IP-alapok

Itt most az IPv4-ről lesz szó. Az IPv6-tal nem foglalkozunk.

1 A protokollcsaládról

• Az IP egy protokollcsalád

Az Internet Protocol az OSI modell hálózati rétegében helyezkedik el. Csomagkapcsolt hálózatot valósít meg, ami annyit jelent, hogy nem épít fel semmilyen kapcsolatot a forrás és a cél között, hanem minden egyes csomagot külön juttat célba (route-ol).

• • ARP (később)
  • IP (Internet Protocol)
    • hálózati rétegbeli
    • datagramm-alapú
    • fejléc:
      • forráscím
      • célcím
      • TTL (Time To Live)
      • magasabb szintű protokoll azonosítója
      • egyéb (pl: DF, Don't Fragment, PMTU discoveryhez)
  • ICMP (Internet Control Message Protocol)
    • hiba- és státuszüzenetek, pl:
      • Echo Request
      • Echo Reply
      • Destination Unreachable
        • Network Unreachable
        • Host Unreachable
        • Protocol Unreachable
        • Port Unreachable
        • Fragmentation Needed
        • Communication Administratively Prohibited
      • Time To Live Exceeded
      • és még jó pár, ritkábban látott másik
  • TCP (Transmission Control Protocol)
    • összeköttetés-alapú
    • garantálja a csomagok helyes sorrendjét
    • újraküldi a csomagokat, ha kell
    • torlódásvezérelt
    • kapcsolatfelépítés:
      • SYN
      • SYN+ACK
      • ACK
    • port fogalma ("lokális multiplexelés")
  • UDP (User/Unreliable Datagram Protocol)
    • itt is van port
    • nincs nyugta
    • nincs torlódásvezérlés
    • a folyam csomagjai elveszhetnek, ill. megjöhetnek rossz sorrendben
  • stb.

1.1 ARP

• Az IP hálózati rétegbeli protokoll
• A hálózati szint alatt még van egy adatkapcsolati és egy fizikai réteg
• Az adatkapcsolatiban is kellhet címzés
• Honnan tudjuk a másik fél adatkapcsolati címét?
• Az IP alatt gyakran van Ethernet, vagy ahhoz hasonló broadcast médium
• Ötlet: ha nem tudjuk a címet, kérdezzük meg!

00:de:ad:be:ef:00 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: arp who-has 1.2.3.4 tell 1.2.3.1
00:f0:0d:d0:0d:00 > 00:de:ad:be:ef:00, ethertype ARP (0x0806), length 60: arp reply 1.2.3.4 is-at 00:f0:0d:d0:0d:00

• Egy darabig megjegyezzük az ARP-táblánkban
• Igen ám, de nem vagyunk mindenkivel egy fizikai hálózaton - a többiek MAC-címét honnan fogjuk megtudni?
• Sehonnan, mert nem is kell.
• => routing

1.2 Az első óra rövid összefoglalása

Az IP-csomagok maximális mérete 65535 bájt (64K) lehet, ez az elméleti maximális csomagméret, amit az alkalmazott fizikai hálózat technológiája jelentősen lecsökkenthet; pl. az Ethernetet alkalmazva maximálisan 1500 bájtos csomagokat tudunk átjuttatni a hálózaton, mert egy Ethernet-keretbe nem fér több adat.

Mivel a különböző helyeken sokféle technológiákat alkalmazhatnak, ezért a nagy csomagokat fel kell darabolni, hogy egy adott hálózati útvonal minden szakaszán átférjenek. Azt a jellemzőt, hogy egy adott fizikai interfészen legfeljebb mekkora IP-csomag küldhető ki, MTU-nak (Maximum Transmission Unit) nevezzük. Az ennél nagyobb csomagokat a routerek automatikusan fragmentálják, ami több szempontból sem jó:

• Ha egy töredék elvész, az egész csomagot újra kell küldeni.
• Nagyobb az overhead (mind a hálózati, mind a processing-).
• A butább tűzfalak minden töredezett IP-csomagot kiszűrnek, mert
  • korábban érvénytelen csomagtöredékekkel DoS-t lehetett megvalósítani és
  • mert csak az első töredék tartalmazza a magasabb szintű protokoll fejlécét, ami alapján a tűzfal szűrni tud.

Annek a kiderítésére, hogy egy teljes útvonalon mi a legkisebb MTU, használható a Path MTU Discovery algoritmus. Az algoritmus úgy működik, hogy a célállomásnak először akkora csomagot próbál küldeni, amekkora a saját MTU-ja azon az interfészen, amelyen az adott cél felé a routing-táblája alapján a csomagokat ki kell küldenie; ezeken a csomagokon beállítja a DF (Don't Fragment) bitet. Ha útközben valamelyik routeren ez a csomag "nem fér át", akkor a router ICMP Fragmentation Needed hibaüzenetet küld a forrásnak, és a csomagot eldobja. Az okosabb routerek azt is megmondják, mekkora lenne az MTU a következő routerig, így a forrás megtudja, mekkora csomaggal próbálkozzon legközelebb. Ha az adott router nem okos, akkor a forrás pl. bináris kereséssel találhatja meg a PMTU-t.

A közismert ping parancs is az ICMP-t használja: ICMP Echo Request üzeneteket küld, a válaszok pedig Echo Reply üzenetek.

A TCP/IP 1 bájton kódolja a felette futó protokollokat. Ha nincs az elküldött kódú protokoll regisztrálva a rendszeren akkor egy Protocol Unreachable hibaüzenetet kapunk. Egy adatcsomag egyben nyugta is lehet, minden elküldött bájtnak van egy szekvencia száma (ISN, Initial Sequence Number). A SYN támadások azon alapulnak, hogy ha csak töredezett csomagokat kapunk, akkor ezeknek bizonyos adatait (ISN-ek ISNc, ISNs, forrás-cél IP-k, Portszám) el kell tárolnunk ahhoz, hogy a csomagot később össze tudjuk rakni, és mivel soha nem tudjuk összerakni egy idő múlva elfogy a memóriánk. Ez ellen a SYN cookies használatával védekezhetünk, ami úgy működik, hogy az ISNs-be belekódoljuk az eltárolni kívánt adatokat, és ezeket a nyugtával visszakapjuk ezért nem kell őket eltárolni.

Connection Spoofing Attack, csak egy Ack(ISNs)-t küldünk és ebből már felépülhet a kapcsolat Az UDP egy összeköttetés mentes protokoll, álltalában különböző streaming, illetve a DNS használja. Az UDP is ugyanúgy rendelkezik portokkal.

Az ARP(Address Resolution Protocol) Ahhoz, hogy a hálózaton kommunikálni tudjuk, ismernünk kell a cél MAC címét is, ezt tudjuk megszerezni az ARP segítségével. A routing tábla karban tartását a route vagy az ip parancsok segítségével tudjuk megtenni.

2 Statikus routing

• Minden gépnek van egy routing-táblája, ilyesmi bejegyzésekkel:

Ha egy adott konkrét A.B.C.D IP-címmel akarunk kommunikálni, a következők szerint járunk el:

• Megnézzük, az IP-cím része-e valamelyik helyi hálózatnak a cím/maszk párok alapján
  • Ha igen, ARP queryt küldünk
    • A válaszban benne lesz a MAC-cím
    • MAC-szinten oda, IP-szinten A.B.C.D-nek címezzük a csomagot
    • Ha nincs ARP-válasz, "host unreachable"
  • Ha nem:
    • Megnézzük, az IP-cím illeszkedik-e valamelyik más routing-bejegyzésünk cím/maszk párosára
      • Ha igen, a csomagot MAC-szinten az adott gatewaynek, IP-szinten A.B.C.D-nek kell címeznünk
        • Vagyis: ARP who-has IP-of-gateway
      • Ha nem, akkor nem tudjuk, merre kell küldeni a csomagot, "network unreachable" ("no route to host")

2.1 A routing-tábla karbantartása

• route parancs:
  • route add -net 1.2.3.0/24 dev eth0
  • route add -host 2.3.4.5 gw 1.2.3.2
    • Az eth0 következik a gw címéből
  • route add -net 3.4.5.128/25 gw 1.2.3.42
  • route add default gw 1.2.3.254
  • route -n

• ip parancs:
  • ip ro add 1.2.3.0/24 dev eth0
  • ip ro add 2.3.4.5/32 via 1.2.3.2
  • ip ro add 3.4.5.128/25 via 1.2.3.42
  • ip ro add default via 1.2.3.254
  • ip ro sh

2.2 Statikus route-ok automatikus felvétele

• Debianon és Ubuntun:

/etc/network/interfaces-be:

iface eth0 inet static

address 1.2.3.1

netmask 255.255.255.0

broadcast 1.2.3.255

network 1.2.3.0

gateway 1.2.3.254

up ip ro add 2.3.4.5/32 via 1.2.3.2

up ip ro add 3.4.5.128/25 via 1.2.3.42

• Red Hat Linuxon:

?

• SuSE Linuxon:

?

• FreeBSD-n:

?

• Solarison:

?

• OpenBSD-n:

?

• Gentoo Linuxon:

A Gentoo a az /etc/init.d/net.lo-ra mutató symlinkekkel operál az ethn interfész felhúzásakor; így ha pl. eth0 és eth1 interfészeket akarunk használni, akkor ln -s net.lo net.eth0 illetve ln -s net.lo net.eth1 a használandó parancsok. Ezek automatikus felhúzása boot után az rc-update add net.eth0 default ill. rc-update add net.eth1 default parancsokkal lehetséges.

Azt, hogy az egyes interfészeket hogyan szeretnénk alapesetben indítani, az /etc/conf.d/net fileban adhatjuk meg. A példa elég értelemszerű:

config_eth0=("192.168.2.210 netmask 255.255.255.0")

routes_eth0=("default gw 192.168.1.254")

itt soroljuk fel a többit is

Jó tudni, hogy az alapértelmezés DHCP. Azaz ha nem adunk meg semmit, de DHCP klienst futtatunk, akkor azzal próbálkozik a rendszer.

--TechyZoltan 2006. szeptember 12., 20:55 (CEST)