Я где-то читал, что если вы являетесь удаленным пользователем, подключающимся к веб-серверу, то ваш веб-браузер выберет случайный порт TCP из определенного диапазона номеров портов и попытается…

Я пытаюсь сгенерировать случайный номер порта для соединения TCP. От : http://en.wikipedia.org/wiki/ List_of_TCP_and_UDP_port_numbers я знаю, что диапазон портов от 1024 до 49151 не зарезервирован,…

Я работаю в месте, где каждое из наших внутренних приложений работает на отдельном экземпляре Tomcat и использует определенный порт TCP. Какой диапазон портов IANA лучше всего использовать для этих…

Я работаю над приложением Android, которое использует VpnService для приема всех пакетов, поступающих из интерфейса (IP пакетов). Как только я получаю пакет, я смотрю на заголовок IP, чтобы…

У меня есть проблема с OpenWRT с переадресацией портов. Я делаю переадресацию портов с WAN на DMZ на порту 443. Это прекрасно работает. Кроме того, когда я получаю доступ от внутреннего LAN до DMZ с…

Недавно я получил recommendation от Azure относительно достижения верхнего предела для портов TCP/IP в моем сервисе приложений. TCP/IP-порты рядом с исчерпанием вашего плана обслуживания приложений,…

Я хочу написать приложение, которое устанавливает прямое соединение TCP\IP между двумя устройствами через интернет. У меня есть сервер для обмена адресами и портами IP, но достаточно ли этого для…

Я пытаюсь создать сканер портов TCP в Python, который принимает ряд аргументов (- all (отображает все порты, как открытые, так и закрытые для цели),- open (отображает только открытые порты на…

Я пытаюсь создать алгоритм фильтрации пакетов TCP / IP на основе адресов источника и назначения IP, а также портов назначения и источника. В принципе, у меня есть набор правил, который определяет…

Я хотел бы создать сценарий powershell для выполнения сканера портов TCP, который может перечислить открытые порты TCP для данного адреса IP. вот что я сделал до сих пор, это не идеально, и я хотел…

Основы сетевых портов | Windows IT Pro/RE

Исследуем сетевые порты

Сетевые порты могут дать важнейшую информацию о приложениях, которые обращаются к компьютерам по сети. Зная приложения, которые используют сеть, и соответствующие сетевые порты, можно составить точные правила для брандмауэра, и настроить хост-компьютеры таким образом, чтобы они пропускали только полезный трафик. Построив профиль сети и разместив инструменты для распознавания сетевого трафика, можно более эффективно обнаруживать взломщиков — иногда просто анализируя генерируемый ими сетевой трафик. Эту тему мы начали рассматривать в первой части статьи, опубликованной в предыдущем номере журнала. Там приводились основные сведения о портах TCP/IP как фундаменте сетевой безопасности. Во второй части будут описаны некоторые методы для сетей и хост-компьютеров, с помощью которых можно определить приложения, прослушивающие сеть. Далее в статье будет рассказано о том, как оценить трафик, проходящий через сеть.

Блокирование сетевых приложений

Поверхность атаки по сети — общепринятый термин для описания уязвимости сети. Многие сетевые нападения проходят через уязвимые приложения, и можно существенно уменьшить площадь атаки, сократив число активных приложений в сети. Другими словами, следует отключить неиспользуемые службы, установить брандмауэр на выделенной системе для проверки законности трафика и составить исчерпывающий список управления доступом (access control list — ACL) для брандмауэра на периметре сети.

Каждый открытый сетевой порт представляет приложение, прослушивающее сеть. Поверхность атаки каждого сервера, подключенного к сети, можно уменьшить, отключив все необязательные сетевые службы и приложения. Версия Windows Server 2003 превосходит предшествующие версии операционной системы, так как в ней по умолчанию активизируется меньше сетевых служб. Однако аудит все же необходим, чтобы обнаружить вновь установленные приложения и изменения в конфигурации, которые открывают лишние сетевые порты.

Каждый открытый порт — потенциальная лазейка для взломщиков, которые используют пробелы в хост-приложении или тайком обращаются к приложению с именем и паролем другого пользователя (либо применяют другой законный метод аутентификации). В любом случае, важный первый шаг для защиты сети — просто отключить неиспользуемые сетевые приложения.

Сканирование портов

Сканирование портов — процесс обнаружения прослушивающих приложений путем активного опроса сетевых портов компьютера или другого сетевого устройства. Умение читать результаты сканирования и сравнивать сетевые отчеты с результатами хост-опроса портов позволяет составить ясную картину трафика, проходящего через сеть. Знание сетевой топологии — важное условие подготовки стратегического плана сканирования конкретных областей. Например, сканируя диапазон внешних IP-адресов, можно собрать ценные данные о взломщике, проникшем из Internet. Поэтому следует чаще сканировать сеть и закрыть все необязательные сетевые порты.

Внешнее сканирование портов брандмауэра позволяет обнаружить все откликающиеся службы (например, Web или электронная почта), размещенные на внутренних серверах. Эти серверы также следует защитить. Настройте привычный сканер портов (например, Network Mapper — Nmap) на проверку нужной группы портов UDP или TCP. Как правило, сканирование портов TCP — процедура более надежная, чем сканирование UDP, благодаря более глубокой обратной связи с ориентированными на соединения протоколами TCP. Существуют версии Nmap как для Windows, так и для Unix. Запустить базовую процедуру сканирования просто, хотя в программе реализованы и гораздо более сложные функции. Для поиска открытых портов на тестовом компьютере я запустил команду

nmap 192.168.0.161

На экране 1 показаны результаты сеанса сканирования — в данном случае компьютера Windows 2003 в стандартной конфигурации. Данные, собранные в результате сканирования портов, показывают наличие шести открытых портов TCP.

• Порт 135 используется функцией отображения конечных точек RPC, реализованной во многих технологиях Windows — например, приложениях COM/DCOM, DFS, журналах событий, механизмах репликации файлов, формирования очередей сообщений и Microsoft Outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность Windows.
• Порт 139 используется сеансовой службой NetBIOS, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, Net Logon и службу сервера. Его трудно закрыть, как и порт 135.
• Порт 445 используется Windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать File and Printer Sharing for Microsoft Networks. Закрытие этого порта не мешает соединению компьютера с другими удаленными ресурсами; однако другие компьютеры не смогут подключиться к данной системе.
• Порты 1025 и 1026 открываются динамически и используются другими системными процессами Windows, в частности различными службами.
• Порт 3389 используется Remote Desktop, которая не активизирована по умолчанию, но на моем тестовом компьютере активна. Чтобы закрыть порт, следует перейти к вкладке Remote в диалоговом окне System Properties и сбросить флажок Allow users to connect remotely to this computer.

Обязательно следует выполнить поиск открытых портов UDP и закрыть лишние. Программа сканирования показывает открытые порты компьютера, которые видны из сети. Аналогичные результаты можно получить с помощью инструментов, расположенных на хост-системе.

Хост-сканирование

Помимо использования сетевого сканера портов, открытые порты на хост-системе можно обнаружить с помощью следующей команды (запускается на хост-системе):

netstat -an

Эта команда работает как в Windows, так и в UNIX. Netstat выдает список активных портов компьютера. В Windows 2003 Windows XP следует добавить параметр -o, чтобы получить соответствующий идентификатор процесса (program identifier — PID). На экране 2 показаны выходные результаты Netstat для того же компьютера, сканирование портов которого выполнялось ранее. Следует обратить внимание на то, что закрыто несколько портов, которые прежде были активны.

Аудит журнала брандмауэра

Еще один полезный способ обнаружения сетевых приложений, которые отправляют или получают данные по сети, — собирать и анализировать больше данных в журнале брандмауэра. Записи Deny, в которых приводится информация с внешнего интерфейса брандмауэра, вряд ли будут полезны из-за «шумового трафика» (например, от червей, сканеров, тестирования по ping), засоряющего Internet. Но если записывать в журнал разрешенные пакеты с внутреннего интерфейса, то можно увидеть весь входящий и исходящий сетевой трафик.

Чтобы увидеть «сырые» данные трафика в сети, можно установить сетевой анализатор, который подключается к сети и записывает все обнаруженные сетевые пакеты. Самый широко распространенный бесплатный сетевой анализатор — Tcpdump для UNIX (версия для Windows называется Windump), который легко устанавливается на компьютере. После установки программы следует настроить ее для работы в режиме приема всех сетевых пакетов, чтобы регистрировать весь трафик, а затем подключить к монитору порта на сетевом коммутаторе и отслеживать весь трафик, проходящий через сеть. О настройке монитора порта будет рассказано ниже. Tcpdump — чрезвычайно гибкая программа, с помощью которой можно просматривать сетевой трафик с использованием специализированных фильтров и показывать только информацию об IP-адресах и портах либо все пакеты. Трудно просмотреть сетевые дампы в больших сетях без помощи соответствующих фильтров, но следует соблюдать осторожность, чтобы не потерять важные данные.

Объединение компонентов

До сих пор мы рассматривали различные методы и инструменты, с помощью которых можно обнаружить приложения, использующие сеть. Пришло время объединить их и показать, как определить открытые сетевые порты. Поразительно, как «болтливы» компьютеры в сети! Во-первых, рекомендуется познакомиться с документом Microsoft «Service overview and network port requirements for the Windows Server system» (http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), в котором перечислены протоколы (TCP и UDP) и номера портов, используемые приложениями и большинством основных служб Windows Server. В документе описаны эти службы и используемые ими ассоциированные сетевые порты. Рекомендуется загрузить и распечатать это полезное для администраторов сетей Windows справочное руководство.

Настройка сетевого анализатора

Ранее отмечалось, что один из способов определить порты, используемые приложениями, — отслеживать трафик между компьютерами с помощью сетевого анализатора. Чтобы увидеть весь трафик, необходимо подключить сетевой анализатор к концентратору или монитору портов в коммутаторе. Каждому порту концентратора виден весь трафик каждого компьютера, подключенного к этому концентратору, но концентраторы — устаревшая технология, и большинство компаний заменяют их коммутаторами, которые обеспечивают хорошую производительность, но неудобны для анализа: каждый порт коммутатора принимает только трафик, направляемый одному компьютеру, подключенному к данному порту. Чтобы анализировать всю сеть, нужно отслеживать трафик, направляемый в каждый порт коммутатора.

Для этого требуется настроить монитор порта (разные поставщики называют его span port или mirrored port) в коммутаторе. Установить монитор порта в коммутаторе Cisco Catalyst компании Cisco Systems не составляет труда. Нужно зарегистрироваться на коммутаторе и активизировать режим Enable, затем перейти в режим configure terminal и ввести номер интерфейса порта коммутатора, на который следует посылать весь контролируемый трафик. Наконец, необходимо указать все отслеживаемые порты. Например, следующие команды обеспечивают мониторинг трех портов Fast Ethernet и пересылку копии трафика в порт 24.

interface FastEthernet0/24
port monitor FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/3
end

В данном примере сетевой анализатор, подключенный к порту 24, будет просматривать весь исходящий и входящий трафик компьютеров, подключенных к первым трем портам коммутатора. Для просмотра созданной конфигурации следует ввести команду

show run

Чтобы сохранить новую конфигурацию, нужно использовать команду

write memory

Первоначальный анализ

Рассмотрим пример анализа данных, проходящих через сеть. Если для сетевого анализа используется компьютер Linux, то можно получить исчерпывающее представление о типе и частоте пакетов в сети с помощью такой программы, как IPTraf в режиме Statistical. Детали трафика можно выяснить с использованием программы Tcpdump.

В таблице приведены статистические выходные данные, собранные с помощью IPTraf в небольшой сети с Active Directory (AD) в течение 15 минут. Для краткости, тестирование проводилось вечером, когда никто из пользователей не обращался в сеть. В примере не показаны все порты Windows, но продемонстрированы приемы оценки портов и их привязки к службам и приложениям.

TCP 22. Наиболее активно работающий сетевой порт. Известно, что он используется программой Secure Shell (SSH), которую я применяю для подключения компьютера Linux с утилитой IPTraf.

UDP 138. Второй по частоте использования — UDP-порт 138, задействованный службой NetBIOS Datagram Service. В упомянутом выше документе Microsoft указывается, что данный порт используется несколькими службами Windows, в том числе Computer Browser, DFS, License, Messenger, Net Logon и Server. В группу портов TCP и UDP 135-139 входит несколько специфических портов, используемых многими приложениями Windows. По всей вероятности, некоторые из этих портов придется держать открытыми, что, к сожалению, открывает доступ к другим приложениям Windows.

TCP 80. Третий порт в списке — TCP-порт 80, который используется для незашифрованного трафика HTTP (Web). Но в режиме Statistics программы IPTraf нельзя определить, указывает ли данный трафик на попытки клиента обратиться к Web-серверу внутри сети или внутренний компьютер просто обращается к Web-серверу в Internet (более подробно о таком сценарии будет рассказано в следующем разделе).

UDP 137 и UDP 53. Эти порты используются службами преобразования имен Windows — в данном случае, NetBIOS и DNS.

UDP 67 и UDP 68. UDP-порты 67 и 68 используются DHCP-сервером для назначения динамических IP-адресов.

UDP 123. Данный порт зарезервирован для протокола Network Time Protocol (NTP) или, в случае Windows, Simple Network Time Protocol (SNTP). Этот протокол синхронизирует время между компьютером и NTP-сервером, например контроллером домена (DC).

Остальные порты получили лишь по одному пакету. Чтобы исследовать их, можно собирать статистику в течение более длительного времени и выявить закономерности, либо параллельно запустить Tcpdump и собрать больше данных, в частности, IP-адреса источника и назначения. Даже из приведенного общего вида можно извлечь информацию об этих пакетах. Например, каждый пакет имеет размер 229 байт; можно предположить, что одно приложение перескакивает между разными портами, но, чтобы утверждать это, требуется дополнительная информация.

Tcpdump

Tcpdump — превосходный инструмент командной строки для анализа сетей, который собирает детальные данные о пакетах в сети. Для того чтобы выяснить, где зарождается HTTP-трафик, можно воспользоваться командой

tcpdump -i eth2 -nq proto TCP
port 80

В данном простом примере требуется лишь узнать IP-адреса компьютеров, использующих HTTP, поэтому были задействованы параметры, которые показывают только данные TCP-порта 80. Параметр -i eth2 указывает анализируемый интерфейс. В нашей тестовой сети eth2 — это сетевой адаптер, подключенный к монитору порта в коммутаторе.

Параметр -nq представляет собой два отдельных параметра: -n предписывает Tcpdump не преобразовывать хост-имен и имен служб, а -q переводит Tcpdump в быстрый (скрытый) режим. Наконец, нужно просматривать только данные трафика TCP-порта 80, поэтому добавлена команда

proto TCP port 80

которая ограничивает объем рассматриваемых данных.

На экране 3 показаны выходные данные команды. Через порт 80 работают только два компьютера в сети 192.168.0.0. Отсюда можно сделать вывод, что компьютер по адресу 192.168.0.112 пытается обратиться к Web-серверу по адресу 192.168.0.7. Теперь можно проверить, находится ли по этому адресу законный Web-сервер, или классифицировать находку иным образом. Список всех параметров приведен на главной странице Tcpdump. Возможности этой программы широки.

Используя справочную таблицу сетевых портов в сочетании с результатами нескольких сеансов сканирования портов, можно составить карту сигнатур полезного трафика в сети. Затем можно будет отмечать отклонения от нормы.

Подготовка набора правил брандмауэра

Чтобы составить набор правил брандмауэра — особенно в сложных ситуациях, например в демилитаризованной зоне (DMZ), — следует применять все перечисленные выше методы оценки сетевого трафика. С их помощью можно точно установить задействованные сетевые порты. На основе этих данных строится набор правил брандмауэра. В DMZ изолируются компьютеры, которые принимают прямые соединения с Internet (например, внешние почтовые серверы, Web-серверы) от других серверов во внутренней сети. Компьютеры в DMZ также должны устанавливать соединения с некоторыми компьютерами во внутренней сети, поэтому необходимо создать набор правил брандмауэра, который разрешает такое соединение.

Рассмотрим два метода, с помощью которых можно определить списки ACL для правил брандмауэра в тестовой DMZ. Предположим, что Web-серверу в DMZ требуется извлечь данные из системы Microsoft SQL Server во внутренней сети. Вместо туманного правила, которое разрешает соединение между IP-адресом Web-сервера и IP-адресом системы SQL Server, следует составить списки ACL, которые разрешают только обращения к SQL Server.

Один из способов подготовки такого ACL — контролировать монитор порта и составить ACL на основе анализа обнаруженного трафика. Для этого нужно установить монитор порта на DMZ-интерфейсе брандмауэра и активизировать анализатор сети. На данном этапе следует убедиться, что между DMZ и внутренней подсетью правила брандмауэра не действуют. Затем требуется сгенерировать типичный сетевой трафик с помощью Web-приложения, как это делали бы пользователи. После просмотра данных сетевого анализатора нужно записать все уникальные IP-адреса и соединения сетевого порта. Наконец, на основе собранной информации следует составить и разместить списки ACL брандмауэра. В данном примере требуется, чтобы Web-сервер инициировал соединения с SQL Server. SQL Server использует TCP-порт 1433, поэтому в результатах сетевого анализатора должны быть пакеты, направляемые в этот порт. Однако, если Web-сервер является членом домена, DC которого находятся во внутренней сети, можно ожидать интенсивного сетевого трафика от Web-сервера к DC. После анализа результатов анализатора следует разрешить в ACL брандмауэра весь необходимый сетевой трафик.

Второй метод обнаружения портов, необходимых Web-серверу для связи с машиной SQL Server, — метод проб и ошибок, который заключается в создании и развертывании ACL, запрещающего трафик между DMZ и внутренней сетью.

Начав использовать Web-сервер, следует отыскать в журналах брандмауэра блокированные пакеты (вероятно, их будет много). Для каждого блокированного пакета необходимо исследовать и оценить адреса источника и назначения, а также информацию о сетевом порте. Затем составляются списки ACL, которые разрешают полезный трафик. Эту процедуру следует повторять до тех пор, пока из журнала не исчезнут записи Deny для пакетов, пересылаемых между DMZ и внутренней сетью.

Знание — лучшая защита

Итак, в этой и предыдущей статьях было рассказано о месте сетевых портов в общей сетевой модели, а также о средствах обнаружения и мониторинга сетевых приложений. Вооружившись этой информацией, любой ИТ-специалист сможет приступить к изучению сети, чтобы лучше понять и защитить свой участок Internet.

Джеф Феллинг — Директор по информационной безопасности компании Quantive. Автор книги IT Administrator?s Top 10 Introductory Scripts for Windows (издательство Charles River Media). [email protected]

Поделитесь материалом с коллегами и друзьями

Какой порт необходимо открыть, чтобы получить удаленный доступ к шлюзу MGate?

Если необходимо, чтобы MGate был доступен по публичному IP-адресу, находясь при этом за NAT/Firewall, необходимо настроить функцию проброса портов на маршрутизаторе. Большинство маршрутизаторов поддерживают данную функцию.

В таблицах перечислены наиболее распространенные порты, необходимые для выполнения различных функций на шлюзах MGate:

Для серии NPort 6110

Для серии MB3000

Для серии EIP3000

Для серии MGate 5101

Для серии MGate 5102

Для серии MGate 5105

Основы сетевых портов. Часть 1 | Windows IT Pro/RE

Начальные сведения о портах TCP/IP

Протокол TCP/IP представляет собой фундамент Internet, с помощью которого компьютеры отправляют и принимают информацию из любой точки земного шара, независимо от географического положения. Обратиться к компьютеру с TCP/IP в другой стране так же просто, как к компьютеру, который находится в соседней комнате. Процедура доступа в обоих случаях идентична, хотя для соединения с машиной в другой стране может потребоваться на несколько миллисекунд больше. В результате граждане любой страны могут без труда делать покупки в Amazon.com; однако из-за логической близости усложняется задача информационной защиты: любой владелец подключенного к Internet компьютера в любой точке мира может попытаться установить несанкционированное соединение с любой другой машиной.

Обязанность ИТ-специалистов — установить брандмауэры и системы обнаружения подозрительного трафика. В ходе анализа пакетов извлекается информация об IP-адресах отправителя и назначения и задействованных сетевых портах. Значение сетевых портов не уступает IP-адресам; это важнейшие критерии для отделения полезного трафика от фальшивых и вредных посылок, поступающих в сеть и исходящих из нее. Основная часть сетевого трафика Internet состоит из пакетов TCP и UDP, которые содержат информацию о сетевых портах, используемых компьютерами для того, чтобы направлять трафик от одного приложения в другое. Необходимое условие безопасности брандмауэра и сети — исчерпывающее понимание администратором принципов использования этих портов компьютерами и сетевыми устройствами.

Изучаем порты

Знание основных принципов работы сетевых портов пригодится любому системному администратору. Имея базовые знания об устройстве портов TCP и UDP, администратор может самостоятельно выполнить диагностику отказавшего сетевого приложения или защитить компьютер, которому предстоит обратиться в Internet, не вызывая сетевого инженера или консультанта по брандмауэрам.

В первой части данной статьи (состоящей из двух частей) дается описание основных понятий, необходимых для рассмотрения сетевых портов. Будет показано место сетевых портов в общей сетевой модели и роль сетевых портов и NAT (Network Address Translation — трансляция сетевых адресов) брандмауэра в соединениях компьютеров компании с Internet. И наконец, будут указаны точки сети, в которых удобно идентифицировать и фильтровать сетевой трафик по соответствующим сетевым портам. Во второй части рассматриваются некоторые порты, используемые широко распространенными приложениями и операционными системами, и рассказывается о некоторых инструментах для поиска открытых портов сети.

Краткий обзор сетевых протоколов

TCP/IP — набор сетевых протоколов, через которые компьютеры устанавливают связь друг с другом. Набор TCP/IP — не более чем фрагменты программного кода, установленные в операционной системе и открывающие доступ к этим протоколам. TCP/IP является стандартом, поэтому приложения TCP/IP на компьютере Windows должны успешно обмениваться данными с аналогичным приложением на машине UNIX. В начальный период развития сетей, в 1983 г., инженеры разработали семиуровневую модель взаимодействия OSI для описания процессов сетевого обмена компьютеров, от кабеля до приложения. Модель OSI состоит из физического, канального, сетевого, транспортного, сеансового представления данных и прикладного уровней. Администраторы, постоянно работающие с Internet и TCP/IP, в основном имеют дело с сетевым, транспортным и прикладным уровнями, но для успешной диагностики необходимо знать и другие уровни. Несмотря на солидный возраст модели OSI, ею по-прежнему пользуются многие специалисты. Например, когда сетевой инженер говорит о коммутаторах уровней 1 или 2, а поставщик брандмауэров — о контроле на уровне 7, они имеют в виду уровни, определенные в модели OSI.

В данной статье рассказывается о сетевых портах, расположенных на уровне 4 — транспортном. В наборе TCP/IP эти порты используются протоколами TCP и UDP. Но прежде чем перейти к подробному описанию одного уровня, необходимо кратко ознакомиться с семью уровнями OSI и той ролью, которую они выполняют в современных сетях TCP/IP.

Уровни 1 и 2: физические кабели и адреса MAC

Уровень 1, физический, представляет собственно среду, в которой распространяется сигнал, — например, медный кабель, волоконно-оптический кабель или радиосигналы (в случае Wi-Fi). Уровень 2, канальный, описывает формат данных для передачи в физической среде. На уровне 2 пакеты организуются в кадры и могут быть реализованы базовые функции управления потоком данных и обработки ошибок. Стандарт IEEE 802.3, более известный как Ethernet,— самый распространенный стандарт уровня 2 для современных локальных сетей. Обычный сетевой коммутатор — устройство уровня 2, с помощью которого несколько компьютеров физически подключаются и обмениваются данными друг с другом. Иногда два компьютера не могут установить соединение друг с другом, хотя IP-адреса кажутся корректными: причиной неполадки могут быть ошибки в кэше протокола преобразования адресов ARP (Address Resolution Protocol), что свидетельствует о неисправности на уровне 2. Кроме того, некоторые беспроводные точки доступа (Access Point, AP) обеспечивают фильтрацию адресов MAC, разрешающую соединение с беспроводной AP только сетевым адаптерам с конкретным MAC-адресом.

Уровни 3 и 4: IP-адреса и сетевые порты

Уровень 3, сетевой, поддерживает маршрутизацию. В TCP/IP маршрутизация реализована в IP. IP-адрес пакета принадлежат уровню 3. Сетевые маршрутизаторы — устройства уровня 3, которые анализируют IP-адреса пакетов и пересылают пакеты другому маршрутизатору или доставляют пакеты в локальные компьютеры. Если в сети обнаружен подозрительный пакет, то в первую очередь следует проверить IP-адрес пакета, чтобы установить место происхождения пакета.

Вместе с сетевым уровнем 4-й уровень (транспортный) — хорошая отправная точка для диагностики сетевых неисправностей. В Internet уровень 4 содержит протоколы TCP и UDP и информацию о сетевом порте, который связывает пакет с конкретным приложением. Сетевой стек компьютера использует связь сетевого порта TCP или UDP с приложением, чтобы направить сетевой трафик в это приложение. Например, TCP-порт 80 связан с приложением Web-сервера. Такое соответствие портов с приложениями известно как служба.

TCP и UDP различаются. В сущности, TCP обеспечивает надежное соединение для обмена данными между двумя приложениями. Прежде чем начать обмен данными, два приложения должны установить связь, выполнив трехшаговый процесс установления сязи TCP. Для протокола UDP в большей степени характерен подход «активизировать и забыть». Надежность связи для приложений TCP обеспечивается протоколом, а приложению UDP приходится самостоятельно проверять надежность соединения.

Сетевой порт представляет собой число от 1 до 65535, указанное и известное обоим приложениям, между которыми устанавливается связь. Например, клиент, как правило, посылает незашифрованный запрос в сервер по целевому адресу на TCP-порт 80. Обычно компьютер посылает запрос DNS на DNS-сервер по целевому адресу на UDP-порт 53. Клиент и сервер имеют IP-адрес источника и назначения, а также сетевой порт источника и назначения, которые могут различаться. Исторически все номера портов ниже 1024 получили название «известных номеров портов» и зарегистрированы в организации IANA (Internet Assigned Numbers Authority). В некоторых операционных системах только системные процессы могут использовать порты этого диапазона. Кроме того, организации могут зарегистрировать в IANA порты с 1024 по 49151-й, чтобы связать порт со своим приложением. Такая регистрация обеспечивает структуру, которая помогает избежать конфликтов между приложениями, стремящимися использовать порт с одним номером. Однако в целом ничто не мешает приложению запросить конкретный порт, если он не занят другой активной программой.

Исторически сложилось так, что сервер может прослушивать порты с малыми номерами, а клиент — инициировать соединение от порта с большим номером (выше 1024). Например, Web-клиент может открыть соединение с Web-сервером через порт назначения 80, но ассоциировать произвольно выбранный порт-источник, например TCP-порт 1025. Отвечая клиенту, Web-сервер адресует пакет клиенту с портом-источником 80 и портом назначения 1025. Комбинация IP-адреса и порта называется сокетом (socket), она должна быть уникальной в компьютере. По этой причине при организации Web-сервера с двумя отдельными Web-сайтами на одном компьютере необходимо использовать несколько IP-адресов, например address1:80 и address2:80, или настроить Web-сервер на прослушивание нескольких сетевых портов, таких как address1:80 и address1:81. Некоторые Web-серверы обеспечивают работу нескольких Web-сайтов через один порт, запрашивая хост-заголовок, но в действительности эта функция выполняется приложением Web-сервера на более высоком уровне 7.

По мере того как в операционных системах и приложениях появлялись сетевые функции, программисты начали использовать порты с номерами выше 1024, без регистрации всех приложений в IANA. Выполнив в Internet поиск для любого сетевого порта, как правило, удается быстро найти информацию о приложениях, которые используют этот порт. Или же можно провести поиск по словам Well Known Ports и отыскать множество сайтов со списками наиболее типичных портов.

При блокировании сетевых приложений компьютера или устранении изъянов в брандмауэре основная часть работы приходится на классификацию и фильтрацию IP-адресов уровня 3, а также протоколов и сетевых портов уровня 4. Чтобы быстро отличать легальный и подозрительный трафик, следует научиться распознавать 20 наиболее широко используемых на предприятии портов TCP и UDP.

Умение распознавать сетевые порты и знакомство с ними не ограничивается назначением правил для брандмауэра. Например, в некоторых исправлениях для системы безопасности Microsoft описана процедура закрытия портов NetBIOS. Эта мера позволяет ограничить распространение «червей», проникающих через уязвимые места операционной системы. Зная, как и где следует закрыть эти порты, можно уменьшить угрозу безопасности сети во время подготовки к развертыванию важного исправления.

И сразу к уровню 7

В настоящее время редко приходится слышать об уровне 5 (сеансовом) и уровне 6 (представления данных), но уровень 7 (прикладной) — горячая тема среди поставщиков брандмауэров. Новейшая тенденция в развитии сетевых брандмауэров — контроль на уровне 7, который описывает методы, используемые для анализа работы приложения с сетевыми протоколами. Анализируя полезную информацию сетевого пакета, брандмауэр может определить законность проходящего через него трафика. Например, Web-запрос содержит оператор GET внутри пакета уровня 4 (TCP-порт 80). Если в брандмауэре реализованы функции уровня 7, то можно проверить корректность оператора GET. Другой пример — многие одноранговые (P2P) программы обмена файлами могут захватить порт 80. В результате постороннее лицо может настроить программу на использование порта по собственному выбору — скорее всего, порта, который должен оставаться открытым в данном брандмауэре. Если сотрудникам компании нужен выход в Internet, необходимо открыть порт 80, но, чтобы отличить законный Web-трафик от трафика P2P, направленного кем-то в порт 80, брандмауэр должен обеспечивать контроль на уровне 7.

Роль брандмауэра

Описав сетевые уровни, можно перейти к описанию механизма связи между сетевыми приложениями через брандмауэры, уделив особое внимание используемым при этом сетевым портам. В следующем примере клиентский браузер устанавливает связь с Web-сервером по другую сторону брандмауэра, подобно тому как сотрудник компании обращается к Web-серверу в Internet.

Большинство Internet-брандмауэров работает на уровнях 3 и 4, чтобы исследовать, а затем разрешить или блокировать входящий и исходящий сетевой трафик. В целом администратор составляет списки управления доступом (ACL), которые определяют IP-адреса и сетевые порты блокируемого или разрешенного трафика. Например, чтобы обратиться в Web, нужно запустить браузер и нацелить его на Web-узел. Компьютер инициирует исходящее соединение, посылая последовательность IP-пакетов, состоящих из заголовка и полезной информации. Заголовок содержит информацию о маршруте и другие атрибуты пакета. Правила брандмауэра часто составляются с учетом информации о маршруте и обычно содержат IP-адреса источника и места назначения (уровень 3) и протокола пакета (уровень 4). При перемещениях по Web IP-адрес назначения принадлежит Web-серверу, а протокол и порт назначения (по умолчанию) — TCP 80. IP-адрес источника представляет собой адрес компьютера, с которого пользователь выходит в Web, а порт источника — обычно динамически назначаемое число, превышающее 1024. Полезная информация не зависит от заголовка и генерируется приложением пользователя; в данном случае это запрос Web-серверу на предоставление Web-страницы.

Брандмауэр анализирует исходящий трафик и разрешает его в соответствии с правилами брандмауэра. Многие компании разрешают весь исходящий трафик из своей сети. Такой подход упрощает настройку и развертывание, но из-за отсутствия контроля данных, покидающих сеть, снижается безопасность. Например, «троянский конь» может заразить компьютер в сети предприятия и посылать информацию с этого компьютера другому компьютеру в Internet. Имеет смысл составить списки управления доступом для блокирования такой исходящей информации.

В отличие от принятого во многих брандмауэрах подхода к исходящему трафику, большинство из них настроено на блокирование входящего трафика. Как правило, брандмауэры разрешают входящий трафик только в двух случаях. Первый — трафик, поступающий в ответ на исходящий запрос, посланный ранее пользователем. Например, если указать в браузере адрес Web-страницы, то брандмауэр пропускает в сеть программный код HTML и другие компоненты Web-страницы. Второй случай — размещение в Internet внутренней службы, такой как почтовый сервер, Web- или FTP-узел. Размещение такой службы обычно называется трансляцией порта или публикацией сервера. Реализация трансляции порта у разных поставщиков брандмауэров различна, но в основе лежит единый принцип. Администратор определяет службу, такую как TCP-порт 80 для Web-сервера и внутренний сервер для размещения службы. Если пакеты поступают в брандмауэр через внешний интерфейс, соответствующий данной службе, то механизм трансляции портов пересылает их на конкретный компьютер сети, скрытый за брандмауэром. Трансляция порта используется в сочетании со службой NAT, описанной ниже.

Основы NAT

Благодаря NAT многочисленные компьютеры компании могут совместно занимать небольшое пространство общедоступных IP-адресов. DHCP-сервер компании может выделять IP-адрес из одного из блоков частных, Internet-немаршрутизируемых IP-адресов, определенных в документе Request for Comments (RFC) № 1918. Несколько компаний также могут совместно использовать одно пространство частных IP-адресов. Примеры частных IP-подсетей — 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Маршрутизаторы Internet блокируют любые пакеты, направляемые в один из частных адресов. NAT — функция брандмауэра, с помощью которой компании, в которых используются частные IP-адреса, устанавливают связь с другими компьютерами в Internet. Брандмауэру известно, как транслировать входящий и исходящий трафик для частных внутренних IP-адресов, чтобы каждый компьютер имел доступ в Internet.

На рис. 1 показана базовая схема NAT-соединения между клиентом и Web-сервером. На этапе 1 трафик, направляемый в Internet с компьютера корпоративной сети, поступает на внутренний интерфейс брандмауэра. Брандмауэр получает пакет и делает запись в таблице отслеживания соединений, которая управляет преобразованием адресов. Затем брандмауэр подменяет частный адрес источника пакета собственным внешним общедоступным IP-адресом и посылает пакет по месту назначения в Internet (этап 2). Компьютер назначения получает пакет и передает ответ в брандмауэр (этап 3). Получив этот пакет, брандмауэр отыскивает отправителя исходного пакета в таблице отслеживания соединений, заменяет IP-адрес назначения на соответствующий частный IP-адрес и передает пакет на исходный компьютер (этап 4). Поскольку брандмауэр посылает пакеты от имени всех внутренних компьютеров, он изменяет исходный сетевой порт, и данная информация хранится в таблице отслеживания соединений брандмауэра. Это необходимо, чтобы исходящие сокеты оставались уникальными.

Важно понимать принципы работы NAT, так как NAT изменяет IP-адрес и сетевые порты пакетов трафика. Такое понимание помогает в диагностике неисправностей. Например, становится понятным, почему один трафик может иметь разные IP-адреса и сетевые порты на внешнем и внутреннем интерфейсах брандмауэра.

Сначала фундамент, потом структура

Понимание основных принципов организации сети со стороны приложения, брандмауэра и порта необходимо не только сетевым инженерам. Сегодня редко встречается компьютерная система, не подключенная к сети, и даже системным администраторам гораздо проще решать свои проблемы, понимая хотя бы основы использования сетевых портов для связи приложений через Internet.

Во второй части статьи будет рассмотрен инструментарий для обнаружения приложений в сети путем анализа задействованных сетевых портов. Чтобы отыскать приложения, открывающие порты на прослушивание и доступные по сети, компьютер опрашивается через сеть (сканирование портов) и локально (хост-сканирование). Кроме того, просматривая журналы брандмауэра, можно исследовать сетевой трафик, который пересекает границу сети, и заглянуть в различные сетевые порты, используемые приложениями Windows и UNIX.

Джеф Феллинг — Директор по информационной безопасности компании Quantive. Автор книги IT Administrator?s Top 10 Introductory Scripts for Windows (издательство Charles River Media). [email protected]

Поделитесь материалом с коллегами и друзьями

Что такое порт?

Порт обеспечивает определенный физический интерфейс между устройствами. Это также относится к точке соединения между сетями в виде узла в сети, куда пакеты данных направляются по пути к конечному адресу назначения. Это создает 2 определения для порта как существительного. Физически, в качестве внешнего или внутреннего аппаратного компонента, к которому подключаются проводные соединения для создания линий связи и передачи данных. Виртуальный порт, с другой стороны, относится к онлайн-контрагенту или пункту назначения для передачи данных. Также называемый сетевым портом, он определяет точку, куда отправляются данные или информация. Для создания и обслуживания сети необходимы как виртуальные, так и физические порты.

В качестве глагола под портом понимается процесс переписывания или перепрограммирования приложения, созданного для конкретной операционной системы и делающего его доступным для использования в другой ОС. Этот процесс переноса программного обеспечения важен, поскольку не все программы совместимы с различными доступными системами. Это гарантирует, что использование приложения не ограничивается пользователями конкретной ОС.

Типы портов

Существует 2 основные классификации портов: Физические и виртуальные. Каждый тип имеет свое определение, функцию и типы.

Физический порт

Физический порт позволяет подключать внутренние аппаратные компоненты или внешние устройства к главному процессору компьютера. Внутренние порты обеспечивают подключение к компакт-дискам и жестким дискам, которые позволяют компьютеру функционировать. Внешний порт соединяет устройство с модемами, принтерами и другими периферийными устройствами.

Существует несколько типов физических портов, некоторые из наиболее часто используемых портов включают в себя:

• Последовательный порт
• Параллельный порт
• Порт SCSI
• USB-порт
• Порт PS/2
• VGA-порт
• Разъем питания
• Порт Firewire
• Современный порт
• Ethernet-порт
• Игровой порт
• DVI порт
• Розетки

Виртуальный порт

Наборы интернет-протоколов, такие как UDP или TCP, полагаются на виртуальные порты как на точки соединения для обмена информацией и передачи данных. Данные передаются из порта на исходном устройстве и направляются к приемному концу линии. Номер порта — это 16-битное целое число, специально разработанное для хранения протокола, используемого для передачи. Он функционирует для идентификации определенных сетевых портов путем удержания соответствующего IP-адреса и протокола, применяемого для подключения. Номер порта источника и номер порта назначения используются для определения процессов, используемых для отправки и получения данных, соответственно.

В стандартной сети TCP/IP используются 2 основных протокола для передачи данных. Сеть TCP или UDP. И TCP, и UDP относятся к протоколам передачи данных, которые определяют методы, с помощью которых информация передается по сетям. TCP используется, когда устройства подключены непосредственно во время передачи. Оставаясь на связи во время передачи данных, он обеспечивает стабильное соединение, что делает процесс быстрым и эффективным. Недостатком TCP является то, что он слишком полагается на устройство и, таким образом, возлагает на него большую рабочую нагрузку.

Другой способ передачи данных — через UDP, где нет прямого соединения между устройствами отправки и получения. Пакеты данных отправляются в сеть, содержащие информацию и адрес назначения. Подобно тому, как письма отправляются по почте, передача данных зависит от сетевой системы. Однако существует вероятность того, что пакет данных не достигнет своего целевого назначения. Преимущество использования UDP вместо TCP для передачи данных заключается в том, что он не представляет большой нагрузки на устройство.

В обоих случаях для успешной передачи данных необходим номер интернет-порта. Поскольку сетевой порт используется для идентификации приложения или процесса на устройстве, различным типам сетевых служб или программ присваивается набор номеров портов.

• 0-1023 — Эти номера портов зарезервированы для известных или часто используемых портов. Большинство этих портов, назначенных администрацией Internet Assigned Numbers Authority (IANA), поддерживают серверные службы, необходимые для сетевых подключений.
• 1024-49151 — Эти номера портов зарегистрированы или полузарезервированы. Компании, организации и даже физические лица могут зарегистрироваться, чтобы использовать эти номера портов для предоставления сетевых услуг IANA.
• 49152 — 65535 — эти номера портов относятся к эфемерным портам, используемым клиентскими программами.

История

Отслеживание концепции портов связано с разработкой самых ранних форм технологии. Использование портов можно наблюдать с конца 1960-х годов, когда использовались основные соединения между компьютерами и другими периферийными устройствами. Однако самым старым идентифицируемым портом является аудиоразъем, который был изобретен в 1878 году. В настоящее время аудиоразъемы по-прежнему широко используются для подключения наушников, динамиков и других аудиоустройств к компьютеру. Изобретение портов для фактического подключения или передачи данных было сделано в 1962 году, когда для создания линий связи был предоставлен RS-232. Этот порт использовался как физические точки соединения между модемами и компьютерами и широко использовался вплоть до 20-го века.

Ethernet-кабели были подключены к компьютерам и модемам через порты Ethernet, которые были введены в 1980 году. Ethernet-подключения создавали пакеты данных в виде фреймов, содержащих заголовок, содержащий адрес источника, адрес назначения и встроенную систему проверки ошибок. Передача видеоданных была доступна в 1987 году с использованием VGA-портов, через которые проходили аналоговые компоненты RGBHV. RGBHV означает Красная, Зеленая, Синяя, Горизонтальная и Вертикальная синхронизация. Этот порт создал стандартный видеовыход размером 640×480 мм. Позднее в том же году порты RS-232 были заменены портом PS/2 и проводами, которые использовались для подключения клавиатуры и мыши к вычислительному устройству.

Компания Apple разработала порт Firewire, обеспечивающий интерфейс последовательной шины, известный как IEEE 1394. Он был выпущен в 1994 году и похож на USB-порты, которые были разработаны в 2000 году. USB-порты широко используются сегодня, с различными версиями, USB 1.0, 2.0, 3.0 и 3.1, обеспечивая лучшую скорость передачи данных.

Кроме того, порты VGA были также заменены портами Digital High Definition Multimedia Interface (HDMI), которые в настоящее время являются стандартом для подключения устройств вывода видео высокой четкости. Порты HDMI обеспечивают высокую пропускную способность линий, которые несут несколько аудио и видео сигналов, так как это тип параллельного порта. Текущий порт Thunderbolt 2011 года интегрирует мультиплекс данных из различных соединений. Он также способен демультиплексировать переплетенные пакеты данных для использования с подключенными устройствами.

Список зарегистрированных TCP/UDP портов

Реестр имени службы и транспортного протокола номера порта

Добавление или изменение назначения портов

Добавление или изменение назначения портов TCP / UDP

TCP и UDP — протоколы транспортного уровня в протоколе IP. люкс.Эти протоколы транспортного уровня используют порты для установления связи. между протоколами прикладного уровня. Например, весь веб-трафик использует протокол HTTP. HTTP — это протокол прикладного уровня, который использует стандартный порт TCP / UDP 80. Администрация адресации Интернета (IANA) отвечает за ведение списка стандартных номеров портов и их задания. Для получения актуального списка всех стандартных назначений портов TCP / UDP, посетите www.iana.org.

Когда анализатор читает пакет TCP, UDP или IPX, он выводит протоколы верхнего уровня, используя заранее определенные правила обхода. Например, если пакет имеет номер порта источника или назначения TCP 80, то протокол верхнего уровня — HTTP. Эти правила, которые построены в программное обеспечение, определить верхние уровни стека протоколов на основе на номера порта источника или назначения в пакете. Встроенный правила основаны на стандартных назначениях портов.Однако это вполне часто встречается в сетевых системах, в которых протоколы верхнего уровня используют определяемые пользователем номера портов как для стандартных, так и для настраиваемых протоколов. В таком случаях пользователи анализатора могут указать программному обеспечению, какие номера портов назначены каким протоколам.

Анализатор автоматически проходит стек из TCP, UDP и IPX на основе номера порта источника или назначения. Многие системы используют определяемые пользователем номера портов как для стандартных, так и для пользовательских протоколов.Вот как узнать анализатор о настраиваемом назначении порта в системе, которую вы отслеживаете.

Добавить новое назначение порта

1. Выберите «Установить начальные параметры декодера» из меню «Параметры» на панели управления окно.
2. Щелкните вкладку TCP (или UDP или IPX для этих протоколов).
3. Выберите радиокнопку Single Port
4. Введите порт номер в поле Номер порта.
5. В раскрывающемся списке Протокол выберите протокол для перехода.
6. Нажмите кнопку «Добавить».

Система добавляет новую запись внизу списка номеров портов.

Изменить существующее назначение порта

1. Выберите «Установить начальные параметры декодера» из меню «Параметры» на панели управления окно.
2. Щелкните вкладку TCP (или UDP или IPX для этих протоколов).
3. Выбрать (нажать включите и выделите) назначение порта, которое нужно изменить.
4. Поменять порт номер и / или выберите протокол для перехода.
5. Выберите радиокнопку Диапазон портов и укажите начальный и конечный номера портов.В диапазон включен.
6. Нажмите кнопку «Изменить».

Система отображает изменения в назначении портов.

Удалить Назначение порта

1. Выберите «Установить начальные параметры декодера» из меню «Параметры» на панели управления окно.
2. Щелкните вкладку TCP (или UDP или IPX для этих протоколов).
3. Выбрать (нажать включите и выделите) назначение порта для удаления.
4. Выберите Удалить.

Система удаляет назначение порта.

Перемещение назначения порта

Если вам нужно переместить запись, чтобы обрабатывается до или после другой записи, выберите запись в список, а затем нажмите кнопку «Вверх» или кнопки «Вниз».

Рекомендации по назначению портов

• Анализатор пересекает запись, если совпадают порт источника или назначения.
• Анализатор процессов записи номеров портов в порядке сверху вниз.

A. Назначение портов TCP — UDP

В ЭТОМ ПРИЛОЖЕНИИ

Таблица A.1 перечислены многие общие порты, используемые как для протоколов TCP, так и для UDP, в столбце «Порт» как T и U соответственно. Наиболее широко используемые порты обычно находятся в диапазоне от 1 до 1023 и называются «хорошо известными портами». Поставщики регистрируют большое количество назначений портов для конкретных приложений. Со временем многие из этих назначений портов становятся такими же популярными, как и известные порты. Зарегистрированные порты находятся в диапазоне от 1024 до 49191. Наконец, ICANN разрешает использовать оставшиеся порты с 49152 до 65535 либо динамически, либо для частных назначений.Порты в верхнем диапазоне не зарегистрированы и не назначены; они предназначены для использования кем угодно в любое время.

Во многих случаях TCP и UDP используют одни и те же номера для одного и того же протокола, но не всегда. Также не обязательно обнаруживать один протокол, такой как HTTP, только при назначении одного порта. Может быть назначено несколько портов, и в случае HTTP два общих назначения порта не являются непрерывным диапазоном: обычно используются как 80, так и 8080 (для межсетевых экранов).

Таблица A.1. Известные порты: от 1 до 1023 Зарегистрированные порты: от 1024 до 49191 Динамические и частные порты: от 49152 до 65535 (неназначенные)

Ссылка: www.iana.org/assignments/port-numbers . Приведенный выше список отредактирован и не так полон, как список портов на этом официальном сайте. Кроме того, их список регулярно обновляется.

comports.mif

% PDF-1.4 % 1 0 объект > эндобдж 8 0 объект > эндобдж 2 0 obj > эндобдж 3 0 obj > транслировать Акробат Дистиллятор 7.0 (Windows) FrameMaker 7.22007-08-06T03: 59: 42Z2007-08-06T03: 59: 42Zapplication / pdf

Зарегистрированный порт — обзор

Основы исследования сети

Исследование современных сетевых сред может быть сопряжено с трудностями.Это верно независимо от того, реагируете ли вы на нарушение, расследуете действия инсайдеров, выполняете оценку уязвимостей, отслеживаете сетевой трафик или проверяете соответствие нормативным требованиям.

Многие профессиональные инструменты и технологии существуют от крупных поставщиков, таких как McAfee, Symantec, IBM, Saint, Tenable и многих других. Однако глубокое понимание того, что они делают, как они это делают и является ли ценность расследования полной, может быть в некоторой степени загадкой. Существуют также бесплатные инструменты, такие как Wireshark, которые выполняют захват и анализ сетевых пакетов.

Чтобы раскрыть некоторые основы этих технологий, я исследую основы методов исследования сети. Я буду использовать стандартную библиотеку Python вместе с парой сторонних библиотек для выполнения примеров из поваренной книги. Я буду подробно останавливаться на примерах, поэтому, если это ваше первое взаимодействие с сетевым программированием, у вас будет достаточно деталей, чтобы расширить примеры.

Что это за розетки?

При взаимодействии с сетью сокетов являются фундаментальным строительным блоком, позволяющим нам использовать возможности базовой операционной системы для взаимодействия с сетью.Сокеты предоставляют информационный канал для связи между конечными точками сети, например, между клиентом и сервером. Вы можете рассматривать сокеты как конечную точку соединения между клиентом и сервером. Приложения, разработанные на таких языках, как Python, Java, C ++ и C #, имеют интерфейс с сетевыми сокетами с использованием интерфейса прикладного программирования (API). API сокетов в большинстве современных систем основан на сокетах Беркли. Сокеты Berkeley изначально поставлялись с UNIX BSD версии 4.2 еще в 1983 году. Позже, примерно в 1990 году, Беркли выпустил безлицензионную версию, которая является основой современного API сокетов в большинстве операционных систем (Linux, Mac OS и Windows). Эта стандартизация обеспечивает единообразие реализации на разных платформах.

На рисунке 8.1 показан пример сети, в которой несколько хостов (конечных точек) подключены к сетевому концентратору. Каждый хост имеет уникальный IP-адрес, и для этой простой сети мы видим, что каждый хост имеет уникальный IP-адрес.

Рисунок 8.1. Простейшая локальная сеть.

Эти IP-адреса наиболее часто встречаются в настройках локальной сети. Эти конкретные адреса основаны на стандарте Интернет-протокола версии 4 (IPv4) и представляют собой сетевой адрес класса C. Адрес класса C обычно записывается пунктирной нотацией, например 192.168.0.1. Если разбить адрес на составные части, то первые три октета или первые 24 бита считаются сетевым адресом (также известным как сетевой идентификатор или NETID).Четвертый и последний октет или 8 бит считаются адресом локального хоста (также известным как идентификатор хоста или HOSTID).

В этом примере каждый хост, сетевое устройство, маршрутизатор, брандмауэр и т. Д. В локальной сети будет иметь ту же часть сетевого адреса, что и IP-адрес (192.168.0), но каждый будет иметь уникальный адрес хоста в диапазоне от 0 до 255. Это позволяет использовать 256 уникальных IP-адресов в локальной среде. Таким образом, диапазон будет: 192.168.0.0-192.168.0.255. Однако можно использовать только 254 адреса, потому что 192.168.0.0 — это сетевой адрес, который не может быть назначен локальному узлу, а 192.168.0.255 выделен как широковещательный адрес.

Исходя из этого, я мог бы использовать несколько простых встроенных возможностей языка Python для создания списка IP-адресов, представляющих полный диапазон. Эти языковые возможности включают String, List, функцию диапазона и цикл for.

# Укажите базовый сетевой адрес (первые 3 октета)

ipBase = ‘192.168.0.’

# Далее Создайте пустой список, который будет содержать завершенный

# Список IP-адресов

ipList = []

# Наконец, прокрутите список возможных локальных хостов

# адресов 0-255, используя функцию диапазона

# Затем добавьте каждый полный адрес в ipList

# Обратите внимание, что я использую функцию str (ip) в порядке

# объединяю строку ipBase со списком чисел 0-255

для ip в диапазоне (0,256):

ipList.append (ipBase + str (ip))

print ipList.pop ()

Сокращенный вывод программы

192.168.0.0

192.168.0.1

192.168.0.2

192.168.0.3

… .. пропущенные элементы

192.168.0.252

192.168.0.253

192.168.0.254

192.168.0.255

Как видите, манипулировать IP-адресами с помощью стандартных элементов языка Python очень просто. Я воспользуюсь этой техникой в ​​разделе Ping Sweep позже в этой главе.

Простейший сетевой клиент-сервер подключается с помощью сокетов

В качестве знакомства с API сокетов, предоставляемым Python, я создам простой сетевой сервер и клиент. Для этого я буду использовать один и тот же хост (другими словами, клиент и сервер будут использовать один и тот же IP-адрес, выполняющийся на одном компьютере), я специально буду использовать специальный и зарезервированный IP-адрес localhost loopback 127.0.0.1. Этот стандартный петлевой IP-адрес одинаков практически для всех систем и любых сообщений, отправляемых на 127.0.0.1 никогда не достигают внешнего мира, а вместо этого автоматически возвращаются на локальный хост . Когда вы начнете экспериментировать с сетевым программированием, используйте 127.0.0.1 в качестве предпочтительного IP-адреса, пока вы не усовершенствуете свой код и не будете готовы работать в реальной сети (рисунок 8.2).

Рисунок 8.2. Изолированный localhost loopback.

Для этого я фактически создам две программы Python: (1) server.py и (2) client.py. Чтобы это работало, два приложения должны согласовать порт, который будет использоваться для поддержки канала связи.(Мы уже решили использовать замкнутый IP-адрес localhost 127.0.0.1.) Номера портов находятся в диапазоне от 0 до 65 535 (в основном, любое 16-разрядное целое число без знака). Вам следует держаться подальше от портов с меньшими номерами <1024, поскольку они назначены стандартным сетевым службам (фактически зарегистрированные порты теперь достигают 49 500, но ни один из них не находится в моей текущей системе). Для этого приложения я буду использовать порт 5555, поскольку это легко запомнить. Теперь, когда я определил IP-адрес и номер порта, у меня есть вся информация, необходимая для подключения.

IP-адрес и порт: один из способов подумать об этом в более физических терминах. Подумайте об IP-адресе как об адресе почтового отделения, а о Порте как о конкретном почтовом ящике в почтовом отделении, к которому я хочу обратиться.

server.py code

#

# Задача сервера

# 1) Настройка простого прослушивающего сокета

# 2) Дождитесь запроса на соединение

# 3) Примите соединение через порт 5555

# 4) После успешного подключения отправьте сообщение клиенту

#

import socket # Standard Library Socket Module

# Create Socket

myServerSocket = socket.socket ()

# Получить адрес моего локального хоста

localHost = socket.gethostname ()

# Указать локальный порт для приема соединений на

localPort = 5555

# Привязать myServerSocket к localHost и указанному порту

# Обратите внимание, что для вызова привязки требуется один параметр, но этот параметр

# является кортежем (обратите внимание на использование скобок)

myServerSocket.bind ((localHost, localPort))

# Начать прослушивание соединений

myServerSocket.listen (1)

# Ожидание запроса на соединение

# Обратите внимание, что это синхронный вызов

#, что означает, что программа остановится до тех пор, пока

# не будет получено соединение.

# После получения соединения

# мы принимаем соединение и получаем

# ipAddress коннектора

print ‘Python-Forensics …. Waiting for Connection Request’

conn, clientInfo = myServerSocket. accept ()

# Распечатать сообщение, чтобы указать, что мы получили соединение

print ‘Connection Received From:’, clientInfo

# Отправьте сообщение соединителю, используя объект подключения ‘conn’

#, который был возвращен из myServerSocket.accept () call

# Включить в ответ IP-адрес и порт клиента

conn.send (‘Connection Confirmed:’ + ‘IP:’ + clientInfo [0] + ‘Port:’ + str (clientInfo [1 ]))

client.py code

Затем код клиента, который установит соединение с сервером

#

# Client Objective

# 1) Установите клиентское гнездо

# 2) Попытайтесь подключиться к сервер на порту 5555

# 3) Дождитесь ответа

# 4) Распечатайте сообщение, полученное от сервера

#

import socket # Standard Library Socket Module

MAX_BUFFER = 1024 # Установите максимальный размер на получить

# Создать сокет

myClientSocket = socket.socket ()

# Получить адрес моего локального хоста

localHost = socket.gethostname ()

# Указать локальный порт для попытки подключения

localPort = 5555

# Попытаться подключиться к моим localHost и localPort

myClientSocket .connect ((localHost, localPort))

# Ждать ответа

# Это синхронный вызов, то есть

# программа остановится, пока не будет получен ответ

# или пока программа не завершится

msg = myClientSocket.recv (MAX_BUFFER)

print msg

# Закройте Socket, это завершит соединение

myClientSocket.close ()

server.py и выполнение программы client.py

Рисунок 8.3 изображает выполнение программы. Я создал два окна терминала, верхнее — это выполнение server.py (которое я запустил первым), а нижнее — выполнение client.py. Обратите внимание, что клиент взаимодействовал с исходным портом 59,714, который был выбран службой сокетов и не указан в коде клиента.Порт сервера 5555 в этом примере является портом назначения.

Рисунок 8.3. выполнение программы server.py/client.py.

Я понимаю, что это не дает никакой исследовательской ценности, однако дает хорошее фундаментальное понимание того, как работают сетевые сокеты, и это предварительное условие для понимания некоторых программ проверки или расследования.

Общеизвестные номера портов TCP / IP, имена служб и протоколы [Исчерпывающий справочник]

Рекомендации по распределению IANA для номеров портов TCP и UDP

Статус меморандума

Отправляя этот Интернет-проект, каждый автор представляет, что любой применимый патент или другие притязания на интеллектуальную собственность, он или она знает, были или будут раскрыты, и все, о чем ему станет известно, будет раскрыто, в соответствии с Разделом 6 BCP 79.

Интернет-проекты — это рабочие документы Интернет-инжиниринга. Целевая группа (IETF), ее направления и рабочие группы. Обратите внимание, что другие группы также могут распространять рабочие документы как Интернет-шашки.

Интернет-проекты — это проекты документов, срок действия которых составляет не более шести месяцев. и могут быть обновлены, заменены или исключены другими документами в любое время. Использование Интернет-черновиков в качестве справочного материала или цитирования неуместно. их, кроме как «незавершенные работы».

Со списком текущих Интернет-проектов можно ознакомиться по адресу http: // www.ietf.org/ietf/1id-abstracts.txt.

Список Интернет-черновиков теневых каталогов можно найти по адресу http://www.ietf.org/shadow.html.

Срок действия этого Интернет-проекта истекает 21 августа 2008 года.

Аннотация

Этот документ определяет рекомендации IANA по регистрации нового порта. числовые значения для использования с протоколом управления передачей (TCP) и Протокол пользовательских дейтаграмм (UDP). Он обеспечивает понятные процессы для TCP и реестры номеров портов UDP, важные для долгосрочного управления ими.Это обновления RFC2780, заменив разделы 8 и 9.1 этого RFC.

Содержание

1. Введение
2. Терминология
3. Принципы управления пространством номеров портов
4. Порядок распределения пространства номеров портов
4.1. Общие процедуры
4.2. Известные (системные) порты
4.3. Зарегистрированные (пользовательские) порты
4.4. Динамические (частные) порты
5. Дополнительные процедуры для пространства номеров портов
5.1. Отмена регистрации номера порта
5.2. Повторное использование номера порта
5.3. Аннулирование номера порта
6. Соображения безопасности
7. Соображения IANA
8. Благодарности
9. Справочные документы
9.1. Нормативные ссылки
9.2. Информационные ссылки
Приложение A. Открытые вопросы
§ Адреса авторов
§ Заявления об интеллектуальной собственности и авторских правах

1. Введение

Протокол управления передачей (TCP) [RFC0793] (Postel, J., «Протокол управления передачей», сентябрь 1981 г.) и Протокол дейтаграмм пользователя (UDP) [RFC0768] (Постел, Дж., «Протокол дейтаграмм пользователя», август 1980 г.) пользовались замечательным успехом по сравнению с десятилетиями как два наиболее широко используемых транспортных протокола в Интернете. Они ввели понятие портов как логических сущностей, которые заканчиваются системные приложения привязывают свои транспортные сеансы к файлам. Порты идентифицируется 16-битными числами, а также комбинацией источника и номера портов назначения вместе с IP-адресами для связи конечные системы однозначно идентифицируют сеанс данного транспортного протокола.Новые транспортные протоколы, такие как Stream Control Transmission. Протокол (SCTP) [RFC4960] (Стюарт Р., «Протокол передачи управления потоком», сентябрь 2007 г.) и дейтаграмма. Протокол управления перегрузкой (DCCP) [RFC4342] (Флойд, С., Колер, Э. и Дж. Падхай, «Профиль для протокола управления перегрузкой дейтаграмм (DCCP), идентификатор управления перегрузкой 3: TCP-Friendly Rate Control (TFRC)», Март 2006г.) приняли концепцию портов для своих сеансов связи и использования номера портов аналогичны TCP и UDP.

Номера портов являются исходным и наиболее широко используемым средством для идентификация приложений и услуг в Интернете. Дизайнеры приложения и протоколы прикладного уровня могут применяться к Интернету Assigned Numbers Authority (IANA) для зарегистрированного номера порта для конкретное приложение, и может после успешной регистрации предположить, что никакое другое приложение не будет использовать этот номер порта для связи сеансы. Важно отметить, что право собственности на зарегистрированный порт номера остаются в IANA.

На протяжении многих лет выделение и регистрация нового номера порта значения для использования с TCP и UDP имеют менее чем четкие рекомендации. Информация о процедурах регистрации для пространства имен портов существовали в трех местах: формы для запроса регистрации номера порта на веб-сайте IANA [SYSFORM] (Internet Assigned Numbers Authority (IANA), «Приложение для системного (хорошо известного) номера порта».) [USRFORM] (Internet Assigned Numbers Authority (IANA), «Application for User (Registered) Номер порта,» .), вводный текстовый раздел в файле перечисление самих регистраций номеров портов [REGISTRY] (Internet Assigned Numbers Authority (IANA), «Номера портов».) и два кратких раздела [RFC2780] (Bradner, S. и V. Paxson, «IANA Allocation Guidelines for Values»). В Интернет-протоколе и связанных заголовках », март 2000 г.).

Этот документ объединяет эту разрозненную информацию в единый ссылку и в то же время разъясняет руководящие принципы для управление пространством номеров портов TCP и UDP.Он дает более подробные руководство для потенциальных заказчиков портов TCP и UDP, чем существующей документации, и это упрощает процедуры IANA для управление пространством номеров портов, чтобы запросы управления могли завершить своевременно. Ключевым фактором такой оптимизации является установить идентичные процедуры регистрации для транспортного протокола порты, не зависящие от конкретного транспортного протокола. Этот документ приводит процедуры IANA для TCP и UDP в соответствие с теми, которые уже описаны эффект для SCTP и DCCP, в результате чего единый процесс, запрашивающий и IANA следит за всеми запросами номеров портов для всех транспортных протоколов.

Вторая цель этого документа — описать принципы, которые руководить IETF и IANA в их роли долгосрочных совместных распорядителей пространство номера порта. TCP и UDP добились заметного успеха в последние десятилетия. Тысячи приложений и уровня приложений протоколы имеют зарегистрированные порты для их использования, и есть все основания верить, что эта тенденция сохранится и в будущем. Отсюда чрезвычайно важно, чтобы управление пространством номеров портов выполнялось принципы, обеспечивающие его долгосрочную полезность как общий ресурс.В Разделе 3 (Принципы управления пространством номеров портов) эти принципы обсуждаются в деталь.

TCP и UDP используют 16-битные пространства имен для своих реестров номеров портов, как и SCTP и DCCP. Эти реестры портов подразделяются на три портовых диапазонов номеров, а в Разделе 4 (Процедуры выделения пространства номеров портов) описывается IANA подробно процедуры для каждого диапазона:

• Известные порты, также известные как системные порты, от 0 до 1023
• Зарегистрированные порты, также известные как пользовательские порты, от 1024-49151
• динамические порты, также известные как частные порты, из 49152-65535

На момент написания этого документа примерно 76% Были назначены известные порты для TCP и UDP, что было значительным доля зарегистрированных портов.(Динамические порты недоступны для назначение через IANA.)

В дополнение к подробному описанию процедур IANA для начального присвоение номеров портов, в этом документе также указаны дополнительные процедуры, которые до сих пор выполнялись нерегулярно. Эти включить процедуры для отмены регистрации номера порта, который больше не используется, чтобы повторно использовать номер порта, выделенный для одного приложения, которое больше не используется для другое заявление и процедура, с помощью которой IANA может в одностороннем порядке отозвать предыдущая регистрация номера порта.Раздел 5 (Дополнительные процедуры для пространства номеров портов) обсуждает специфика этих процедур.

Наконец, в этом документе также рассматриваются две технические проблемы с портами. реестра, которые имеют непосредственное отношение к долгосрочному управлению. Во-первых, это поясняет, что метод раннего выделения портов TCP и UDP доступны документы рабочей группы IETF в соответствии с [RFC4020] (Kompella, K. и A. Zinin, «Early IANA Allocation of Standards Track Code Points», февраль 2005 г.). Во-вторых, обсуждается, как использование символические имена для назначенных портов (поле «ключевое слово» в [РЕГИСТР] (Internet Assigned Numbers Authority (IANA), «Номера портов».)) для записей ресурсов службы (SRV RR) в Система доменных имен (DNS) [RFC2782] (Гулбрандсен, А., Викси, П. и Л. Есибов, «DNS RR для определения местоположения служб (DNS SRV)», февраль 2000 г.) относится к использование SRV RR для приложений без назначенного порта.

Этот документ обновляет [RFC2780] (Bradner, S.и В. Паксон, «Рекомендации IANA по распределению значений в интернет-протоколе и связанных заголовках», март 2000 г.), заменив Разделы 8 и 9.1 этого RFC. Обратите внимание, что [I ‑ D.arkko ‑ rfc2780 ‑ proto ‑ update] (Аркко, Дж. И С. Браднер, «Рекомендации по выделению ресурсов IANA для поля протокола», январь 2008 г.) обновляет другой подмножество руководящих принципов распределения IANA, первоначально приведенных в [RFC2780] (Bradner, S. и V. Paxson, «IANA Allocation Guidelines for Values ​​In the Internet Protocol and Related Headers», март 2000 г.).) (в частности, политики в пространстве имен номер протокола IP и следующий заголовок IPv6).

2. Терминология

Ключевые слова «ДОЛЖНЫ», «НЕ ДОЛЖНЫ», «ОБЯЗАТЕЛЬНО», «ДОЛЖНЫ», «НЕ ДОЛЖНЫ», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ДОПОЛНИТЕЛЬНО» в этом документ следует интерпретировать, как описано в BCP 14, RFC 2119 [RFC2119] (Bradner, S., «Ключевые слова для использования в RFC для обозначения уровней требований», март 1997 г.).

3. Принципы управления пространством номера порта

Важнейшим принципом, который регулирует процедуры IANA и IETF, регулирующие управление реестром номеров портов для различных транспортных протоколов, является сохранение. Реестр номеров портов является одним из основных ресурсов Интернета и требует тщательного управления. Истощение, вероятно, потребует фундаментальных изменений в Интернет-общении, что нежелательно.

В то же время для всех интернет-приложений очень полезно запрашивать и получать от IANA выделение номеров портов для своих коммуникационных потребностей.Это означает, что, хотя IANA должна требовать и проверять, чтобы заявители на номера портов документировали свое предполагаемое использование в такой степени, которая позволяет техническому эксперту проверять желаемое распределение, этот процесс не должен казаться непреодолимым бременем. В противном случае существует опасность того, что разработчики приложений обратятся к использованию портов недокументированным образом, что вредит Интернет-коммуникациям в целом. Четко сформулированные и мотивированные процедуры поддерживают эту цель.

Важно отметить, что разные процедуры IANA применяются к разным диапазонам реестра номеров портов.В Разделе 4 (Процедуры выделения пространства номеров портов) обсуждаются детали этих процедур; в этом разделе излагаются причины этих различий:

• Порты в диапазоне динамических портов (49152-65535) специально зарезервированы для локального и динамического использования и не могут быть зарегистрированы через IANA. Приложения могут просто использовать их для общения без какой-либо регистрации. С другой стороны, приложения не должны предполагать, что определенный номер порта в диапазоне динамических портов всегда будет доступен для связи в любое время, а номер порта в этом диапазоне, следовательно, не может использоваться в качестве идентификатора службы.
• Порты из диапазона зарегистрированных портов (1024–49151) доступны для регистрации через IANA и могут использоваться в качестве идентификаторов услуг после успешной регистрации. Поскольку регистрация номера порта для конкретного приложения потребляет часть общего ресурса, который является реестром номеров портов, IANA потребует, чтобы запрашивающая сторона задокументировала предполагаемое использование номера порта и попросила технического эксперта изучить эту документацию, чтобы определить, следует ли удовлетворить запрос на регистрацию.Эта документация должна объяснять, почему номер порта в диапазоне динамических портов не подходит для данного приложения.
• Порты из диапазона известных портов (0–1023) также доступны для регистрации через IANA. Поскольку диапазон хорошо известных портов является как самым маленьким, так и наиболее плотно распределенным, планка для новых распределений выше, чем для диапазона зарегистрированных портов (1024–49551). Запрос на номер хорошо известного порта должен указывать, почему номер порта в диапазонах зарегистрированных портов динамических портов не подходит.

Некоторые другие практики вытекают из принципа сохранения, которым руководствуется управление реестром номеров портов.

Во-первых, с одобрения этого документа IANA начнет назначать номера протоколов только для тех транспортных протоколов, которые явно включены в запрос на регистрацию. Это положило конец давней практике автоматического присвоения номера порта приложению как для TCP, так и для UDP, даже если запрос предназначен только для одного из этих транспортных протоколов.Новая процедура распределения экономит ресурсы, выделяя номер порта приложению только для тех транспортных протоколов (TCP, UDP, SCTP и / или DCCP), которые оно фактически использует. Номер порта будет отмечен как зарезервированный, а не назначенный в реестрах номеров портов других транспортных протоколов. Когда приложения начинают поддерживать использование некоторых из этих дополнительных транспортных протоколов, они должны запросить у IANA преобразование резервирования в назначение. Приложение не должно предполагать, что оно может использовать присвоенный ему номер порта для использования с одним транспортным протоколом с другим транспортным протоколом без регистрации в IANA.

Во-вторых, IANA продолжит свою давнюю практику отказа в выделении ресурсов для приложений, которые запрашивают назначение нескольких номеров портов. Зарегистрированные номера портов являются идентификаторами приложений, и очень немногим приложениям требуется несколько идентификаторов. Для приложений, которым в первую очередь требуется зарегистрированный номер порта, подавляющее большинство из них может работать без ограничений, используя один зарегистрированный номер порта. Такие приложения часто могут просто использовать несколько портов, взятых по запросу из диапазона динамических портов, или они могут использовать поле демультиплексирования, которое является частью полезной нагрузки их пакета.

В-третьих, сохранение реестра номеров портов улучшается за счет процедур, позволяющих не назначать ранее назначенные номера портов путем отмены регистрации или аннулирования, а также за счет процедуры, которая позволяет разработчикам приложений передавать неиспользуемый номер порта новому приложению. Раздел 5 (Дополнительные процедуры для пространства номеров портов) описывает эти процедуры, которые до сих пор не были задокументированы.

4. Процедуры выделения пространства номеров портов

4.1. Общие процедуры

Все запросы на регистрацию для портов TCP и / или UDP должны содержать следующие сведения:

Контакт для регистрации:

Имя и адрес электронной почты контактного лица для регистрации. Это обязательно. Дополнительная адресная информация могут быть предоставлены. Для регистраций через опубликованные IETF RFC должны быть указаны одно или несколько технических контактных лиц. В кроме того, в этом случае право собственности на регистрацию будет принадлежать IETF и не технические контактные лица.

Транспортный протокол:

Какой транспорт протокол (ы) — это запрос на регистрацию, TCP, UDP или и то, и другое?

широковещательная или многоадресная рассылка:

Если многоадресная или широковещательная рассылка используется с зарегистрированным портом, описание этого использования требуется.

Имя порта:

Полное имя (описание) порта. Следует избегать всех сокращений, кроме наиболее известных.

Название службы:

Это короткое имя для номера порта: используется в реестре имен служб для DNS SRV RR и имеет 14-символьный максимальная длина.Он не должен конфликтовать с уже выделенными именами в службе. реестр имен [TBD].

Обратите внимание, что определенное приложение или служба должны иметь работать с использованием только одного хорошо известного или зарегистрированного порта. Для приложений или сервисы, предлагающие несколько функций, обычно можно использовать один номер порта для службы мультиплексирования или рандеву. То есть клиент всегда инициирует использование услуги, связавшись с местом встречи номер порта с сообщением, указывающим, какая функция необходима.В служба рандеву, то либо (A) создает (разветвляет, порождает) процесс для выполнения этой функции и передачи ей соединения; или (B) динамически выбирает порт (с высоким номером) и запускает процесс для прослушивает этот номер порта, а затем отправляет сообщение обратно клиенту, сообщающему ему связаться с новым процессом по этому номеру порта.

Когда подтверждена регистрация только для TCP или UDP, номер порта для другого транспортного протокола останется неназначенным, но будет помечен как зарезервированный.Тем не мение, IANA НЕ СЛЕДУЕТ назначать этот номер порта какому-либо другому приложению или службы до тех пор, пока в диапазоне запроса не будет номеров портов, которые u для обоих протоколов. Текущий регистрационный владелец порта number МОЖЕТ зарегистрировать тот же номер порта для других транспортных протоколов, когда это необходимо.

4.2. Хорошо известные (системные) порты

Хорошо известные порты назначаются IANA и покрывают диапазон 0-1023. Во многих системах они могут использоваться только системой (или root) процессами или программами, выполняемыми привилегированными пользователями.

Запросы на регистрацию хорошо известного номера порта ДОЛЖНЫ соответствовать политике IETF Review [I ‑ D.narten ‑ iana ‑ considerations ‑ rfc2434bis] (Нартен, Т. и Х. Альвестранд, «Рекомендации по написанию раздела о соображениях IANA в RFC », март 2008 г.). Регистрации номера порта в этом диапазоне ДОЛЖНЫ документировать, почему номер порта в диапазоне зарегистрированных портов не соответствует потребностям приложения. Регистрации, запрашивающие более одного номера порта для одного приложения в этом пространстве, ДОЛЖНЫ быть отклонены.

Из-за особого характера номеров портов в диапазоне хорошо известных на нескольких платформах [RFC4727] (Феннер, Б., «Экспериментальные значения в заголовках IPv4, IPv6, ICMPv4, ICMPv6, UDP и TCP», ноябрь 2006 г.) зарегистрировал два номера порта в этом диапазоне (1021 и 1022) для временного экспериментального использования. Использование этих двух номеров портов должно соответствовать рекомендациям, изложенным в [RFC3692] (Narten, T., «Назначение экспериментальных и тестовых номеров, считающихся полезными», январь 2004 г.), что наиболее важно, они не являются предназначен для использования в обычных развертываниях или для включения по умолчанию в продуктах или других общих выпусках.Также применяются другие ограничения, определенные в [RFC3692] (Нартен, Т., «Присвоение экспериментальных и тестовых номеров, признанных полезными», январь 2004 г.).

4.3. Зарегистрированные (пользовательские) порты

Зарегистрированные порты назначаются IANA и в большинстве систем могут использоваться обычными пользовательскими процессами или программами, выполняемыми обычными пользователей. Зарегистрированные порты находятся в диапазоне 1024-49151.

Этот диапазон номеров портов является основным для любого приложения или службы. требуется известный и стабильный номер порта на всех хостах.До запрашивая регистрацию, запрашивающие должны внимательно рассмотреть, может ли механизм рандеву, такой как DNS SRV RR, вместе с использованием номеров портов в диапазоне динамических портов, удовлетворить требованиям приложения. Ожидается, что в первую очередь сервисы рандеву или поиска или приложения и сервисы, которые должны работать в средах, где такие сервисы недоступны, должны будут использовать зарегистрированные порты.

Запросы на регистрацию номера зарегистрированного порта ДОЛЖНЫ соответствовать политике «Экспертной проверки» [I ‑ D.narten ‑ iana ‑ considerations ‑ rfc2434bis] (Нартен, Т. и Х. Альвестранд, «Рекомендации по написанию раздела« Вопросы IANA »в RFC», март 2008 г.). Запросы на регистрацию для более чем одного номера порта для одного приложения НЕ РЕКОМЕНДУЮТСЯ и ДОЛЖНЫ иметь чрезвычайно веское обоснование при поступлении.

4.4. Динамические (частные) порты

Диапазон динамических портов: 49152-65535. Эти порты не может быть зарегистрирован через IANA или каким-либо другим способом.IANA ОТКАЗЫВАЕТ все такие запросы на регистрацию.

Частные порты могут использоваться любым приложением в динамическом режиме. Использование частных портов для приложений или служб серверного типа не допускается. возможно за счет использования рандеву или поиска местоположения механизмы, например DNS. Приложения получают конкретный номер динамического порта в конечной системе и регистрируют номер порта контактного порта для этой службы с помощью рандеву или поисковая служба. РЕКОМЕНДУЕТСЯ, чтобы приложение способны использовать такие механизмы, использовать их, чтобы свести к минимуму потребление конечного пространства номеров портов.

5. Дополнительные процедуры для пространства номеров портов

5.1. Отмена регистрации номера порта

Первоначальные лица, запрашивающие предоставленное назначение номера порта, могут вернуть номер порта в IANA в любое время, если есть в этом больше нет необходимости. Номер порта будет отменен и будут отмечены как неназначенные. IANA не будет назначать номера портов, которые были сняты с регистрации до тех пор, пока не будут присвоены все другие доступные номера портов в определенном диапазоне.

Прежде чем продолжить отмену регистрации, IANA необходимо подтвердить, что номер порта фактически больше не используется.

5.2. Повторное использование номера порта

Если исходные лица, запрашивающие предоставленное назначение номера порта, больше не нуждаются в зарегистрированном номере, но хотели бы повторно использовать его для другое приложение, они могут отправить запрос в IANA.

Логически повторное использование номера порта следует рассматривать как отмену регистрации с последующей немедленной перерегистрацией того же номера порта для нового приложения.Следовательно, информация, которая должна быть предоставленное о предлагаемом новом использовании номера порта идентично тому, что необходимо было бы предоставить для распределения нового номера порта для определенного диапазона портов.

IANA необходимо внимательно изучить такие запросы перед их утверждением. В некоторых случаях эксперт-рецензент определить, что приложение, которому был назначен номер порта, использовалось не только для исходного запрашивающего, либо есть опасения, что у него могут быть такие пользователи.Это определение ДОЛЖНО быть сделано быстро. Обращение к сообществу по поводу отзыв номера порта (см. ниже) МОЖЕТ быть рассмотрен, если подозревается использование номера порта.

5.3. Отзыв номера порта

Часто становится ясно, что конкретный номер порта больше не используется и что IANA может отменить его регистрацию и пометить как неназначенный. Но в другом Иногда может быть неясно, используется ли данный присвоенный номер порта где-нибудь в Интернете.В таких случаях, несмотря на желание запрашивающей стороны отменить регистрацию, IANA должна учитывать последствия отмены регистрации номера порта.

С участием с помощью своего эксперта-рецензента, назначенного IESG, IANA ДОЛЖНА сформулируйте запрос в IESG о проведении четырехнедельного обращения к сообществу по поводу ожидающего отзыва номера порта. IESG и IANA при поддержке эксперта-рецензента незамедлительно после окончания обращения сообщества ОПРЕДЕЛЯЮТ необходимость отмены регистрации, а затем сообщают о своем решении сообществу.

6. Соображения безопасности

Рекомендации IANA, описанные в этом документе, не изменяют свойства безопасности TCP или UDP.

Присвоение номера порта никоим образом не означает одобрения приложение или продукт, и тот факт, что сетевой трафик течет к или от зарегистрированного номера порта не означает, что это «хороший» трафик. Брандмауэр и системные администраторы должны выбрать, как настроить свои системы, основанные на их знании рассматриваемого трафика, а не на том, зарегистрирован номер порта или нет.

7. Соображения IANA

Этот документ отменяет разделы 8 и 9.1 [RFC2780] (Брэднер, С. и В. Паксон, «Рекомендации IANA по распределению значений в Интернет-протоколе и связанных заголовках», март 2000 г.). После утверждения этого документа IANA попросили принять описанные здесь процедуры.

Значения в поле источника и назначения UDP могут быть назначены

Значения в полях источника и назначения TCP могут быть назначены

После утверждения этого документа или раньше IESG ДОЛЖНА назначить Экспертный обозреватель портов TCP / UDP для работы с IANA для поддержки порта реестра и соблюдать принципы, описанные в этом документе.В Эксперт-рецензент предоставит IANA быстрый совет относительно того, предоставлять ли присвоение номера порта, в том числе, запрашивает ли более одного транспорт заслуживают внимания. IANA МОЖЕТ попросить эксперта по TCP / UDP совместно просматривайте запрос SCTP или DCCP, если он также запрашивает порт TCP или UDP. Эксперт-рецензент ДОЛЖЕН поддерживать IANA в анализе для определения когда запрос на изменение назначения номера порта или отмену его назначения требует сообщества позвонить по аннулированию номера порта.

8. Благодарности

Ларс Эггерт частично финансируется [TRILOGY] («Проект трилогии».), A исследовательский проект, поддержанный Европейской Комиссией в рамках ее Седьмого Рамочная программа.

9. Список литературы

9.1. Нормативные ссылки

9.2. Информационные ссылки

Приложение А. Открытые выпуски

Этот документ является начальной версией, представленной для обсуждения на IETF-71 в Филадельфии, штат Пенсильвания, США.Ожидается, что в ближайшем будущем почти все разделы этого документа будут подвергнуты значительным изменениям. Здесь нет ничего окончательного.

Адреса авторов

Полное заявление об авторских правах

Авторское право © IETF Trust (2008 г.).

На этот документ распространяются права, лицензии и ограничения, содержащиеся в BCP 78, и кроме случаев, указанных в нем, Авторы сохраняют за собой все свои права.

Этот документ и содержащаяся в нем информация предоставляются на условиях «КАК ЕСТЬ» и УЧАСТНИК, ОРГАНИЗАЦИЯ, ПРЕДСТАВЛЕННАЯ ОН / ОНА ИЛИ СПОНСИРУЕТСЯ (ЕСЛИ ЕСТЬ) ИНТЕРНЕТ-ОБЩЕСТВОМ IETF TRUST И ИНТЕРНЕТ-ИНЖИНИРИНГ ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯ НИКАКИХ ГАРАНТИЙ, ЧТО ИСПОЛЬЗОВАНИЕ ПРИВЕДЕННОЙ ИНФОРМАЦИИ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ ЛЮБЫХ ПРАВ. ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ КОММЕРЧЕСКОЙ ЦЕННОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОГО ЦЕЛЬ.

Интеллектуальная собственность

IETF не занимает никакой позиции относительно действительности или объема каких-либо Права интеллектуальной собственности или другие права, которые могут быть заявлены иметь отношение к реализации или использованию технологии описанные в этом документе, или степень, в которой любая лицензия в соответствии с такими правами может быть, а может и не быть; и не заявляют, что он предпринял какие-либо независимые усилия для выявления любых такие права. Информация о процедурах в отношении права в документах RFC можно найти в BCP 78 и BCP 79.

Копии раскрытия информации о правах интеллектуальной собственности в секретариат IETF и гарантии предоставления лицензий, или результат попытки получить генеральную лицензию или разрешение на использование таких имущественных прав исполнителями или пользователи этой спецификации могут быть получены через IPR IETF в Интернете. репозиторий на http://www.ietf.org/ipr.

IETF приглашает любую заинтересованную сторону довести до ее сведения любые авторские права, патенты или заявки на патенты, или другой права собственности, которые могут распространяться на технологии, которые могут потребоваться для реализации этого стандарта.Пожалуйста, направьте информацию в IETF по адресу [email protected].