Cổng tcp tiêu chuẩn. "cổng và chúng chịu trách nhiệm gì" "cổng là gì và chúng dùng để làm gì" "các giao thức truyền thông trên Internet" "sách hướng dẫn"

lớp vận chuyển

Nhiệm vụ của tầng vận chuyển là truyền dữ liệu giữa các ứng dụng khác nhau chạy trên tất cả các nút mạng. Sau khi một gói được gửi qua IP đến máy tính nhận, dữ liệu phải được gửi đến một quy trình nhận đặc biệt. Mỗi máy tính có thể chạy nhiều quy trình và một ứng dụng có thể có nhiều điểm vào, đóng vai trò là địa chỉ đích cho các gói dữ liệu.

Các gói đến lớp vận chuyển của hệ điều hành được tổ chức thành nhiều hàng đợi đến các điểm vào của các ứng dụng khác nhau. Trong thuật ngữ TCP/IP, những điểm vào này được gọi là cổng.

Giao thức điều khiển truyền dẫn

Giao thức điều khiển truyền dẫn(TCP) (Giao thức điều khiển truyền dẫn) là giao thức TCP/IP bắt buộc được định nghĩa trong RFC 793, "Giao thức điều khiển truyền dẫn (TCP)".

TCP- Đây là giao thức lớp vận chuyển cung cấp khả năng vận chuyển (truyền) luồng dữ liệu, với nhu cầu thiết lập trước kết nối, đảm bảo độ tin cậy về tính toàn vẹn của dữ liệu nhận được và cũng yêu cầu lại dữ liệu trong trường hợp mất dữ liệu hoặc biến dạng. Ngoài ra, giao thức TCP giám sát sự trùng lặp của các gói tin và nếu được phát hiện sẽ hủy các gói tin trùng lặp.

Không giống như giao thức UDP, nó đảm bảo tính toàn vẹn của dữ liệu được truyền và xác nhận của người gửi về kết quả truyền. Được sử dụng trong truyền tệp trong đó việc mất một gói có thể làm hỏng toàn bộ tệp.

TCP cung cấp độ tin cậy của nó thông qua những điều sau đây:

• Dữ liệu từ ứng dụng được chia thành các khối có kích thước nhất định sẽ được gửi đi.
• Khi TCP gửi một phân đoạn, nó sẽ đặt bộ hẹn giờ, chờ xác nhận trên phân đoạn đó từ đầu xa. Nếu không nhận được xác nhận sau khi hết thời gian, phân đoạn sẽ được truyền lại.
• Khi TCP nhận được dữ liệu từ phía xa của kết nối, nó sẽ gửi một xác nhận. Xác nhận này không được gửi ngay lập tức mà thường bị trễ trong một phần giây
• TCP thực hiện tính toán tổng kiểm tra cho tiêu đề và dữ liệu của nó. Đây là tổng kiểm tra được tính ở các đầu kết nối, mục đích là để phát hiện bất kỳ thay đổi nào về dữ liệu trong quá trình truyền. Nếu một phân đoạn đến với tổng kiểm tra không hợp lệ, TCP sẽ loại bỏ nó và không có xác nhận nào được tạo. (Người gửi dự kiến ​​sẽ hết thời gian chờ và truyền lại.)
• Vì các phân đoạn TCP được truyền dưới dạng các gói dữ liệu IP và các gói dữ liệu IP có thể đến một cách ngẫu nhiên, các phân đoạn TCP cũng có thể đến một cách ngẫu nhiên. Sau khi nhận dữ liệu, TCP có thể sắp xếp lại chúng khi cần thiết để ứng dụng nhận dữ liệu theo đúng thứ tự.
• Vì một gói dữ liệu IP có thể được sao chép, nên TCP nhận PHẢI loại bỏ dữ liệu trùng lặp.
• TCP kiểm soát luồng dữ liệu. Mỗi bên của kết nối TCP có một không gian bộ đệm cụ thể. TCP ở bên nhận chỉ cho phép bên từ xa gửi dữ liệu nếu bên nhận có thể đệm nó. Điều này ngăn các máy chủ chậm làm tràn bộ đệm với các máy chủ nhanh.

• Số thứ tự thực hiện hai việc:
• Nếu cờ SYN được đặt, thì giá trị ban đầu của số thứ tự này là ISN (Số thứ tự ban đầu) và byte dữ liệu đầu tiên được truyền trong gói tiếp theo sẽ có số thứ tự bằng ISN + 1.
• Mặt khác, nếu SYN không được đặt, byte dữ liệu đầu tiên được truyền trong gói này có số thứ tự này.
• Số báo nhận - Nếu cờ ACK được đặt, thì trường này chứa số thứ tự mà người nhận mong đợi vào lần tiếp theo. Đánh dấu phân đoạn này là xác nhận đã nhận.
• Độ dài tiêu đề - được đặt bằng từ 32 bit.
• Kích thước cửa sổ là số byte mà người nhận sẵn sàng chấp nhận mà không cần báo nhận.
• Tổng kiểm tra - bao gồm tiêu đề giả, tiêu đề và dữ liệu.
• Con trỏ khẩn cấp - cho biết byte cuối cùng của dữ liệu khẩn cấp cần phản hồi ngay lập tức.
• URG - cờ khẩn cấp, bao gồm trường "Con trỏ khẩn cấp", nếu = 0 thì trường này bị bỏ qua.
• ACK - cờ xác nhận, bao gồm trường "Số xác nhận", nếu = 0 thì trường này bị bỏ qua.
• PSH - cờ yêu cầu thao tác đẩy, mô-đun TCP phải khẩn trương chuyển gói đến chương trình.
• RST - cờ hủy kết nối, được sử dụng để từ chối kết nối
• SYN - cờ đồng bộ hóa số sê-ri, được sử dụng khi thiết lập kết nối.
• FIN - cờ kết thúc truyền của người gửi

Xem xét cấu trúc tiêu đề TCP sử dụng bộ phân tích mạng Wireshark:

cổng TCP

Vì một số chương trình có thể chạy trên cùng một máy tính, nên một mã định danh duy nhất cho mỗi chương trình hoặc số cổng được sử dụng để phân phối gói TCP tới một chương trình cụ thể.

số cổng là một số 16 bit có điều kiện từ 1 đến 65535 cho biết gói này dành cho chương trình nào.

Các cổng TCP sử dụng một cổng chương trình cụ thể để phân phối dữ liệu được truyền bằng Giao thức Điều khiển Truyền (TCP). Các cổng TCP phức tạp hơn và hoạt động khác với các cổng UDP. Trong khi một cổng UDP hoạt động như một hàng đợi tin nhắn đơn lẻ và là một điểm vào cho kết nối UDP, thì điểm vào cuối cùng cho tất cả các kết nối TCP là một kết nối duy nhất. Mỗi kết nối TCP được xác định duy nhất bởi hai điểm vào.

Mỗi cổng máy chủ TCP riêng lẻ có thể chia sẻ nhiều kết nối vì tất cả các kết nối TCP được xác định bằng hai giá trị: địa chỉ IP và cổng TCP (ổ cắm).

Tất cả các số cổng TCP nhỏ hơn 1024 đều được bảo lưu và đăng ký với Cơ quan cấp số được gán Internet (IANA).

Số cổng UDP và TCP không trùng nhau.

Các chương trình TCP sử dụng các số cổng dành riêng hoặc nổi tiếng, như thể hiện trong hình dưới đây.

Thiết lập kết nối TCP

Bây giờ chúng ta hãy xem các kết nối TCP được thiết lập như thế nào. Giả sử một tiến trình đang chạy trên một máy chủ muốn thiết lập kết nối với một tiến trình khác trên một máy chủ khác. Nhớ lại rằng máy chủ bắt đầu kết nối được gọi là "máy khách", trong khi máy chủ khác được gọi là "máy chủ".

Trước khi truyền bất kỳ dữ liệu nào, theo giao thức TCP, các bên phải thiết lập kết nối. Kết nối được thiết lập trong ba giai đoạn (quá trình "bắt tay ba lần" của TCP).

• Người yêu cầu (thường được gọi là máy khách) gửi một đoạn SYN cho biết số cổng của máy chủ mà máy khách muốn kết nối và số thứ tự ban đầu của máy khách (ISN).
• Máy chủ trả lời bằng phân đoạn SYN chứa số thứ tự ban đầu của máy chủ. Máy chủ cũng xác nhận SYN của máy khách bằng ACK (ISN + 1). Một số thứ tự duy nhất được sử dụng cho mỗi SYN.
• Máy khách phải xác nhận sự xuất hiện của SYN từ máy chủ với các phân đoạn SYN của nó chứa số thứ tự ban đầu của máy khách (ISN+1) và sử dụng ACK (ISN+1). Bit SYN được đặt thành 0 vì kết nối đã được thiết lập.

Khi kết nối TCP được thiết lập, hai máy chủ này có thể truyền dữ liệu cho nhau, vì kết nối TCP là song công hoàn toàn, chúng có thể truyền dữ liệu cùng một lúc.

Giao thức TCP/IP là nền tảng của Internet, qua đó các máy tính gửi và nhận thông tin từ mọi nơi trên thế giới, bất kể vị trí địa lý. Truy cập máy tính TCP/IP ở một quốc gia khác dễ dàng như truy cập máy tính ở phòng bên cạnh. Quy trình truy cập giống hệt nhau trong cả hai trường hợp, mặc dù có thể mất thêm vài mili giây để kết nối với máy ở một quốc gia khác. Nhờ đó, công dân của bất kỳ quốc gia nào cũng có thể dễ dàng mua sắm tại Amazon.com; tuy nhiên, do sự gần gũi về mặt logic, nhiệm vụ bảo vệ thông tin trở nên phức tạp hơn: bất kỳ chủ sở hữu máy tính nào được kết nối Internet ở bất kỳ đâu trên thế giới đều có thể cố gắng thiết lập kết nối trái phép với bất kỳ máy nào khác.

Các chuyên gia CNTT có trách nhiệm cài đặt tường lửa và hệ thống để phát hiện lưu lượng truy cập đáng ngờ. Gói đánh hơi trích xuất thông tin về địa chỉ IP nguồn và đích và các cổng mạng có liên quan. Giá trị của cổng mạng không thua kém địa chỉ IP; đây là những tiêu chí quan trọng nhất để phân tách lưu lượng hữu ích khỏi các gói sai và có hại vào và rời khỏi mạng. Phần lớn lưu lượng truy cập mạng Internet bao gồm các gói TCP và UDP, chứa thông tin về các cổng mạng được máy tính sử dụng để điều hướng lưu lượng truy cập từ ứng dụng này sang ứng dụng khác. Điều kiện tiên quyết đối với tường lửa và bảo mật mạng là sự hiểu biết thấu đáo của quản trị viên về cách máy tính và thiết bị mạng sử dụng các cổng này.

khám phá cảng

Biết các nguyên tắc cơ bản của cổng mạng sẽ hữu ích cho bất kỳ quản trị viên hệ thống nào. Với kiến ​​thức cơ bản về thiết kế cổng TCP và UDP, quản trị viên có thể chẩn đoán độc lập ứng dụng mạng bị lỗi hoặc bảo mật máy tính truy cập Internet mà không cần gọi kỹ sư mạng hoặc tư vấn tường lửa.

Phần đầu tiên của bài viết này (gồm hai phần) mô tả các khái niệm cơ bản cần thiết để xem xét các cổng mạng. Vị trí của các cổng mạng trong mô hình mạng tổng thể và vai trò của các cổng mạng và tường lửa NAT (Network Address Translation - dịch địa chỉ mạng) trong các kết nối của máy tính công ty với Internet sẽ được trình bày. Cuối cùng, các điểm mạng sẽ được chỉ định ở nơi thuận tiện để xác định và lọc lưu lượng mạng trên các cổng mạng tương ứng. Phần 2 xem xét một số cổng được sử dụng bởi các ứng dụng và hệ điều hành phổ biến và giới thiệu một số công cụ tìm cổng mở trên mạng.

Tổng quan ngắn gọn về các giao thức mạng

TCP/IP là một tập hợp các giao thức mạng thông qua đó các máy tính giao tiếp với nhau. Bộ TCP/IP không gì khác hơn là các đoạn mã được cài đặt trên hệ điều hành cung cấp quyền truy cập vào các giao thức này. TCP/IP là một tiêu chuẩn, vì vậy các ứng dụng TCP/IP trên máy Windows sẽ giao tiếp thành công với một ứng dụng tương tự trên máy UNIX. Trong những ngày đầu của mạng, vào năm 1983, các kỹ sư đã phát triển Mô hình Khả năng tương tác OSI bảy lớp để mô tả cách các máy tính giao tiếp qua mạng, từ cáp đến ứng dụng. Mô hình OSI bao gồm vật lý, liên kết dữ liệu, mạng, truyền tải, biểu diễn phiên của dữ liệu và các lớp ứng dụng. Các quản trị viên thường xuyên làm việc với Internet và TCP/IP chủ yếu quan tâm đến các lớp mạng, truyền tải và ứng dụng, nhưng các lớp khác phải được biết để chẩn đoán thành công. Bất chấp tuổi đời đáng kể của mô hình OSI, nhiều chuyên gia vẫn sử dụng nó. Ví dụ, khi một kỹ sư mạng nói về chuyển mạch lớp 1 hoặc lớp 2 và nhà cung cấp tường lửa nói về kiểm soát lớp 7, họ đang đề cập đến các lớp được xác định trong mô hình OSI.

Bài viết này nói về các cổng mạng nằm ở lớp 4 - vận chuyển. Trong bộ TCP/IP, các cổng này được sử dụng bởi các giao thức TCP và UDP. Nhưng trước khi chúng ta đi vào chi tiết của một lớp, cần xem nhanh bảy lớp OSI và vai trò của chúng trong các mạng TCP/IP hiện đại.

Lớp 1 và 2: cáp vật lý và địa chỉ MAC

Lớp 1, lớp vật lý, đại diện cho phương tiện thực tế mà tín hiệu truyền đi, chẳng hạn như cáp đồng, cáp quang hoặc tín hiệu vô tuyến (trong trường hợp Wi-Fi). Lớp 2, kênh, mô tả định dạng dữ liệu để truyền trong môi trường vật lý. Ở lớp 2, các gói được tổ chức thành các khung và các chức năng xử lý lỗi và kiểm soát luồng cơ bản có thể được thực hiện. Chuẩn IEEE 802.3, còn được gọi là Ethernet, là chuẩn lớp 2 được sử dụng rộng rãi nhất cho các mạng cục bộ ngày nay. Một bộ chuyển đổi mạng điển hình là một thiết bị lớp 2 thông qua đó nhiều máy tính kết nối và giao tiếp vật lý với nhau. Đôi khi hai máy tính không thể kết nối với nhau mặc dù địa chỉ IP có vẻ đúng: Lỗi trong bộ nhớ đệm ARP (Giao thức phân giải địa chỉ) có thể là nguyên nhân gây ra sự cố, cho biết có sự cố ở lớp 2. Ngoài ra, một số điểm truy cập không dây (Điểm truy cập, AP) cung cấp tính năng lọc địa chỉ MAC, chỉ cho phép các bộ điều hợp mạng có địa chỉ MAC cụ thể kết nối với một AP không dây.

Lớp 3 và 4: Địa chỉ IP và cổng mạng

Lớp 3, mạng, hỗ trợ định tuyến. Trong TCP/IP, định tuyến được thực hiện trong IP. Địa chỉ IP của gói thuộc lớp 3. Bộ định tuyến mạng là thiết bị lớp 3 phân tích địa chỉ IP của gói và chuyển tiếp gói đến bộ định tuyến khác hoặc gửi gói đến máy tính cục bộ. Nếu một gói đáng ngờ được tìm thấy trên mạng, bước đầu tiên là kiểm tra địa chỉ IP của gói để xác định nơi gói bắt nguồn.

Cùng với lớp mạng, lớp 4 (vận chuyển) là điểm khởi đầu tốt để chẩn đoán các sự cố mạng. Trên Internet, lớp 4 chứa các giao thức TCP và UDP và thông tin về cổng mạng liên kết một gói với một ứng dụng cụ thể. Ngăn xếp mạng của máy tính sử dụng liên kết cổng mạng TCP hoặc UDP với một ứng dụng để hướng lưu lượng truy cập mạng đến ứng dụng đó. Ví dụ: cổng TCP 80 được liên kết với ứng dụng máy chủ Web. Việc ánh xạ các cổng tới các ứng dụng này được gọi là một dịch vụ.

TCP và UDP là khác nhau. Về cơ bản, TCP cung cấp một kết nối đáng tin cậy để trao đổi dữ liệu giữa hai ứng dụng. Trước khi giao tiếp có thể bắt đầu, hai ứng dụng phải thiết lập kết nối bằng cách làm theo quy trình bắt tay TCP gồm ba bước. UDP giống như cách tiếp cận "thiết lập và quên nó đi". Độ tin cậy của giao tiếp cho các ứng dụng TCP được cung cấp bởi giao thức, trong khi ứng dụng UDP phải tự kiểm tra độ tin cậy của kết nối.

Cổng mạng là một số từ 1 đến 65535 được chỉ định và được cả hai ứng dụng đang giao tiếp biết đến. Ví dụ: máy khách thường gửi truy vấn không được mã hóa đến máy chủ tại địa chỉ đích trên cổng TCP 80. Thông thường, máy tính gửi truy vấn DNS đến máy chủ DNS tại địa chỉ đích trên cổng UDP 53. Máy khách và máy chủ có một nguồn và địa chỉ IP đích, cũng như cổng mạng nguồn và đích, có thể khác nhau. Trước đây, tất cả các số cổng dưới 1024 được gọi là "số cổng nổi tiếng" và được đăng ký với IANA (Cơ quan cấp số được gán Internet). Trên một số hệ điều hành, chỉ các quy trình hệ thống mới có thể sử dụng các cổng trong phạm vi này. Ngoài ra, các tổ chức có thể đăng ký các cổng từ 1024 đến 49151 với IANA để liên kết cổng với ứng dụng của họ. Việc đăng ký này cung cấp một cấu trúc giúp tránh xung đột giữa các ứng dụng đang tìm cách sử dụng cùng một số cổng. Tuy nhiên, nói chung, không có gì ngăn cản một ứng dụng yêu cầu một cổng cụ thể nếu nó không được sử dụng bởi một chương trình đang hoạt động khác.

Trước đây, một máy chủ có thể nghe trên số cổng thấp và máy khách có thể bắt đầu kết nối từ số cổng cao (lớn hơn 1024). Ví dụ: một máy khách Web có thể mở một kết nối đến máy chủ Web trên cổng đích 80, nhưng lại liên kết một cổng nguồn được chọn ngẫu nhiên, chẳng hạn như cổng TCP 1025. Khi trả lời máy khách, máy chủ Web gửi địa chỉ gói cho máy khách bằng nguồn. cổng 80 và cổng đích 1025. Sự kết hợp giữa địa chỉ IP và cổng được gọi là ổ cắm và phải là duy nhất trên máy tính. Vì lý do này, khi thiết lập máy chủ Web với hai trang Web riêng biệt trên cùng một máy tính, bạn phải sử dụng nhiều địa chỉ IP, chẳng hạn như địa chỉ 1:80 và địa chỉ 2:80 hoặc định cấu hình máy chủ Web để lắng nghe trên nhiều cổng mạng, chẳng hạn như như địa chỉ1:80 và địa chỉ1:81. Một số máy chủ Web cung cấp nhiều trang Web trên một cổng bằng cách yêu cầu tiêu đề máy chủ, nhưng chức năng này thực sự được thực hiện bởi ứng dụng máy chủ Web ở lớp 7 cao hơn.

Khi các tính năng kết nối mạng xuất hiện trong các hệ điều hành và ứng dụng, các lập trình viên bắt đầu sử dụng các cổng trên 1024 mà không cần đăng ký tất cả các ứng dụng với IANA. Bằng cách tìm kiếm trên Internet bất kỳ cổng mạng nào, bạn thường có thể nhanh chóng tìm thấy thông tin về các ứng dụng sử dụng cổng đó. Hoặc bạn có thể tìm kiếm các Cổng nổi tiếng và tìm thấy nhiều trang web có danh sách các cổng phổ biến nhất.

Khi chặn các ứng dụng mạng của máy tính hoặc khắc phục lỗi tường lửa, phần lớn công việc là phân loại và lọc địa chỉ IP Lớp 3, giao thức Lớp 4 và cổng mạng. đã sử dụng cổng TCP và UDP.

Học cách nhận biết và làm quen với các cổng mạng không giới hạn ở việc gán các quy tắc tường lửa. Ví dụ: một số bản vá bảo mật của Microsoft mô tả cách đóng các cổng NetBIOS. Biện pháp này cho phép bạn hạn chế sự lây lan của "sâu" xâm nhập qua các lỗ hổng của hệ điều hành. Biết cách thức và vị trí đóng các cổng này có thể giúp giảm thiểu rủi ro bảo mật cho mạng của bạn trong khi chuẩn bị triển khai một bản vá quan trọng.

Và thẳng đến cấp 7

Ngày nay, bạn hiếm khi nghe nói về lớp 5 (phiên) và lớp 6 (bản trình bày), nhưng lớp 7 (ứng dụng) là một chủ đề nóng giữa các nhà cung cấp tường lửa. Xu hướng mới nhất trong việc phát triển tường lửa mạng là Kiểm tra lớp 7, mô tả các phương pháp được sử dụng để phân tích cách một ứng dụng hoạt động với các giao thức mạng. Bằng cách phân tích tải trọng của gói mạng, tường lửa có thể xác định tính hợp pháp của lưu lượng truy cập đi qua nó. Ví dụ: yêu cầu Web chứa câu lệnh GET bên trong gói lớp 4 (cổng TCP 80). Nếu tường lửa thực hiện các chức năng của lớp 7, thì bạn có thể kiểm tra tính chính xác của câu lệnh GET. Một ví dụ khác là nhiều chương trình chia sẻ tệp ngang hàng (P2P) có thể chiếm quyền điều khiển cổng 80. Do đó, một người không được ủy quyền có thể định cấu hình chương trình để sử dụng một cổng mà họ chọn - rất có thể là một cổng nên để mở trong tường lửa này. Nếu nhân viên của công ty cần truy cập Internet, cổng 80 phải được mở, nhưng để phân biệt giữa lưu lượng truy cập Web hợp pháp và lưu lượng P2P do ai đó chỉ đạo trên cổng 80, tường lửa phải cung cấp khả năng kiểm soát lớp 7.

Vai trò của tường lửa

Sau khi mô tả các lớp mạng, chúng ta có thể chuyển sang mô tả cơ chế giao tiếp giữa các ứng dụng mạng thông qua tường lửa, đặc biệt chú ý đến các cổng mạng được sử dụng. Trong ví dụ sau, trình duyệt máy khách giao tiếp với máy chủ Web ở phía bên kia của tường lửa, tương tự như cách nhân viên của một công ty giao tiếp với máy chủ Web trên Internet.

Hầu hết các tường lửa Internet hoạt động ở lớp 3 và 4 để kiểm tra và sau đó cho phép hoặc chặn lưu lượng truy cập mạng vào và ra. Nói chung, quản trị viên thiết lập danh sách kiểm soát truy cập (ACL) xác định địa chỉ IP và cổng mạng của lưu lượng để chặn hoặc cho phép. Ví dụ: để truy cập Web, bạn cần khởi chạy trình duyệt và trỏ nó đến một trang Web. Máy tính bắt đầu kết nối gửi đi bằng cách gửi một chuỗi các gói IP bao gồm tiêu đề và tải trọng. Tiêu đề chứa thông tin về tuyến đường và các thuộc tính khác của gói. Các quy tắc tường lửa thường bao gồm thông tin định tuyến và thường chứa địa chỉ IP nguồn và đích (lớp 3) và giao thức gói (lớp 4). Khi duyệt Web, địa chỉ IP đích thuộc về máy chủ Web, giao thức và cổng đích (theo mặc định) là TCP 80. Địa chỉ IP nguồn là địa chỉ của máy tính mà người dùng truy cập Web và nguồn cổng thường là một số được gán động, lớn hơn 1024. Tải trọng không phụ thuộc vào tiêu đề và được tạo bởi ứng dụng người dùng; trong trường hợp này, đó là yêu cầu máy chủ Web cung cấp trang Web.

Tường lửa phân tích lưu lượng gửi đi và cho phép nó tuân theo các quy tắc tường lửa. Nhiều công ty cho phép tất cả lưu lượng gửi đi từ mạng của họ. Cách tiếp cận này đơn giản hóa việc thiết lập và triển khai, nhưng việc thiếu kiểm soát dữ liệu rời khỏi mạng làm giảm tính bảo mật. Ví dụ: một con ngựa thành Troy có thể lây nhiễm một máy tính trong mạng doanh nghiệp và gửi thông tin từ máy tính đó đến một máy tính khác trên Internet. Thật hợp lý khi tạo danh sách kiểm soát truy cập để chặn thông tin gửi đi như vậy.

Không giống như cách tiếp cận của nhiều tường lửa đối với lưu lượng gửi đi, hầu hết được cấu hình để chặn lưu lượng đến. Thông thường, tường lửa chỉ cho phép lưu lượng đến trong hai trường hợp. Đầu tiên là lưu lượng truy cập đáp ứng yêu cầu gửi đi được người dùng gửi trước đó. Ví dụ: nếu bạn trỏ trình duyệt của mình tới một địa chỉ trang Web, tường lửa sẽ cho phép mã HTML và các thành phần khác của trang Web vào mạng. Trường hợp thứ hai là lưu trữ một dịch vụ nội bộ trên Internet, chẳng hạn như máy chủ thư, trang Web hoặc trang FTP. Lưu trữ một dịch vụ như vậy thường được gọi là dịch cổng hoặc xuất bản máy chủ. Việc triển khai dịch cổng khác nhau giữa các nhà cung cấp tường lửa khác nhau, nhưng nguyên tắc cơ bản là giống nhau. Quản trị viên xác định một dịch vụ, chẳng hạn như cổng TCP 80 cho máy chủ Web và một máy chủ nội bộ để lưu trữ dịch vụ. Nếu các gói đi vào tường lửa thông qua giao diện bên ngoài tương ứng với dịch vụ này, thì cơ chế dịch cổng sẽ chuyển tiếp chúng đến một máy tính mạng cụ thể ẩn sau tường lửa. Chuyển tiếp cổng được sử dụng cùng với dịch vụ NAT được mô tả bên dưới.

Khái niệm cơ bản về NAT

Với NAT, nhiều máy tính trong một công ty có thể chia sẻ một vùng địa chỉ IP công cộng nhỏ. Máy chủ DHCP của công ty có thể phân bổ địa chỉ IP từ một trong các khối địa chỉ IP riêng, không thể định tuyến Internet được xác định trong Yêu cầu nhận xét (RFC) # 1918. Nhiều công ty cũng có thể chia sẻ cùng một không gian địa chỉ IP riêng. Ví dụ về mạng con IP riêng là 10.0.0.0/8, 172.16.0.0/12 và 192.168.0.0/16. Bộ định tuyến Internet chặn bất kỳ gói nào dành cho một trong các địa chỉ riêng. NAT là một tính năng tường lửa cho phép các công ty sử dụng địa chỉ IP riêng để giao tiếp với các máy tính khác trên Internet. Tường lửa biết cách dịch lưu lượng truy cập vào và ra thành các địa chỉ IP nội bộ riêng tư để mọi máy tính đều có thể truy cập Internet.

Trên hình. Hình 1 cho thấy sơ đồ cơ bản của kết nối NAT giữa máy khách và máy chủ Web. Ở bước 1, lưu lượng dành cho Internet từ một máy tính trong mạng công ty sẽ đi vào giao diện bên trong của tường lửa. Tường lửa nhận gói tin và tạo một mục trong bảng theo dõi kết nối để quản lý việc dịch địa chỉ. Sau đó, tường lửa sẽ thay thế địa chỉ nguồn riêng của gói bằng địa chỉ IP công cộng chung của chính nó và gửi gói đến đích của nó trên Internet (bước 2). Máy tính đích nhận gói tin và gửi phản hồi tới tường lửa (bước 3). Khi nhận được gói này, tường lửa sẽ tra cứu người gửi gói ban đầu trong bảng theo dõi kết nối, thay thế địa chỉ IP đích bằng địa chỉ IP riêng tương ứng và chuyển tiếp gói đến máy tính nguồn (bước 4). Bởi vì tường lửa gửi các gói thay mặt cho tất cả các máy tính nội bộ, nó thay đổi cổng mạng nguồn và thông tin này được lưu trữ trong bảng theo dõi kết nối của tường lửa. Điều này là cần thiết để các ổ cắm đi vẫn là duy nhất.

Điều quan trọng là phải hiểu cách thức hoạt động của NAT vì NAT thay đổi địa chỉ IP và cổng mạng của các gói lưu lượng. Sự hiểu biết này giúp khắc phục sự cố. Ví dụ, nó trở nên rõ ràng tại sao cùng một lưu lượng truy cập có thể có các địa chỉ IP và cổng mạng khác nhau trên các giao diện bên ngoài và bên trong của tường lửa.

Móng trước, kết cấu sau

Hiểu các nguyên tắc cơ bản của mạng từ phía ứng dụng, tường lửa và cổng không chỉ dành cho các kỹ sư mạng. Ngày nay, rất hiếm khi tìm thấy một hệ thống máy tính không được kết nối với mạng và ngay cả quản trị viên hệ thống cũng thấy việc giải quyết vấn đề của họ dễ dàng hơn nhiều bằng cách hiểu ít nhất những điều cơ bản về cách sử dụng cổng mạng để giao tiếp ứng dụng qua Internet.

Trong phần thứ hai của bài viết, chúng ta sẽ xem xét các công cụ khám phá các ứng dụng trên mạng bằng cách phân tích các cổng mạng liên quan. Để tìm các ứng dụng mở cổng nghe và khả dụng qua mạng, máy tính sẽ được thăm dò qua mạng (quét cổng) và cục bộ (quét máy chủ). Ngoài ra, bằng cách xem nhật ký tường lửa, bạn có thể kiểm tra lưu lượng mạng đi qua ranh giới mạng và xem các cổng mạng khác nhau được sử dụng bởi các ứng dụng Windows và UNIX.

Nguồn: Wikipedia, Microsoft, portcan.ru

Làm cách nào để biết cổng nào đang mở trên máy tính?

1. Đối với Windows: Bắt đầu → "cmd" → Chạy với tư cách quản trị viên → "netstat -bn"
2. Trong một chương trình chống vi-rút như Avast, có thể xem các cổng hoạt động trong Tường lửa: Công cụ -> Tường lửa -> Kết nối mạng.

Các lệnh netstat cũng hữu ích:

Để hiển thị cả thống kê Ethernet và thống kê cho tất cả các giao thức, hãy nhập lệnh sau:

netstat -e -s

Để chỉ hiển thị số liệu thống kê cho các giao thức TCP và UDP, hãy nhập lệnh sau:

netstat -s -p tcp udp

Để hiển thị các kết nối TCP đang hoạt động và ID tiến trình cứ sau 5 giây, hãy nhập lệnh sau:

nbtstat -o 5

Để hiển thị các kết nối TCP đang hoạt động và ID tiến trình bằng dạng số, hãy nhập lệnh sau:

nbtstat -n -o

Đối với ổ cắm TCP, các giá trị trạng thái sau đây là hợp lệ:

Danh sách các cổng thông dụng nhất

Trong mạng máy tính, một cổng là điểm cuối giao tiếp trong hệ điều hành. Thuật ngữ này cũng được sử dụng cho các thiết bị phần cứng, nhưng trong phần mềm, nó là một cấu trúc logic xác định một quy trình hoặc dịch vụ cụ thể.

Một cổng luôn được liên kết với một địa chỉ IP máy chủ và một loại, do đó hoàn thành việc gán địa chỉ phiên. Nó được xác định cho từng địa chỉ và giao thức bằng một số 16 bit thường được gọi là số cổng. Số cổng cụ thể thường được sử dụng để xác định các dịch vụ cụ thể. Trong số hàng ngàn số được liệt kê, 1024 số cổng nổi tiếng được bảo vệ theo quy ước để xác định các loại dịch vụ cụ thể trên máy chủ. Các giao thức chủ yếu sử dụng cổng là để điều khiển tiến trình (như Giao thức điều khiển truyền dẫn (TCP) và Giao thức gói dữ liệu người dùng (UDP) của bộ giao thức Internet).

Nghĩa

Các cổng TCP không cần thiết đối với các liên kết điểm-điểm trực tiếp khi các máy tính ở mỗi đầu chỉ có thể chạy một chương trình tại một thời điểm. Chúng trở nên cần thiết sau khi các máy có thể chạy nhiều chương trình cùng một lúc và được kết nối với các mạng chuyển mạch gói hiện đại. Trong mô hình kiến ​​trúc máy khách-máy chủ của ứng dụng, các cổng và máy khách mạng được kết nối để bắt đầu dịch vụ, cung cấp các dịch vụ ghép kênh, sau khi giao tiếp ban đầu được liên kết với một số cổng đã biết và nó được giải phóng bằng cách chuyển đổi từng phiên bản dịch vụ yêu cầu sang một phiên bản thuê đường kẻ. Một kết nối được thực hiện với một số cụ thể và nhờ đó, các khách hàng bổ sung có thể được phục vụ mà không phải chờ đợi.

Chi tiết

Các giao thức truyền dữ liệu - Giao thức điều khiển truyền (TCP) và Giao thức gói dữ liệu người dùng (UDP) - được sử dụng để chỉ ra số cổng đích và nguồn trong tiêu đề phân đoạn của chúng. Số cổng là một số nguyên không dấu 16 bit. Vì vậy, nó có thể nằm trong khoảng từ 0 đến 65535.

Tuy nhiên, các cổng TCP không thể sử dụng số 0. Cổng nguồn cho UDP là tùy chọn và giá trị bằng 0 có nghĩa là không có.

Một quy trình liên kết các kênh đầu vào hoặc đầu ra của nó qua một ổ cắm internet (một loại bộ mô tả tệp) bằng giao thức truyền tải, số cổng và địa chỉ IP. Quá trình này được gọi là liên kết và nó cho phép dữ liệu được gửi và nhận qua mạng.

Hệ điều hành chịu trách nhiệm truyền dữ liệu đi từ tất cả các cổng ứng dụng vào mạng, cũng như chuyển tiếp các gói mạng đến (bằng cách khớp địa chỉ IP và số). Chỉ một quá trình có thể liên kết với một địa chỉ IP cụ thể và kết hợp cổng bằng cách sử dụng cùng một giao thức truyền tải. Sự cố ứng dụng phổ biến, đôi khi được gọi là xung đột cổng, xảy ra khi nhiều chương trình cố gắng liên lạc với cùng số cổng trên cùng một địa chỉ IP bằng cùng một giao thức.

Cách chúng được sử dụng

Các ứng dụng triển khai các dịch vụ được chia sẻ thường sử dụng danh sách cổng TCP và UDP dành riêng và nổi tiếng để chấp nhận các yêu cầu dịch vụ từ máy khách. Quá trình này được gọi là lắng nghe và nó liên quan đến việc nhận yêu cầu từ một cổng nổi tiếng và thiết lập cuộc hội thoại một đối một giữa máy chủ và máy khách sử dụng cùng một số cổng cục bộ. Các máy khách khác có thể tiếp tục kết nối - điều này có thể xảy ra vì kết nối TCP được xác định là một chuỗi các địa chỉ và cổng cục bộ và từ xa. Các cổng TCP và UDP tiêu chuẩn được xác định theo quy ước dưới sự kiểm soát của Cơ quan cấp số được gán trên Internet (IANA).

Các dịch vụ mạng lõi (chủ yếu là WorldWideWeb) có xu hướng sử dụng số cổng nhỏ - dưới 1024. Nhiều hệ điều hành yêu cầu các đặc quyền đặc biệt để các ứng dụng liên kết với chúng vì chúng thường được coi là quan trọng đối với hoạt động của mạng IP. Mặt khác, máy khách cuối của kết nối có xu hướng sử dụng một số lượng lớn chúng dành riêng cho mục đích sử dụng ngắn hạn, do đó, có cái gọi là cổng tạm thời.

Kết cấu

Các cổng TCP được mã hóa trong tiêu đề của gói giao thức truyền tải và chúng có thể dễ dàng được giải thích không chỉ bởi các máy tính truyền và nhận mà còn bởi các thành phần khác của cơ sở hạ tầng mạng. Cụ thể, tường lửa thường được cấu hình để phân biệt giữa các gói dựa trên số cổng nguồn hoặc đích của chúng. Chuyển hướng là một ví dụ kinh điển về điều này.

Việc cố gắng kết nối với nhiều cổng nối tiếp trên cùng một máy tính được gọi là quét cổng. Điều này thường là do các nỗ lực cố ý gây lỗi hoặc quản trị viên mạng đang tìm kiếm các lỗ hổng có thể xảy ra để giúp ngăn chặn các cuộc tấn công như vậy.

Các hành động hướng đến tần suất máy tính được theo dõi và ghi lại. Kỹ thuật này sử dụng một số kết nối dự phòng để đảm bảo kết nối không bị gián đoạn với máy chủ.

Ví dụ về việc sử dụng

Ví dụ quan trọng nhất nơi các cổng TCP / UDP được sử dụng tích cực là hệ thống thư Internet. Máy chủ được sử dụng để làm việc với e-mail (gửi và nhận) và thường cần hai dịch vụ. Dịch vụ đầu tiên được sử dụng để vận chuyển qua email và từ các máy chủ khác. Điều này đạt được với ứng dụng dịch vụ SMTP thường lắng nghe trên cổng TCP số 25 để xử lý các yêu cầu đến. Dịch vụ còn lại là POP (hoàn toàn là Giao thức Bưu điện) hoặc IMAP (hoặc Giao thức Truy cập Thư trên Internet) cần thiết cho các ứng dụng email khách trên máy của người dùng để nhận email từ máy chủ. Các dịch vụ POP đang lắng nghe trên cổng TCP 110. Cả hai dịch vụ trên đều có thể chạy trên cùng một máy chủ. Khi điều này xảy ra, số cổng sẽ phân biệt dịch vụ được yêu cầu bởi thiết bị từ xa - PC của người dùng hoặc một số máy chủ thư khác.

Mặc dù số cổng lắng nghe của máy chủ được xác định rõ (IANA gọi chúng là các cổng nổi tiếng), cài đặt máy khách này thường được chọn ngoài phạm vi động. Trong một số trường hợp, máy khách và máy chủ sử dụng riêng các cổng TCP cụ thể do IANA chỉ định. Một ví dụ điển hình là DHCP, trong đó máy khách luôn sử dụng UDP 68 và máy chủ sử dụng UDP 67.

Ứng dụng trong URL

Số cổng đôi khi hiển thị rõ ràng trên Internet hoặc các Bộ định vị tài nguyên thống nhất (URL) khác. Theo mặc định, HTTP sử dụng 443 và HTTPS sử dụng 443. Tuy nhiên, có những biến thể khác. Ví dụ: URL http://www.example.com:8080/path/ cho biết rằng trình duyệt web đang kết nối với 8080 thay vì máy chủ HTTP.

Danh sách các cổng TCP và UDP

Như đã lưu ý, Cơ quan cấp số được gán Internet (IANA) chịu trách nhiệm điều phối toàn cầu DNS-Root, địa chỉ IP và các tài nguyên Giao thức Internet khác. Điều này bao gồm đăng ký số cổng thường được sử dụng cho các dịch vụ internet đã biết.

Số cổng được chia thành ba phạm vi: nổi tiếng, đã đăng ký và động hoặc riêng tư. Nổi tiếng (còn được gọi là hệ thống) là những người có số từ 0 đến 1023. Các yêu cầu đối với các bài tập mới trong phạm vi này nghiêm ngặt hơn so với các đăng ký khác.

Những ví dụ nổi tiếng

Ví dụ trong danh sách này bao gồm:

• Cổng TCP 443: Bảo mật HTTP (HTTPS).
• 22: Vỏ bảo mật (SSH).
• 25: Giao thức chuyển thư đơn giản (SMTP).
• 53: Hệ thống tên miền (DNS).
• 80: Giao thức truyền tải siêu văn bản (HTTP).
• 119: Giao thức truyền tin mạng (NNTP).
• 123: Giao thức thời gian mạng (NTP)..
• 143: Giao thức truy cập thư trên Internet (IMAP)
• 161: Giao thức quản lý mạng đơn giản (SNMP)1.
• 94: Trò chuyện chuyển tiếp qua Internet (IRC).

Các cổng đã đăng ký là các số từ 1024 đến 49151. IANA duy trì danh sách chính thức các phạm vi đã biết và đã đăng ký. Động hoặc riêng tư - 49152 đến 65535. Một trường hợp sử dụng cho phạm vi này là dành cho các cổng tạm thời.

Lịch sử sáng tạo

Khái niệm về số cổng được tạo ra bởi những nhà phát triển đầu tiên của ARPANET thông qua sự hợp tác không chính thức giữa tác giả phần mềm và quản trị viên hệ thống.

Thuật ngữ "số cổng" vẫn chưa được sử dụng vào thời điểm đó. Chuỗi số cho máy chủ từ xa là một số 40 bit. 32 bit đầu tiên tương tự như địa chỉ IPv4 ngày nay, nhưng 8 bit đầu tiên là quan trọng nhất. Phần ít quan trọng nhất của số (bit 33 đến 40) biểu thị một thực thể khác, được gọi là AEN. Đây là nguyên mẫu của số cổng hiện đại.

Vào ngày 26 tháng 3 năm 1972, việc tạo danh mục số ổ cắm lần đầu tiên được đề xuất trong RFC 322. Họ yêu cầu mỗi số cố định được mô tả theo chức năng và dịch vụ mạng của nó. Thư mục này sau đó đã được xuất bản trong RFC 433 vào tháng 12 năm 1972 và bao gồm danh sách các máy chủ, số cổng của chúng và chức năng tương ứng được sử dụng trên mọi nút trên mạng. Vào tháng 5 năm 1972, lần đầu tiên các chỉ định chính thức về số cổng, dịch vụ mạng được ghi lại và một chức năng quản trị đặc biệt đã được đề xuất để duy trì sổ đăng ký này.

Danh sách cổng TCP đầu tiên có 256 giá trị AEN, được chia thành các phạm vi sau:

• 0 đến 63: chức năng tiêu chuẩn của toàn bộ mạng
• 64 đến 127: các tính năng dành riêng cho máy chủ
• 128 đến 239: dành riêng để sử dụng trong tương lai
• 240 đến 255: Bất kỳ tính năng thử nghiệm nào.

Dịch vụ Telnet được gán chính thức đầu tiên với giá trị là 1. Trong những ngày đầu của ARPANET, AEN cũng là tên ổ cắm được sử dụng với thành phần Giao thức Kết nối (MSP) và Chương trình Điều khiển Mạng (NCP) ban đầu. Đồng thời, NCP là tiền thân của các giao thức Internet hiện đại sử dụng cổng TCP/IP.