. Чтобы проверить это, нажмите на кнопку «Редактировать» в верхней части страницы, и, если вы авторизованы, вы увидите редакторский интерфейс, а если нет — вас перенаправит на страницу авторизации.

На заметку: Рассмотрим другие реальные примеры, где доступ к контенту контролируется. Например, что вы можете увидеть, если зайдёте на сайт вашего банка? Авторизуйтесь через вашу учётную запись, и какую дополнительную информацию вы можете просматривать и редактировать? Что за информацию вы можете увидеть, которую может редактировать только банк?

Хранение информации о сессии/состоянии

Программирование серверной части позволяет разработчикам использовать сессии – изначально это механизм, позволяющий серверу хранить информацию о текущем пользователе сайта и отправлять разные ответы, основанные на этой информации.

Это позволяет, например, сайту знать, что пользователь был предварительно авторизован и выводить ссылки на его адрес электронной почты или историю заказов или, возможно, сохранить прогресс простой игры, так чтобы пользователь мог вернуться на сайт продолжить с того места, где он закончил.

На заметку: Посетите новостной сайт, у которого есть подписка и откройте ветку тегов (например, The Age). Продолжайте посещать сайт в течение нескольких часов/дней. В итоге вас начнёт перенаправлять на страницы, объясняющие, как оформить платную подписку, а сами статьи станут вам недоступны. Эта информация является примером сессии, сохранённой в куки-файлах.

Уведомления и средства связи

Серверы могут отправлять общие или пользовательские уведомления непосредственно через сайт или по электронной почте, через смс, мгновенные сообщения, видеосвязь или другие средства связи.

Вот несколько примеров:

  • Facebook или Twitter отправляет уведомления по электронной почте и смс-сообщения, чтобы уведомить вас о новых разговорах.
  • Amazon регулярно отправляет письма на электронную почту, предлагающие товары, похожие на те, которые уже были куплены или просматривались вами, которые могут вас заинтересовать.
  • Веб-сервер может посылать сообщения администратору сайта, предупреждая его о том, что на сервере заканчивается память или о подозрительной активности пользователя.

На заметку: Самый распространённый вид уведомлений – это «подтверждение регистрации». Возьмите почти любой интересующий вас крупный сайт (Google, Amazon, Instagram и т. п.) и создайте новую учётную запись, используя ваш адрес электронной почты. Вскоре вы получите письмо, подтверждающее факт вашей регистрации или содержащее информацию о необходимости активировать вашу учётную запись.

Анализ данных

Веб-сайт может собирать много данных о своих пользователях: что они ищут, что они покупают, что они рекомендуют, как долго они остаются на каждой странице. Программирование серверной части может быть использовано, чтобы усовершенствовать ответы, основанные на анализе этих данных.

Например, и Amazon, и Google рекламируют товары на основании предыдущих поисков (и покупок).

На заметку: Если вы пользуетесь Facebook, зайдите на вашу стену и посмотрите на ряд постов. Заметьте, что некоторые посты не идут по порядку: в частности, посты с большим количеством «лайков» часто находятся выше по списку, чем остальные. Также взгляните на рекламу, которую вам показывают, вы вероятно увидите рекламу товаров, которые искали на других сайтах. Алгоритм Facebook для выделения контента и рекламы может казаться мистикой, но очевидно, что он зависит от ваших лайков и запросов поиска!

Поздравляем, вы дошли до конца первой статьи о программировании серверной части.

Теперь вы узнали, что код серверной части выполняется на веб-сервере и его основная роль состоит в контролировании отправляемой пользователю информации (тогда как код клиентской части в основном определяет структуру и способ преподнесения информации пользователю). Вы должны также понимать, что это полезно, так как позволяет создавать веб-сайты, которые эффективно доставляют информацию, собранную для конкретных пользователей и иметь чёткое представление о некоторых вещах, которые вы сможете делать, когда станете разработчиком бэкенда.

Наконец, вы должны понимать, что код серверной части может быть написан на разных языках программирования, и что вам следует использовать веб-фреймворк для упрощения процесса написания кода.

В следующей статье мы поможем вам выбрать лучший фреймворк для вашего первого сайта; затем мы изучим несколько основных взаимодействий с клиентской частью более подробно.

Еще раз про IP-адреса, маски подсетей и вообще / Хабр

Чуточку ликбеза. Навеяно предшествующими копипастами разной чепухи на данную тему. Уж простите, носинг персонал.

IP-адрес (v4) состоит из 32-бит. Любой уважающий себя админ, да и вообще айтишник (про сетевых инженеров молчу) должен уметь, будучи разбуженным среди ночи или находясь в состоянии сильного алкогольного опьянения, правильно отвечать на вопрос «из скольки бит состоит IP-адрес». Желательно вообще-то и про IPv6 тоже: 128 бит.

Обстоятельство первое. Всего теоретически IPv4-адресов может быть:
232 = 210*210*210*22 = 1024*1024*1024*4 ≈ 1000*1000*1000*4 = 4 млрд.
Ниже мы увидим, что довольно много из них «съедается» под всякую фигню.

Записывают IPv4-адрес, думаю, все знают, как. Четыре октета (то же, что байта, но если вы хотите блеснуть, то говорите «октет» — сразу сойдете за своего) в десятичном представлении без начальных нулей, разделенные точками: «192.168.11.10».

В заголовке IP-пакета есть поля source IP и destination IP: адреса источника (кто посылает) и назначения (кому). Как на почтовом конверте. Внутри пакетов у IP-адресов нет никаких масок. Разделителей между октетами тоже нет. Просто 32-бита на адрес назначения и еще 32 на адрес источника.

Однако, когда IP-адрес присваивается интерфейсу (сетевому адаптеру или как там его еще называют) компьютера или маршрутизатора, то кроме самого адреса данного устройства ему назначают еще и маску подсети. Еще раз: маска не передается в заголовках IP-пакетов.

Компьютерам маска подсети нужна для определения границ — ни за что не угадаете чего — подсети. Чтоб каждый мог определить, кто находится с ним в одной [под]сети, а кто — за ее пределами. (Вообще-то можно говорить просто «сети», часто этот термин используют именно в значении «IP-подсеть».) Дело в том, что внутри одной сети компьютеры обмениваются пакетами «напрямую», а когда нужно послать пакет в другую сеть — шлют их шлюзу по умолчанию (третий настраиваемый в сетевых свойствах параметр, если вы помните). Разберемся, как это происходит.

Маска подсети — это тоже 32-бита. Но в отличии от IP-адреса, нули и единицы в ней не могут чередоваться. Всегда сначала идет сколько-то единиц, потом сколько-то нулей. Не может быть маски

120.22.123.12=01111000.00010110.01111011.00001100.

Но может быть маска

255.255.248.0=11111111.11111111.11111000.00000000.

Сначала N единиц, потом 32-N нулей. Несложно догадаться, что такая форма записи является избыточной. Вполне достаточно числа N, называемого длиной маски. Так и делают: пишут 192.168.11.10/21 вместо 192.168.11.10 255.255.248.0. Обе формы несут один и тот же смысл, но первая заметно удобнее.

Чтобы определить границы подсети, компьютер делает побитовое умножение (логическое И) между IP-адресом и маской, получая на выходе адрес с обнуленными битами в позициях нулей маски. Рассмотрим пример 192.168.11.10/21:

11000000.10101000.00001011.00001010
11111111.11111111.11111000.00000000
----------------------------------------------
11000000.10101000.00001000.00000000 = 192.168.8.0

Обстоятельство второе. Любой уважающий себя администратор обязан уметь переводить IP-адреса из десятичной формы в двоичную и обратно в уме или на бумажке, а также хорошо владеть двоичной арифметикой.

Адрес 192.168.8.0, со всеми обнуленными битами на позициях, соответствующих нулям в маске, называется адресом подсети. Его (обычно) нельзя использовать в качестве адреса для интерфейса того или иного хоста. Если же эти биты наоборот, установить в единицы, то получится адрес 192.168.15.255. Этот адрес называется направленным бродкастом (широковещательным) для данной сети. Смысл его по нынешним временам весьма невелик: когда-то было поверье, что все хосты в подсети должны на него откликаться, но это было давно и неправда. Тем не менее этот адрес также нельзя (обычно) использовать в качестве адреса хоста. Итого два адреса в каждой подсети — на помойку. Все остальные адреса в диапазоне от 192.168.8.1 до 192.168.15.254 включительно являются полноправными адресами хостов внутри подсети 192.168.8.0/21, их можно использовать для назначения на компьютерах.

Таким образом, та часть адреса, которой соответствуют единицы в маске, является адресом (идентификатором) подсети. Ее еще часто называют словом префикс. А часть, которой соответствуют нули в маске, — идентификатором хоста внутри подсети. Адрес подсети в виде 192.168.8.0/21 или 192.168.8.0 255.255.248.0 можно встретить довольно часто. Именно префиксами оперируют маршрутизаторы, прокладывая маршруты передачи трафика по сети. Про местонахождение хостов внутри подсетей знает только шлюз по умолчанию данной подсети (посредством той или иной технологии канального уровня), но не транзитные маршрутизаторы. А вот адрес хоста в отрыве от подсети не употребляется совсем.

Обстоятельство третье. Количество хостов в подсети определяется как 232-N-2, где N — длина маски. Чем длиннее маска, тем меньше в ней хостов.

Из данного обстоятельства в частности следует, что максимальной длиной маски для подсети с хостами является N=30. Именно сети /30 чаще всего используются для адресации на point-to-point-линках между маршрутизаторами.

И хотя большинство современных маршрутизаторов отлично работают и с масками /31, используя адрес подсети (нуль в однобитовой хоствой части) и бродкаст (единица) в качестве адресов интерфейсов, администраторы и сетевые инженеры часто попросту боятся такого подхода, предпочитая руководствоваться принципом «мало ли что».

А вот маска /32 используется достаточно часто. Во-первых, для всяких служебных надобностей при адресации т. н. loopback-интерфейсов, во-вторых, от криворукости: /32 — это подсеть, состоящая из одного хоста, то есть никакая и не сеть, в сущности. Чем чаще администратор сети оперирует не с группами хостов, а с индивидуальными машинами, тем менее сеть масштабируема, тем больше в ней соплей, бардака и никому непонятных правил. Исключением, пожалуй, является написание файрвольных правил для серверов, где специфичность — хорошее дело. А вот с пользователями лучше обращаться не индивидуально, а скопом, целыми подсетями, иначе сеть быстро станет неуправляемой.

Интерфейс, на котором настроен IP-адрес, иногда называют IP-интерфейсом или L3-интерфейсом («эл-три», см. Модель OSI).

Прежде чем посылать IP-пакет, компьютер определяет, попадает ли адрес назначения в «свою» подсеть. Если попадает, то шлет пакет «напрямую», если же нет — отсылает его шлюзу по умолчанию (маршрутизатору). Как правило, хотя это вовсе необязательно, шлюзу по умолчанию назначают первый адрес хоста в подсети: в нашем случае 192.168.8.1 — для красоты.

Обстоятельство четвертое. Из сказанного в частности следует, что маршрутизатор (шлюз и маршрутизатор — это одно и то же) с адресом интерфейса 192.168.8.1 ничего не знает о трафике, передаваемом между, например, хостами 192.168.8.5 и 192.168.8.7. Очень частой ошибкой начинающих администраторов является желание заблокировать или как-то еще контролировать с помощью шлюза трафик между хостами в рамках одной подсети. Чтобы трафик проходил через маршрутизатор, адресат и отправитель должны находиться в разных подсетях.

Таким образом в сети (даже самого маленького предприятия) обычно должно быть несколько IP-подсетей (2+) и маршрутизатор (точнее файрвол, но в данном контексте можно считать эти слова синонимами), маршрутизирующий и контролирующий трафик между подсетями.

Следующий шаг — разбиение подсетей на более мелкие подсети. Полюбившуюся нам сеть 192.168.8.0/21 можно разбить на 2 подсети /22, четыре подсети /23, восемь /24 и т. д. Общее правило, как не сложно догадаться, такое: K=2X-Y, где K — количество подсетей с длиной маски Y, умещающихся в подсеть с длиной маски X.

Обстоятельство пятое. Как и любому приличному IT-шнику, администратору сети, если только он получает зарплату не за красивые глаза, положено знать наизусть степени двойки от 0 до 16.

Процесс объединения мелких префиксов (с длинной маской, в которых мало хостов) в крупные (с короткой маской, в которых много хостов) называется агрегацией или суммаризацией (вот не суммированием!). Это очень важный процесс, позволяющий минимизировать количество информации, необходимой маршрутизатору для поиска пути передачи в сети. Так, скажем, провайдеры выдают клиентам тысячи маленьких блоков типа /29, но весь интернет даже не знает об их существовании. Вместо этого за каждым провайдером закрепляются крупные префиксы типа /19 и крупнее. Это позволяет на порядки сократить количество записей в глобальной таблице интернет-маршрутизации.

Обстоятельство шестое. Чем больше длина маски, тем меньше в подсети может быть хостов, и тем большую долю занимает «съедение» адресов на адреса подсети, направленного бродкаста и шлюза по умолчанию. В частности в подсети с маской /29 (232-29 = 8 комбинаций) останется всего 5 доступных для реального использования адресов (62,5%). Теперь представьте, что вы провайдер, выдающий корпоративным клиентам тысячи блоков /29. Таким образом, грамотное разбиение IP-пространства на подсети (составление адресного плана) — это целая маленькая наука, включающая поиск компромиссов между разными сложными факторами.

При наличии достаточно большого диапазона адресов, как правило из блоков для частного использования 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16, конечно, удобно использовать маски, совпадающие по длине с границами октетов: /8, /16, /24 или, соответственно, 255.0.0.0, 255.255.0.0 и 255.255.255.0. При их использовании можно облегчить работу мозгу и калькулятору, избавившись от необходимости работать с двоичной системой и битами. Это правильный подход, но не стоит забывать, что злоупотребление расслабухой редко доводит до добра.

И последнее. Пресловутые классы адресов. Дорогие товарищи, забудьте это слово вообще! Совсем. Вот уже скоро 20 лет (!), как нет никаких классов. Ровно с тех пор, как стало понятно, что длина префикса может быть любой, а если раздавать адреса блоками по /8, то никакого интернета не получится.

Иногда «матерые специалисты» любят блеснуть словами «сеть класса такого-то» по отношению к подсети с той или иной длиной маски. Скажем, часто можно услышать слово «сеть класса C» про что-нибудь вроде 10.1.2.0/24. Класс сети (когда он был) не имел никакого отношения к длине маски и определялся совсем другими факторами (комбинациями битов в адресе). В свою очередь классовая адресация обязывала иметь маски только предписанной для данного класса длины. Поэтому указанная подсеть 10.1.2.0/24 никогда не принадлежала и не будет принадлежать к классу C.

Но обо всем этом лучше и не вспоминать. Единственное, что нужно знать — что существуют разные глобальные конвенции, собранные под одной крышей в RFC3330, о специальных значениях тех или иных блоков адресов. Так, например, упомянутые блоки 10/8, 172.16/12 и 192.168/16 (да, можно и так записывать префиксы, полностью откидывая хостовую часть) определены как диапазоны для частного использования, запрещенные к маршрутизации в интернете. Каждый может использовать их в частных целях по своему усмотрению. Блок 224.0.0.0/4 зарезервирован для мультикаста и т. д. Но все это лишь конвенции, призванные облегчить административное взаимодействие. И хотя лично я крайне не рекомендую вам их нарушать (за исключением надежно изолированных лабораторных тестов), технически никто не запрещает использовать любые адреса для любых целей, покуда вы не стыкуетесь с внешним миром.

Политика конфиденциальности | Neu in Jena

Правила защиты данных при использовании и применении Matomo

Контроллер данных интегрировал компонент Matomo на этом сайте. Matomo — это программное обеспечение с открытым исходным кодом для веб-анализа. Веб-анализ — это сбор, сбор и оценка данных о поведении посетителей интернет-страниц. Среди прочего, инструмент веб-анализа собирает данные о том, с какой интернет-страницы заходил соответствующий человек (так называемый referrer), к каким подстраницам интернет-страницы осуществлялся доступ или как часто и в течение какого времени просматривалась та или иная подстраница. Веб-анализ в основном используется для оптимизации сайта и для анализа экономической эффективности интернет-рекламы.

Программное обеспечение управляется на сервере лица, ответственного за обработку, лог-файлы, которые являются конфиденциальными в соответствии с законом о защите данных, хранятся исключительно на этом сервере.
Целью компонента Matomo является анализ потока посетителей на этом сайте. Полученные данные и информация используются контролером данных для оценки использования данного сайта, в частности, для составления онлайн-отчетов, показывающих деятельность на муниципальных сайтах.

Это помогает постоянно улучшать веб-сайт и его удобство в использовании. К этим целям относится также законный интерес к обработке данных в соответствии со ст. 6 п. 1 букв. f ДСГВО. Сделав IP-адрес анонимным, в достаточной степени учитывается заинтересованность пользователей в защите их персональных данных.

Matomo устанавливает cookie-файл на информационно-техническую систему соответствующего лица. Что такое куки-файлы, уже было объяснено выше. Установив куки-файл, город Йена получает возможность анализировать использование веб-сайта города. При каждом вызове одной из отдельных страниц этого сайта интернет-браузер в информационно-технологической системе заинтересованного лица автоматически индуцируется компонентом Matomo для передачи данных на наш сервер с целью онлайн-анализа. В ходе этого технического процесса мы получаем знания о личных данных, таких как IP-адрес заинтересованного лица, который служит нам, среди прочего, для отслеживания происхождения посетителей и кликов.

С помощью куки-файла сохраняется личная информация, такая как время доступа, место, с которого был осуществлен доступ, а также частота посещений нашего сайта. При каждом посещении нашего сайта эти персональные данные, включая IP-адрес Интернет-соединения, используемого заинтересованным лицом, передаются на наш сервер. Эти личные данные хранятся у нас. Эти персональные данные не передаются третьим лицам.

Программа настроена таким образом, что IP-адреса хранятся не полностью, а 2 байта IP-адреса маскируются (например: 192.168.xxx.xxx). Таким образом, уже невозможно назначить вызывающему компьютеру сокращенный IP-адрес.
Заинтересованное лицо может в любое время запретить установку куки-файлов на веб-сайте муниципалитета, как уже было описано выше, с помощью соответствующей настройки в используемом интернет-браузере и, таким образом, постоянно возражать против установки куки-файлов. Такая настройка используемого интернет-браузера также не позволит компании Matomo установить файл cookie в информационно-технологической системе соответствующего лица. Кроме того, уже установленный Matomo куки-файл может быть в любое время удален через интернет-браузер или другое программное обеспечение.

Кроме того, заинтересованное лицо имеет возможность возразить против сбора данных, генерируемых компанией Matomo и связанных с использованием данного сайта, а также воспрепятствовать такому сбору. Для этого заинтересованное лицо должно установить cookie-файл «отказ от участия». Если информационно-техническая система соответствующего лица будет удалена, отформатирована или переустановлена позднее, соответствующее лицо должно вновь установить cookie-файл «отказ от участия».

Тем не менее, при настройке файла «opt-out cookie» существует вероятность того, что субъект данных больше не сможет в полной мере использовать Интернет-страницы контроллера данных.

Дополнительную информацию и действующие правила защиты данных компании Matomo можно найти здесь.

Что они могут рассказать о вас

Гэри Николс через Вооруженных сил США Номенклатура сети обширна.Но даже несмотря на то, что слова становятся обычным явлением, люди часто не понимают, что они на самом деле означают.

Но они должны.

Например, IP-адрес является неотъемлемой частью работы в сети, но мало кто знает, что это такое. И, что еще хуже, многие не знают, какую информацию могут раскрыть IP-адреса.

Что такое IP-адрес?

По своей сути IP-адрес — это уникальный сетевой идентификатор.У каждого компьютера есть собственный IP-адрес, и именно через эту систему именования компьютеры могут подключаться друг к другу и обмениваться данными.

Стандартный IP-адрес (с использованием так называемого протокола IPv4) содержит четыре отдельных числа, разделенных десятичной дробью.

Хотя каждому компьютеру дается собственный IP-адрес, внешний мир редко имеет к нему доступ. Маршрутизаторы, вместо этого, подключаются к отдельным компьютерам, и именно маршрутизаторы затем подключаются к остальной части Интернета, используя свой собственный индивидуальный IP-адрес.Думайте о маршрутизаторах как о мосте между сетью внутри вашего дома (или офиса, библиотеки, кафе и т. Д.) И сетью внешнего мира (то есть Интернетом).

Когда вы отправляете электронное письмо или посещаете веб-сайт, общий IP-адрес — это IP-адрес вашего локального маршрутизатора, предоставленный вашим интернет-провайдером (ISP), а не индивидуальный адрес, назначенный вашему компьютеру. Тем не менее, знает ли кто-то адрес вашего компьютера или вашей сети, эти числа могут немного рассказать о том, кто вы и какие сайты вы просматриваете.

Какая личная информация передается с IP-адреса?

Геолокация — это наиболее личная информация, которую можно передать в самом IP-адресе. Но хорошая новость заключается в том, что, поскольку вы подключены к сети и используется общий IP-адрес сети, ваше точное местоположение не передается.

Например, вы можете отправить электронное письмо из своего дома, и кто-то может узнать город, из которого оно было отправлено, но маловероятно, что он сможет получить доступ к какой-либо другой детальной информации о вас.

Вместо этого они, вероятно, увидят информацию о вашем интернет-провайдере. Хотя это может дать данные о геолокации об общей области вашего маршрутизатора, он не даст адреса улицы.

Но есть загвоздка …

В одиночку IP-адрес не может рассказать о вас больше, чем общее местоположение, где вы могли бы быть в определенное время.

Проблема в том, что в некоторых случаях наблюдатели могут посмотреть на онлайн-активность, связанную с определенным IP-адресом. Затем они могут собрать много информации о людях или даже об одном человеке, которые выходят в Интернет с этого адреса.

Канадский комиссар по вопросам конфиденциальности (OPC) решил выяснить, какую информацию он может собирать, используя IP-адрес своей собственной сети. Оттуда исследователи использовали поисковую систему, чтобы найти подробную информацию о людях, которые использовали Интернет через эту сеть.

Вот некоторые сайты и сервисы, которые посещали люди, использующие IP-адрес OPC:

  • Юридические консультации по вопросам страхования и судебного разбирательства по делу о травмах
  • Определенная религиозная группа
  • Фитнес
  • Обмен фотографиями в Интернете
  • История изменений статьи в Википедии

OPC также провел второй эксперимент, в ходе которого он проверил IP-адрес человека, который редактировал запись в Википедии (эти IP-адреса являются общедоступными), а затем ввел этот IP-адрес в поисковую систему.Он получил обратно всевозможную информацию, такую ​​как все другие записи, которые человек редактировал, и тот факт, что человек посетил онлайн-доску сообщений, связанную с сексуальными предпочтениями.

В отчете поясняется, что, используя эту тактику, было нетрудно получить «представление о том, какие портреты власти могут нарисовать людей без предварительного судебного разрешения».

Другими словами, работодатель может многое узнать о людях, которые пользуются Интернетом на работе.Или, теоретически, ваш интернет-провайдер может многое узнать о действиях своих подписчиков. Или рекламная сеть в Интернете может связать определенный IP-адрес с активными действиями в Интернете с течением времени и использовать его для таргетинга рекламы.

Каков наихудший сценарий?

С помощью властей можно узнать больше, чем просто слухи.Например, OPC приводит случай в США, когда власти, зная только IP-адрес, связались с интернет-провайдером и смогли установить личность человека, отправившего оскорбительные электронные письма.

Они сделали это, получив точные адреса электронной почты, отправленные от провайдера. Многие из этих мест были гостиницами, и ФБР смогло найти одно общее название во всех списках гостей отелей. Затем ФБР получило ордер на расследование электронной почты этого человека.

Это требует определенного набора ноу-хау. Хотя относительно легко узнать айпи адрес (вы можете найти свой собственный, зайдя на такие сайты, как IP Chicken), чтобы найти на нем реальную действенную информацию, потребуется немного тонкости.

Но как только у вас появится это изящество и немного воображения, могут быть обнаружены некоторые жуткие детали.

Частный vs.Общедоступные IP-адреса | Разъяснение различий

Что такое публичный IP-адрес?

Общедоступный IP-адрес — это IP-адрес, к которому можно получить доступ непосредственно через Интернет, и который назначается вашему сетевому маршрутизатору вашим поставщиком услуг Интернета (ISP). Ваше личное устройство также имеет частный IP-адрес , который остается скрытым при подключении к Интернету через общедоступный IP-адрес маршрутизатора.

Использование общедоступного IP-адреса для подключения к Интернету похоже на использование P.О. ящик для вашей обычной почты, вместо того, чтобы давать свой домашний адрес. Это немного безопаснее, но намного заметнее.

Чем общедоступный IP-адрес отличается от внешнего IP-адреса?

Термины публичный IP-адрес и внешний IP-адрес по существу взаимозаменяемы. Независимо от того, какую формулировку вы предпочитаете, функция остается той же: публичный (или внешний) IP-адрес помогает вам подключаться к Интернету изнутри вашей сети, а — за ее пределами.

Прослеживаются ли общедоступные IP-адреса?

Да. Общедоступные IP-адреса можно отследить до вашего интернет-провайдера, что потенциально может раскрыть ваше общее географическое положение. Когда рекламодатели, правительства или хакеры знают, откуда вы подключаетесь, им легче следить за тем, что вы делаете в Интернете.

Веб-сайты

также используют отслеживание IP-адресов для анализа моделей поведения в Интернете, что упрощает определение того, посещает ли сайт повторно одно и то же лицо. Затем веб-сайты могут использовать эти шаблоны для прогнозирования ваших предпочтений.

Чтобы работать в Интернете более анонимно, вы можете скрыть свой IP-адрес, подключившись через протокол безопасности: прокси-сервер, VPN или браузер Tor. Вы также можете попытать счастья с частными браузерами, но большинство из них не позволяют скрыть ваш IP-адрес.

В наши дни самый быстрый способ убедиться, что ваш IP-адрес надежно скрыт в сети, — это подключиться к VPN. Avast SecureLine VPN автоматически зашифрует ваше соединение, сохраняя конфиденциальность вашего веб-серфинга, безопасность онлайн-банкинга и ваши предпочтения при себе.

Что такое частный IP-адрес?

Частный IP-адрес — это адрес, который сетевой маршрутизатор назначает вашему устройству. Каждому устройству в одной сети назначается уникальный частный IP-адрес (иногда называемый адресом частной сети) — именно так устройства в одной внутренней сети общаются друг с другом.

Частные IP-адреса позволяют устройствам, подключенным к одной сети, обмениваться данными друг с другом без подключения ко всему Интернету.Делая более сложным для внешнего хоста или пользователя установление соединения, частные IP-адреса помогают повысить безопасность в конкретной сети , например, в вашем доме или офисе. Вот почему вы можете распечатать документы через беспроводное соединение с вашим принтером дома, но ваш сосед не может случайно отправить свои файлы на ваш принтер.

Локальные IP-адреса также определяют то, как ваш маршрутизатор направляет интернет-трафик изнутри — другими словами, как ваш маршрутизатор возвращает результаты поиска на ваш компьютер , а не другое устройство, подключенное к вашей сети (например, ваш телефон или телефон вашего партнера).

Частные, локальные и внутренние IP-адреса

Подобно тому, как общедоступный IP-адрес и внешний IP-адрес являются взаимозаменяемыми терминами, частный IP-адрес и внутренний IP-адрес также являются взаимозаменяемыми терминами. Частный IP-адрес также часто называют локальным IP-адресом — какой термин использовать — решать вам.

Отслеживаются ли частные IP-адреса?

Да, частные IP-адреса отслеживаются, но только другими устройствами в вашей локальной сети.Каждое устройство, подключенное к вашей локальной сети, имеет частный IP-адрес, и частный IP-адрес каждого устройства может быть виден только другим устройствам в этой сети. Но в отличие от общедоступного IP-адреса, который ваш маршрутизатор использует для подключения вашего устройства к Интернету, ваш частный IP-адрес не может быть виден в сети .

Ключевые различия между общедоступными и частными IP-адресами

Основное различие между общедоступными и частными IP-адресами заключается в том, насколько далеко они достигаются и к чему они подключены.Общедоступный IP-адрес идентифицирует вас в Интернете, чтобы вся информация, которую вы ищете, могла найти вас. Частный IP-адрес используется в частной сети для безопасного подключения к другим устройствам в той же сети.

Каждое устройство в одной сети имеет уникальный частный IP-адрес.

Диапазоны публичных и частных IP-адресов

Ваш частный IP-адрес существует в определенных диапазонах частных IP-адресов, зарезервированных Управлением по присвоению номеров в Интернете (IANA), и никогда не должен появляться в Интернете.По всему миру существуют миллионы частных сетей, каждая из которых включает устройства, которым назначены частные IP-адреса в следующих диапазонах:

  • Класс A: 10.0.0.0 — 10.255.255.255

  • Класс B: 172.16.0.0 — 172.31.255.255

  • Класс C: 192.168.0.0 — 192.168.255.255

Это может показаться не очень широким диапазоном, но на самом деле это не обязательно. Поскольку эти IP-адреса зарезервированы только для использования в частной сети, их можно повторно использовать в разных частных сетях по всему миру — без последствий или путаницы.

И не удивляйтесь, если у вас дома есть одно или два устройства с так называемым IP-адресом 192 или частным IP-адресом, начинающимся с 192.168 . Это наиболее распространенный формат частного IP-адреса по умолчанию, назначаемый сетевым маршрутизаторам по всему миру.

Неудивительно, что диапазон общедоступных IP-адресов охватывает все номера , а не , зарезервированные для диапазона частных IP-адресов. Поскольку общедоступный IP-адрес является уникальным идентификатором для каждого устройства, подключенного к Интернету, он должен быть именно таким: уникальным.

Обобщение различий между частными и общедоступными IP-адресами

Общедоступный IP-адрес

Частный IP-адрес

Внешний (глобальный) охват

Внутренний (местный) охват

Используется для связи вне вашей частной сети через Интернет

Используется для связи внутри вашей частной сети с другими устройствами в вашем доме или офисе

Уникальный числовой код, никогда не используемый другими устройствами

Неуникальный числовой код, который может повторно использоваться другими устройствами в других частных сетях

Найдено в Google: «Какой у меня IP-адрес?»

Найдено во внутренних настройках вашего устройства

Назначается и контролируется вашим интернет-провайдером

Назначено вашему конкретному устройству в частной сети

Платно

Бесплатно

Любое число, не включенное в диапазон зарезервированных частных IP-адресов

Пример: 8.8.8.8.

10.0.0.0 — 10.255.255.255;
172.16.0.0 — 172.31.255.255;
192.168.0.0 — 192.168.255.255

Пример: 10.11.12.13

Как я могу узнать, какой тип IP-адреса я использую?

Когда вы подключаетесь к Интернету, ваш частный IP-адрес заменяется публичным IP-адресом, назначенным вашим провайдером. Это защищает ваш частный IP-адрес и другие устройства в вашей сети, а также гарантирует, что вы все еще можете подключаться к Интернету.Оба типа IP-адресов важны для подключения вашего устройства к внешнему миру, но как их найти?

Самый простой способ узнать ваш общедоступный IP-адрес — это в Google: «Какой у меня IP-адрес?» В зависимости от вашего интернет-провайдера вы можете видеть в списке как IPv4, так и IPv6-адрес из-за все более широкого использования IPv6-адресов поверх IPv4. Вы можете найти свой частный IP-адрес в Windows или macOS с помощью нескольких быстрых щелчков мышью.

Когда вы узнаете о частных и общедоступных IP-адресах, помните, что они могут измениться.Например, если ваш интернет-провайдер назначает вам динамический IP-адрес, а не статический IP-адрес, в долгосрочной перспективе вы можете столкнуться с большим количеством отключений сети или проблем с подключением.

И если вам нужно использовать VPN для подключения к Интернету, ваш общедоступный IP-адрес будет меняться каждый раз при подключении — каждое новое соединение зашифровано, чтобы скрыть ваш IP-адрес и скрыть ваш IP-адрес от посторонних глаз.

VPN шифрует ваш общедоступный IP-адрес для большей безопасности и конфиденциальности в Интернете.

Держите свой IP-адрес в секрете с Avast SecureLine VPN

В конце концов, ваш публичный IP-адрес работает на вас по той же причине, по которой он может работать против вас: он полностью виден в Интернете.Лучший способ защитить ваш реальный IP-адрес — использовать VPN, которая направляет весь ваш онлайн-трафик через отдельный сервер вдали от вашего фактического местоположения.

Подключайтесь через VPN, чтобы скрыть свой IP-адрес, зашифровать соединение или даже обойти ограничения геолокации для доступа к любимому контенту в Интернете. Независимо от того, для чего вы его используете, вы можете быть уверены, что Avast SecureLine VPN замаскирует ваш реальный IP-адрес, сохраняя при этом все ваше соединение безопасным и быстрым.

Какой у меня адрес сервера?

HostGator стремится упростить перенос вашего сайта на новую учетную запись хостинга. Мы можем передать файлы веб-сайтов, базы данных, скрипты и один бесплатный перенос регистрации домена.

Что дает мне право на бесплатный перевод?

HostGator предоставляет бесплатные переводы для новых учетных записей в течение 30 дней после регистрации , а также для новых обновленных учетных записей. Для обновленных учетных записей это должно быть межсерверное обновление, чтобы соответствовать требованиям.Обратите внимание, что аккаунты с пониженной версией не имеют права на бесплатные переводы.

В зависимости от типа учетной записи, которую вы регистрируете, мы предлагаем разное количество бесплатных переводов. Пожалуйста, обратитесь к таблице ниже, чтобы узнать, что мы включаем в новые пакеты.

Полные передачи cPanel — это количество включенных передач cPanel в cPanel.

Макс. Ручные переводы — это максимальное количество ручных переводов, включенных в вашу учетную запись.

Всего бесплатных переводов — это общее количество веб-сайтов, которые мы переместим для вас.

? )
Тип счета Всего бесплатных переводов Полные переводы cPanel Макс. Ручные переводы
? Общий 1 1 2 1
? Торговый посредник 30 30 2 ? 1 Безлимитный 2 10 на уровень VPS
? Выделенный (базовый) Безлимитный 1 Безлимитный 2 75
Безлимитный 1 Безлимитный 2 100

1 Хотя мы можем делать неограниченные переводы cPanel на cPanel, в зависимости от вашей учетной записи, у вас будет ограниченное количество ручных переводов .

2 Полная передача cPanel включает все домены, дополнительные домены, поддомены и настройки cPanel. Это также будет включать вашу электронную почту и учетные записи электронной почты. Обратите внимание, что для этого требуется, чтобы генератор резервных копий cPanel вашего старого хоста был активен.

Несколько примеров: Учетная запись торгового посредника Aluminium включает до 30 бесплатных переводов. Из этих 30 у вас может быть 20 переводов cPanel на cPanel и 10 переводов вручную, или любая комбинация этих двух, что в сумме составляет 30 или меньше веб-сайтов.Другой пример: выделенный сервер Pro включает неограниченное количество передач cPanel на cPanel, это означает, что вы можете перенести 150 сайтов (или даже больше). Кроме того, поскольку общее количество переводов не ограничено, вы можете использовать до 100 переводов вручную.

Для получения дополнительной информации, пожалуйста, ознакомьтесь с нашей статьей поддержки переводов, свяжитесь с нашим отделом переводов по адресу [email protected] или позвоните по телефону 866.96.GATOR

IP-адрес: ваш интернет-идентификатор

IP-адрес: ваш интернет-идентификатор

IP-адрес: ваша личность в Интернете

по

Расс Смит из Consumer.Сеть 29 марта 1997 г.

Аннотация

Интернет, иногда называемый сетью сетей, основан на одном простом принцип: передача информации с одного компьютера на другой. Для этого каждый компьютеру требуется удостоверение, которое называется «адресом Интернет-протокола» или «Айпи адрес.» Это похоже на номер телефона или почтовый адрес. IP адрес — это личная информация , которая автоматически фиксируется другой компьютер, если связь установлена ​​через Интернет.Это включает посещение веб-страниц, отправка или получение электронной почты, посещение групп новостей или использование чата комната. Часто IP-адрес пользователя автоматически отправляется третьей стороне при посещении веб-сайт с использованием баннерных рекламных сетей или, при определенных обстоятельствах, открытия электронной почты сообщение. Обычно это происходит до того, как появляется возможность ознакомиться с политикой конфиденциальности. Объем информации, доступной о пользователях с их IP-адресов, сильно различается. в зависимости от того, как они подключены к Интернету и другой информации, которая может быть доступный.Регистрация IP-адреса также важна для обеспечения безопасности системы для отслеживания. несанкционированное использование и взлом компьютеров. По мере увеличения количества фиксированных интернет-соединений все больше и больше больше пользователей можно отследить прямо по их IP-адресу. Чтобы увидеть демонстрацию IP для отслеживания адресов посетите http://consumer.net/analyze/.

IP-адреса и доменные имена

Компьютеры, подключенные к Интернету, должны говорить на «Интернет-языке», который называется «Интернет-протокол» или просто «IP».»Каждому компьютеру назначается уникальный адрес, чем-то похожий на уличный адрес или номер телефона. Под нынешним В системе есть четыре числа от 0 до 255 (пример: 206.156.18.122). Каждый компьютер, независимо от того, функционирует ли он как веб-сайт, используется веб-пользователем, является почтовым сервер и / или используется для любой другой функции, имеет IP-адрес, поэтому он может обмениваться данными через Интернет. Связь осуществляется путем отправки фрагментов информации, называемых «пакеты», включающие IP-адрес конечного компьютера.

До этого момента доменные имена еще не упоминались, потому что они не нужны чтобы интернет работал! Необязательная функция в Интернете — использовать домен имена. С помощью этой системы я могу посоветовать пользователям посетить www.consumer.net а не 206.156.18.122. Если в сети несколько компьютеров, их можно сгруппированы по домену, и для удобства им могут быть даны «понятные» имена, например: компьютер1.consumer.net, computer2.consumer.net и т. д. Это дает дополнительное удобство сохранение одинаковых имен компьютеров даже при изменении IP-адресов или при перемещении компьютеров в другое физическое место. Опять же, это именование не является обязательным и используется не всегда. В качестве примечания, базовые IP-адреса не имеют внутренней ценности, кроме необязательной доменные имена могут стоить тысячи долларов и были предметом многих судебных случаи.

Система доменных имен (часто называемая DNS) — это система, в которой IP-адреса преобразованы в имена.Когда www.consumer.net введенный пользователем в браузер (несколько скрытый) процесс преобразует это имя в 206.156.18.122. Это позволяет пользователю подключиться к нужному веб-сайту и обычно включает в себя услугу регистрации домена, которая финансируется за счет платы за доменное имя.

Как распределяются IP-адреса?

Каждая передача информации через Интернет должна включать захват IP-адреса. адрес.Некоторые примеры автоматической регистрации: посещение веб-сайта, отправка или получение электронная почта, использование чата или чтение и размещение сообщений в группах новостей. Обычная ситуация, когда вызывает передачу IP-адресов третьей стороне при посещении веб-сайтов и этот сайт участвует в баннерных рекламных сетях, где реклама обслуживается третьей стороной. сайт. Этот сторонний сайт получает IP-адрес при отправке объявления. Этот информация используется для измерения количества просмотров рекламы и расчета рейтинга кликов.

Передача IP-адресов третьей стороне также может быть выполнена путем отправки веб- страницу по электронной почте. Когда пользователь открывает вложение (если они подключены к Интернет) веб-страница, отправленная по электронной почте, может делать запрос на веб-сайт в любом месте Интернет (например, запрос файла изображения). Это переносит IP-адрес пользователя на этот веб-сайт вместе с датой и временем, когда пользователь открыл сообщение. Интернет-куки также могут быть размещены в системе пользователя в это время.Несколько рекламодателей уже привлекают в этой практике. Этот метод также можно использовать для защиты от анонимной электронной почты.

Как можно отследить пользователей по их IP-адресам?

После захвата IP-адреса можно использовать несколько методов для отслеживания пользователя. Эти инструменты можно найти на http://consumer.net/tracert.asp.

  • Определите, кому принадлежит сеть.IP-адреса распределяются по сети блоками провайдеры или частные компании. Путем поиска в базах данных регистрации IP можно определить, кому принадлежит блок IP-адресов. Базы данных доступны в Интернете для Америка, Европа и Азиатско-Тихоокеанский регион. Иногда сложные компьютерные взломы включить попытку стереть IP-адреса, записанные в файлах журнала, чтобы предотвратить это тип поиска.
  • Выполните «обратный поиск».»Это преобразует IP-адрес в имя компьютера. [Пример: преобразовать 206.156.18.122 в www.consumer.net]. Это используется, чтобы определить, является ли компьютер частью зарегистрированного Интернет-домена.
  • Проведите Traceroute. Когда информационные пакеты проходят через Интернет, они проходят через несколько компьютеров в иерархическом порядке. Обычно пакеты проходят от пользователя их интернет-провайдеру (ISP), пока он не достигнет «магистрали» пользователя провайдер.Затем он переходит к конечному «магистральному» провайдеру вниз к Интернет-провайдер целевого компьютера и, наконец, предполагаемый получатель. Часто таким образом можно определить приблизительное физическое местоположение IP-адреса. Также возможно определить интернет-провайдера компьютера и / или поставщика сети, даже если сам компьютер не является частью домена. Обычно это как нежелательная электронная почта или отслеживается «спам».
  • Просмотрите информацию о регистрации домена через базы данных «WHOIS».Домен регистрационная информация доступна через Интернет, выполнив WHOIS в домене. name часть имени компьютера [Пример: для www.consumer.net выполнить WHOIS CONSUMER.NET для получения регистрационной информации].
  • Найдите в Интернете IP-адрес и / или имя компьютера. Часто можно находите совпадения у пользователей, публикующих публичные сообщения на досках обсуждений или на веб-сайтах, оставлять свои файлы журналов открытыми для Интернета.Конечно, владельцы веб-сайтов и / или баннеров сети могут иметь дополнительную непубличную информацию, основанную на действиях в их сети места.

Обычно пользователи со стационарным подключением к Интернету (кабельные модемы, частные компании, и т. д.) имеют фиксированные IP-адреса. Интернет-провайдеры с коммутируемым доступом обычно предоставляют адреса динамически из пула, когда пользователь набирает номер для подключения (например, пул из 100 IP адресов на 800 абонентов).

Внутренние сетевые процедуры также влияют на объем информации, которую можно получить. с IP-адреса. Если прокси находится между пользователями и Интернетом, все пользователи похоже, исходят с одного компьютера. В этих случаях пользователи могут отследить только до прокси, если не известна дополнительная информация. Имена компьютеров иногда могут быть используется для сбора дополнительной информации. Имена компьютеров одного крупного провайдера обычно включают ближайший крупный город пользователя.Некоторые сети просто используют адрес электронной почты в имя компьютера [Пример: russ.consumer.net имеет адрес электронной почты [email protected]].

Неоднозначность идентификации пользователя по IP-адресу снижается за счет использования «Интернет-файлы cookie». Это текстовые файлы, которые дают пользователям уникальную идентификацию. Файлы cookie по сути стали бы ненужными, если бы у всех были фиксированные IP-адреса.

Последствия политики конфиденциальности

По состоянию на март 1998 г. подавляющее большинство политик конфиденциальности, как государственных, так и частных секторов, не могут должным образом объяснить сбор IP-адресов как сбор лично идентифицирующая информация .Такие сайты, как FTC.GOV и CONSUMER.GOV, содержат неверные информация по этому вопросу. Эти политики указывают, что только доменное имя захвачен. Некоторые коммерческие веб-сайты (например, VISA.COM) скопировали это неверное информации и сделали ее частью своей собственной политики. Другие шаблоны отраслевых политик конфиденциальности, например, предлагаемые Ассоциацией прямого маркетинга и информационной индустрией Ассоциация, не обращайте внимания на сбор IP-адресов.

Политика сайта также должна быть согласована с политиками третьих сторон, которые захватывать IP-адреса посетителей их сайтов (например, баннерных рекламных сетей).Иногда Политика баннерной рекламной сети более важна, поскольку она может отслеживать пользователей через несколько сайтов, а не активность на одном сайте.

1998 Расс Смит

Что такое IP-адрес?

( I nternet P rotocol address) Адрес подключенного устройства в сети TCP / IP, который является мировым стандартом как для внутреннего пользования, так и для Интернета. Каждому настольному и портативному компьютеру, серверу, сканеру, принтеру, модему, маршрутизатору, смартфону, планшету и смарт-телевизору назначается IP-адрес и каждому пакету (Интернет, электронная почта, видео и т. Д.)) прохождение IP-сети содержит исходный IP-адрес и IP-адрес назначения.

Общедоступные и частные адреса
Для дома и малого бизнеса вся локальная сеть (LAN) доступна в Интернет через один общедоступный IP-адрес. У крупных компаний может быть несколько публичных IP-адресов.

Напротив, устройства в локальной сети используют частные адреса, недоступные из внешнего мира, и маршрутизатор обеспечивает соблюдение этого стандарта. В каждой сети используются одни и те же диапазоны частных адресов, что означает, что каждый компьютер в компании имеет идентичный частный IP-адрес компьютера в тысячах других компаний.См. Частный IP-адрес и NAT.

Логический и физический
IP-адрес — это логический адрес, который назначается программным обеспечением маршрутизатора или сервера, и этот логический адрес может время от времени меняться. Например, портативному компьютеру, скорее всего, будет назначен новый IP-адрес при запуске в другой точке доступа (см. DHCP). Однако в каждую единицу оборудования встроен физический адрес, который нельзя изменить (см. MAC-адрес). Чтобы найти устройство в IP-сети, логический IP-адрес преобразуется в физический адрес с помощью протокола разрешения (см. ARP).

Статический и динамический IP-адрес
Устройствам сетевой инфраструктуры, таким как серверы, маршрутизаторы и брандмауэры, назначаются постоянные «статические» IP-адреса. Системе пользователя также может быть назначен неизменяемый статический IP-адрес администратором сети; однако обычно он настроен на автоматический прием адреса (см. DHCP). Интернет-провайдеры могут периодически менять IP-адреса в модемах своих домашних пользователей, но бизнес-пользователи должны иметь согласованные «статические» IP-адреса для серверов, которые обращаются к общественности.См. Динамический IP-адрес и статический IP-адрес.

Версии 4 и 6 (IPv4 и IPv6)
Исходная схема адресации IP Версии 4 определяла 32 бита для хранения IP-адреса, и она до сих пор широко используется. Однако впоследствии был создан больший адрес Версии 6, и оба они уже используются. Пройдет много времени, прежде чем новый IPv6 станет единственной используемой системой. См. Адресация IPv4.


Какой у меня IP-адрес?

Различные веб-сайты сообщают IP-адрес пользователя, просто перейдя на сайт.IP Chicken — одно из них.


Регистрация IP | Журналы | Оксфорд Академик

Обратите внимание, что IP-адреса / диапазоны ограничены географической областью адреса держателя подписки. Это означает, например, что учреждение, имеющее офисы как в Лондоне, так и в Гонконге, не может делиться подпиской через IP, если владельцем учетной записи является лондонский офис. Чтобы получить доступ, офису в Гонконге также потребуется собственная подписка.

Как институциональный подписчик вы можете настроить свой онлайн-доступ для аутентификации с использованием IP-адресов.Другими словами, у отдельных пользователей библиотеки нет необходимости иметь имена пользователей и пароли. Вводимые вами IP-адреса должны быть зарегистрированы в вашем учреждении, а не на прокси-сервере. Ваш специалист по вычислениям / ИТ-отдел должен предоставить вам IP-адреса компьютеров в вашем учреждении и подтвердить, используется ли прокси-сервер.

Что такое IP-адрес?

Что такое зарезервированный IP-адрес?

Что такое прокси-сервер?

Регистрация вашего IP-адреса

Использование подстановочных знаков для регистрации диапазона адресов

Как заблокировать IP-адреса

Что такое IP-адрес?

IP означает Интернет-протокол.Каждый компьютер в сети вашего учреждения будет иметь уникальный IP-адрес. IP-адреса представлены серией из четырех чисел (байтов), каждое из которых разделено точкой (точкой). Каждое число может быть любым от 0 до 255.

Что такое зарезервированный IP-адрес?

Управление по присвоению номеров Интернета (IANA) зарезервировало следующие три блока пространства IP-адресов, которые могут использоваться для создания «частных сетей», то есть сетей, которые являются строго локальными для организации и чей трафик не маршрутизируется через глобальный Интернет. .Любая сеть, использующая частные адреса, не должна быть напрямую подключена к Интернету, а должна быть связана с ней каким-либо устройством, способным преобразовывать адреса: такое устройство будет скрывать отдельные хосты в частной сети от Интернета. Хост не может отправить IP-пакет на частный адрес, если он не находится в той же частной сети, что и этот адрес. 10.0.0.0 — 10.255.255.255 172.16.0.0 — 172.31.255.255 192.168.0.0 — 192.168.255.255 Блок 127. *. *. * Зарезервирован для тестирования локальной программной обратной связи 127.0.0.0 — 127.255.255.255 Блок 224 — 239. *. *. * Зарезервирован для многоадресной рассылки IP 224.0.0.0 — 239.255.255.255 Блок 240 — 255. *. *. * Зарезервирован 240.0.0.0 — 255.255.255.255 Адреса из этих диапазонов не должны быть видны из глобальной сети Интернет. Вы не должны использовать адреса из этих диапазонов при вводе собственных данных.

Что такое прокси-сервер?

Некоторые учреждения получают доступ к Интернету через сервер, которого нет на их сайте. Эти серверы известны как «прокси-серверы».Если ваше учреждение использует прокси-сервер, вам необходимо обойти его, чтобы получить доступ к нашим онлайн-журналам. То же самое может применяться, если ваше учреждение использует брандмауэр. Есть некоторые исключения. Если прокси-сервер или брандмауэр настроен только для обслуживания вашего учреждения или отдела, вы можете получить доступ к онлайн-журналам, не обходя его. Ваш специалист по вычислениям / ИТ-отдел должен сообщить вам, использует ли ваше учреждение прокси-сервер / брандмауэр и, если да, то как его обойти.Если нет, обратитесь в службу поддержки OUP Journals ([email protected]).

Регистрация вашего IP-адреса

После добавления номера институционального абонента в свою учетную запись Oxford вы сможете получить доступ к настройкам институциональной учетной записи и добавить диапазон IP-адресов организации. Для этого просто щелкните раскрывающийся список институциональной учетной записи на любой странице сайта и выберите «Настройки учреждения», оттуда вы сможете добавить диапазоны IP-адресов и воспользоваться нашей функцией контекстной справки.Если вы возвращаетесь в свою учетную запись и хотите обновить данные своего IP, просто следуйте описанной выше процедуре. Пожалуйста, свяжитесь с вашим специалистом по вычислениям / ИТ-отделом, чтобы узнать IP-адреса компьютеров в вашем учреждении.

Что такое прокси-сервер? Как это работает и как использовать

Преимущества прокси-сервера

Прокси-серверы

обладают рядом преимуществ, которые могут дать вашему бизнесу преимущество:

  1. Повышенная безопасность : Может действовать как брандмауэр между вашими системами и Интернетом.Без них у хакеров будет легкий доступ к вашему IP-адресу, который они могут использовать для проникновения на ваш компьютер или сеть.
  2. Приватный просмотр, просмотр, прослушивание и покупки : Используйте разные прокси-серверы, чтобы избежать наводнения нежелательной рекламой или сбором данных, относящихся к IP.
  3. Доступ к содержимому, зависящему от местоположения : Вы можете назначить прокси-сервер с адресом, связанным с другой страной. Фактически, вы можете создать впечатление, что находитесь в этой стране, и получить полный доступ ко всему содержимому, с которым компьютерам в этой стране разрешено взаимодействовать.
  4. Запретить сотрудникам просматривать неприемлемые или отвлекающие сайты : вы можете использовать его для блокировки доступа к веб-сайтам, которые противоречат принципам вашей организации. Кроме того, вы можете блокировать сайты, которые обычно отвлекают сотрудников от важных задач. Некоторые организации блокируют сайты социальных сетей, такие как Facebook и другие, чтобы избавиться от соблазнов тратить время впустую.

Типы прокси-серверов

Хотя все прокси-серверы предоставляют пользователям альтернативный адрес для использования в Интернете, существует несколько различных типов, каждый со своими особенностями.

Прямой прокси

Прямой прокси находится перед клиентами и используется для передачи данных группам пользователей во внутренней сети. Когда запрос отправляется, прокси-сервер проверяет его, чтобы решить, следует ли продолжить установку соединения.

Прямой прокси лучше всего подходит для внутренних сетей, которым требуется единая точка входа. Он обеспечивает безопасность IP-адресов для тех, кто находится в сети, и обеспечивает прямой административный контроль.Однако прямой прокси-сервер может ограничить способность организации удовлетворять потребности отдельных конечных пользователей.

Прозрачный прокси

Прозрачный прокси-сервер может дать пользователям такой же опыт, как если бы они использовали свой домашний компьютер. Таким образом, он «прозрачен». Их также можно «навязать» пользователям, то есть они подключаются, не зная об этом.

Прозрачные прокси-серверы хорошо подходят для компаний, которые хотят использовать прокси-сервер, не сообщая сотрудникам, что они его используют.Он имеет то преимущество, что обеспечивает беспроблемный пользовательский интерфейс. С другой стороны, прозрачные прокси-серверы более восприимчивы к определенным угрозам безопасности, таким как атаки типа «отказ в обслуживании» SYN-flood.

Anonymous Proxy

Анонимный прокси-сервер предназначен для предотвращения отслеживания активности в Интернете. Он работает путем доступа к Интернету от имени пользователя, скрывая при этом его личность и информацию о компьютере.

Прозрачный прокси лучше всего подходит для пользователей, которые хотят иметь полную анонимность при доступе в Интернет. Хотя прозрачные прокси-серверы обеспечивают лучшую защиту личности, они не лишены недостатков. Многие считают использование прозрачных прокси закулисным делом, и в результате пользователи иногда сталкиваются с противодействием или дискриминацией.

Прокси-сервер с высокой анонимностью

Прокси-сервер с высокой анонимностью — это анонимный прокси-сервер, который делает еще один шаг анонимности.Он работает, стирая вашу информацию до того, как прокси попытается подключиться к целевому сайту.

Сервер лучше всего подходит для пользователей, для которых анонимность является абсолютной необходимостью, например для сотрудников, которые не хотят, чтобы их деятельность отслеживалась до организации. С другой стороны, некоторые из них, особенно бесплатные, представляют собой ловушки, созданные для того, чтобы заманить пользователей в ловушку, чтобы получить доступ к их личной информации или данным.

Искажающий прокси

Искажающий прокси идентифицирует себя как прокси для веб-сайта, но скрывает свою личность.Он делает это, изменяя свой IP-адрес на неправильный.

Прокси-серверы с искажением — хороший выбор для людей, которые хотят скрыть свое местоположение при доступе в Интернет. Этот тип прокси может создать впечатление, что вы просматриваете страницы из определенной страны, и даст вам возможность скрыть не только вашу личность, но и личность прокси. Это означает, что даже если вы связаны с прокси-сервером, ваша личность по-прежнему в безопасности. Однако некоторые веб-сайты автоматически блокируют искажающие прокси-серверы, что может препятствовать доступу конечного пользователя к нужным им сайтам.

Прокси-сервер дата-центра

Прокси-серверы центра обработки данных не связаны с поставщиком интернет-услуг (ISP), но предоставляются другой корпорацией через центр обработки данных. Прокси-сервер существует в физическом центре обработки данных, и запросы пользователей маршрутизируются через этот сервер.

Прокси-серверы

для центров обработки данных — хороший выбор для людей, которым требуется быстрое время отклика и недорогое решение. Поэтому они являются хорошим выбором для людей, которым необходимо очень быстро собрать информацию о человеке или организации.Они несут в себе то преимущество, что дают пользователям возможность быстро и недорого собирать данные. С другой стороны, они не предлагают наивысшего уровня анонимности, что может поставить под угрозу информацию или личность пользователей.

Жилой прокси

Домашний прокси-сервер дает вам IP-адрес, принадлежащий определенному физическому устройству. Затем все запросы направляются через это устройство.

Резидентные прокси хорошо подходят для пользователей, которым необходимо проверять рекламу, размещаемую на их веб-сайтах, поэтому вы можете блокировать файлы cookie, подозрительную или нежелательную рекламу от конкурентов или злоумышленников.Жилые прокси более надежны, чем другие варианты прокси. Однако их использование часто стоит дороже, поэтому пользователям следует тщательно проанализировать, стоят ли выгоды дополнительных вложений.

Публичный прокси

Публичный прокси доступен всем бесплатно. Он работает, предоставляя пользователям доступ к своему IP-адресу, скрывая их личность при посещении сайтов.

Публичные прокси-серверы лучше всего подходят для пользователей, для которых стоимость является серьезной проблемой, а безопасность и скорость — нет.Хотя они бесплатны и легкодоступны, они часто работают медленно, потому что увязли в бесплатных пользователях. Когда вы используете общедоступный прокси-сервер, вы также подвергаетесь повышенному риску доступа к вашей информации другим лицам в Интернете.

Общий прокси

Общие прокси используются более чем одним пользователем одновременно. Они предоставляют вам доступ к IP-адресу, который может использоваться другими людьми, а затем вы можете просматривать веб-страницы, находясь в любом месте по вашему выбору.

Общие прокси — это хороший вариант для людей, у которых мало денег, которые они могут потратить, и которым не обязательно быстрое соединение. Главное преимущество общего прокси — его невысокая стоимость. Поскольку их разделяют другие, вас могут обвинить в чьих-то неверных решениях, из-за которых вы можете заблокировать доступ к сайту.

SSL-прокси

Прокси-сервер уровня защищенных сокетов (SSL) обеспечивает расшифровку между клиентом и сервером.Поскольку данные зашифрованы в обоих направлениях, прокси скрывает свое существование как от клиента, так и от сервера.

Эти прокси-серверы лучше всего подходят для организаций, которым требуется усиленная защита от угроз, которые протокол SSL обнаруживает и останавливает. Поскольку Google предпочитает серверы, использующие SSL, прокси-сервер SSL, когда он используется в связи с веб-сайтом, может помочь его ранжированию в поисковых системах. С другой стороны, контент, зашифрованный на прокси-сервере SSL, нельзя кэшировать, поэтому при многократном посещении веб-сайтов производительность может быть ниже, чем в противном случае.

Вращающийся прокси

Прокси-сервер с ротацией назначает разные IP-адреса каждому пользователю, который к нему подключается. Когда пользователи подключаются, им дается адрес, который уникален для устройства, которое подключалось до него.

Прокси-серверы с возможностью ротации идеально подходят для пользователей, которым необходимо выполнять большой объем непрерывного парсинга веб-страниц. Они позволяют анонимно возвращаться на один и тот же сайт снова и снова.Однако вы должны быть осторожны при выборе сервисов ротации прокси. Некоторые из них содержат публичные или общие прокси, которые могут раскрыть ваши данные.

Обратный прокси

В отличие от прямого прокси, который находится перед клиентами, обратный прокси располагается перед веб-серверами и пересылает запросы от браузера на веб-серверы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *