Протоколи за портове udp и tcp. Основи на мрежовите портове

Порт в компютърни мрежие комуникационната крайна точка в ОС. Този термин се отнася и за хардуерни устройства, но в софтуера се отнася до логическа конструкция, която идентифицира специфичен тип услуга или процес. Портът винаги е свързан с IP адреса на хоста или вида на комуникационния протокол. Той завършва присвояването на адреса на сесията. Портът се идентифицира за всеки протокол и адрес с помощта на 16-битово число, известно още като номер на порт. Често конкретни номера на портове се използват за идентифициране на конкретни услуги. От изброените няколко хиляди, 1024 известни номера са защитени със специално споразумение. Те определят специфични видове услуги на хоста. Протоколите, които основно използват портове, се използват за контрол на процесите. Пример за това е протоколът за управление на предаването (TCP) или протоколът за потребителска дейтаграма от пакета интернет протоколи.

Значение

TCP портовете не са необходими при директни връзки от точка до точка, където компютрите от всеки край могат да изпълняват само една програма в даден момент. Необходимостта от тях се появи, след като тези машини се оказаха способни да изпълняват повече от една програма едновременно. Те се оказаха свързани към модерни мрежи с комутация на пакети. В модела на архитектурата клиент-сървър портовете, приложенията и мрежовите клиенти са свързани, за да инициират услуга. Те предоставят услуги за мултиплексиране, след като първоначалният обмен на информация е свързан с номер на порт. Той се освобождава чрез превключване на всеки екземпляр на обслужване на заявка към специална линия. Осъществява се връзка към определен номер. Благодарение на това могат да се обслужват допълнителни клиенти без никакво изчакване.

Подробности

Протоколите за пренос на данни UDP и TCP се използват за посочване на номера на порта на местоназначението и източника в техните сегментни заглавки. Номерът на порта е 16-битово число без знак. Може да варира от 0 до 65535. TCP портовете обаче не могат да използват числото 0. За UDP портът източник не се изисква. Стойност, равна на нула, означава липсата му. Този процес свързва входни или изходни канали с помощта на транспортен протокол, номер на порт и IP адрес през интернет гнездо. Този процес е известен също като обвързване. Той дава възможност за получаване и предаване на информация през мрежата. Мрежовият софтуер на операционната система се използва за предаване на изходящи данни от всички портове на приложения към мрежата. Той също така препраща входящи мрежови пакети, като съпоставя номера и IP адреса. Само един процес може да бъде обвързан с конкретен IP адрес и комбинация от портове, използвайки същия транспортен протокол. Сривове на приложения, наричани още сблъсъци на приложения, възникват, когато множество програми се опитват да комуникират с едни и същи номера на портове на един и същ IP адрес, използвайки един и същ протокол.

Как се използват?

Приложенията, които прилагат споделени услуги, доста често използват специално запазен и известен списък от UDP и TCP портове, за да приемат заявки за клиентски услуги. Този процес е известен още като слушане. Това включва получаване на заявка от добре познат порт и установяване на последователен разговор между клиента и сървъра, използвайки същия номер на локален порт. Други клиенти могат да продължат да се свързват. Това е възможно, защото TCP връзката се идентифицира като верига, която се състои от локални и отдалечени портове и адреси. Стандартните UDP и TCP портове могат да бъдат дефинирани чрез споразумение под контрола на IANA или Internet Assigned Numbers Authority. По правило ядрото на мрежовите услуги е преди всичко World Wide Web, използва малки номера на портове, по-малки от 1024. В много операционни системи приложенията изискват специални привилегии, за да се обвържат с тях. Поради тази причина те често се считат за критични за работата на IP мрежите. Крайният клиент на връзката, от друга страна, има тенденция да използва по-голям брой от тях, разпределени за краткосрочно използване. Поради тази причина съществуват така наречените ефимерни портове.

Структура

TCP портовете са кодирани в заглавката на пакета на транспортния пакет. Те могат лесно да бъдат интерпретирани не само от приемащите и предаващите компютри, но и от други компоненти на мрежовата инфраструктура. Защитни стенипо-специално, те обикновено са конфигурирани да разграничават пакетите в зависимост от номерата на портовете на дестинацията и техния източник. Класически пример за това е пренасочването. Опитът за последователно свързване към набор от портове на един и същ компютър е известен също като сканиране на портове. Такива процедури обикновено се свързват или със злонамерени опити за отказ, или с факта, че мрежовите администратори специално търсят възможни уязвимости, за да предотвратят подобни атаки. Действията, насочени към отваряне на TCP порт, се записват и контролират с помощта на компютри. Тази техника използва цяла линиярезервни връзки, за да се осигури непрекъснато взаимодействие със сървъра.

Примери за използване

Основният пример, в който UDP и TCP портовете се използват активно, е системата за интернет поща. Сървърът се използва за работа с имейл. Като цяло има нужда от две услуги. Първата услуга се използва за транспортиране по имейл и от други сървъри. Това се постига с помощта на Simple Mail Transfer Protocol (SMTP). Приложението за SMTP услуга обикновено слуша TCP порт номер 25, за да обработи входящи заявки. Друга услуга е POP или IMAP. Те са необходими за клиентските приложения в имейл на потребителски машини, за да получават съобщения от сървъра електронна поща. POP услугите слушат за номера на TCP порт 110. Всички горепосочени услуги могат да работят на един и същ хост компютър. Номерът на порта, когато това се случи, отличава заявената услуга отдалечено устройство. Ако номерът на слушащия порт на сървъра е определен правилно, този параметър за клиента се определя от динамичния диапазон. Клиентите и сървърът отделно в някои случаи използват специфични TCP портове, които са зададени в IANA. Добър пример е DHCP. Тук клиентът във всеки случай използва UDP 68, а сървърът използва UDP 67.

Употреба в URL адреси

Понякога номерата на портовете са ясно видими в интернет или други унифицирани локатори на ресурси, като URL адреси. HTTP по подразбиране използва TCP порт 80, а HTTPS използва порт 443. Има и други варианти. Например URL адресът http://www.example.com:8080/path показва, че уеб браузърът е вместо HTTP сървърсвързва се към 8080.

Списък на UDP и TCP портове

Както беше отбелязано по-рано, IANA или определен от InternetA Numbers Authority отговаря за глобалната координация на DNS-Root, IP адресиране и други ресурси на интернет протокола. Тези процедури включват регистриране на често използвани портове за известни интернет услуги. Всички номера на портове са разделени на три диапазона: добре познати, регистрирани и лични или динамични. Добре познатите портове са тези с номера от 0 до 1023. Те се наричат ​​още системни портове. Изискванията за нови стойности в този диапазон са по-строги, отколкото за други регистрации.

Примери

Примери за портове в известния списък включват:

• TCP порт 443 – HTTPS;
• 21 – Протокол за прехвърляне на файлове;
• 22- Сигурна обвивка;
• 25 – прост протокол за пренос на поща STMP;
• 53 – система за име на домейн DNS;
• 119 – Протокол за предаване на мрежови новини или NNTP;
• 80 – Hypertext Transfer Protocol HTTP;
• 143 – Протокол за достъп до интернет съобщения;
• 123 – NTP мрежов протокол за време;
• 161 - прост протокол за управление на мрежата SNMP.

Регистрираните портове трябва да имат номера от 1024 до 49151. Internet Assigned Numbers Authority поддържа официален списък на всички известни и регистрирани диапазони. Честотните или динамичните портове варират от 29152 до 65535. Една употреба на този диапазон са временни портове.

История на създаването

Концепцията за номера на портове е разработена от първите създатели на ARPANET. Разработен е чрез неформално сътрудничество между автори на софтуер и системни администратори. По това време терминът "номер на порт" все още не се използва. Поредицата от номера на отдалечен хост беше 40-битово число. Първите 32 бита приличаха на днешния IPv4 адрес. Най-значимите бяха първите 8 бита. По-малко значимата част от числото (това са битове от 33 до 40) обозначава обект, наречен AEN. Това беше прототип на съвременния номер на порт. Създаването на указател с номера на гнезда е предложено за първи път на 26 март 1972 г. След това мрежовите администратори бяха призовани да опишат всеки фиксиран номер по отношение на мрежовите услуги и неговите функции. Този каталог впоследствие е публикуван като RFC 433 през зимата на 1972 г. Той включваше списък с хостове, техните номера на портове и съответната функция, използвана във всеки възел в мрежата. Първите официални стойности на номера на порта са документирани през май 1972 г. В същото време беше предложена специална административна функция за поддържане на този регистър. Първият списък с TCP портове включваше 256 AEN стойности. Те бяха разделени на следните диапазони:

— от 0 до 63 – стандартни функции на цялата мрежа;

— от 64 до 127 – специфични за хоста функции;

— от 128 до 239 – функции, запазени за бъдеща употреба;

— от 240 до 255 – всяка експериментална функция.

Терминът AEN, в ранните дни на ARPANET, също се отнася до името на сокета, който се използва с оригиналния протокол за свързване и програмния компонент за управление на мрежата, или NCP. В този случай NCP представлява предшественика на съвременните интернет протоколи, които използват TCP/IP портове.

За комуникация с приложения, работещи на други мрежови хостове (както и с други приложения на същия хост).

Основното правило, необходимо за разбиране на работата на порта: 1) Портът може да бъде зает само от една програма и в този момент не може да се използва от друга. 2) Всички програми използват портове, за да комуникират помежду си чрез мрежата.

За всеки от TCP и UDP протоколите стандартът определя възможността за едновременно разпределяне на до 65536 уникални порта на хост, идентифицирани с числа от 0 до 65535. Когато се предава по мрежа, се използва номерът на порта в заглавката на пакета ( заедно с IP адреса на хоста) за адресиране на конкретно приложение (и конкретна мрежова връзка, принадлежаща на него).

Номера на портове

TCP портовете не се припокриват с UDP портовете. Тоест TCP порт 1234 няма да пречи на UDP трафика през порт 1234.

Редица номера на портове са стандартизирани (вижте Списък на TCP и UDP портове). Списъкът се поддържа от организацията с нестопанска цел IANA.

В повечето UNIX-подобни операционни системи, слушането на портове с номера 0-1023 (почти всички от които са регистрирани) изисква специални привилегии. Всеки от останалите портове може да бъде заловен от първия процес, който го е поискал. Въпреки това има много повече регистрирани номера от 1024.

Кратък списък с номера на портове

Предполага се, че се използва TCP, освен ако не е отбелязано друго.

• ИЗХВЪРЛЯНЕ: 9, Изхвърляне на порт (RFC 863)
• FTP: 21 за команди, 20 за данни
• SSH: 22 (отдалечен достъп)
• telnet: 23 (отдалечен достъп)
• SMTP: 25, 465, 587
• isserver: 3055
• XMPP (Jabber): 5222/5223 - клиент-сървър, 5269 - сървър-сървър
• traceroute : над 33434 (UDP) (някои източници показват, че е достатъчно да посочите диапазон на порт от 33434 до 33534)

Портове за подател и получател

TCP или UDP пакетите винаги съдържат две полета за номер на порт: източник и дестинация. Типът на сервизната програма се определя от порта на получателя на входящите заявки и същият номер е портът на изпращача на отговорите. „Обратният“ порт (портът на изпращача на заявки, известен също като порт на получателя на отговорите) при свързване чрез TCP се определя произволно от клиента (въпреки че номерата по-малки от 1024 и вече заетите портове не се присвояват), и не представлява интерес за потребителя. Използването на обратни номера на портове в UDP зависи от изпълнението.

Връзки

Бележки

Фондация Уикимедия.

2010 г.

Вижте какво е "Порт (TCP/IP)" в други речници:

Име: Транспортен контролен протоколен слой (OSI модел): Транспортна фамилия: TCP/IP порт/ID: 6/IP Спецификация: RFC 793 / STD 7 Основни реализации ... Wikipedia

Пристанище: В Уикиречника има запис за „пристанище“ Пристанище (на латински portus „пристанище“, „кей“) ... Уикипедия

Име: Ниво на протокол за контрол на предаването (OSI модел): Транспортна фамилия: TCP/IP порт/ID: 6/IP Спецификация: RFC 793 / STD 7 Основни реализации: Linux, Windows Extensibility ... Wikipedia

Номер на TCP порт, който идентифицира процес или приложение в компютъра. За клиентските приложения номерът на порта се присвоява динамично от операционната система. За софтуерните сървъри номерата на портовете не се променят и се предписват от Интернет... ... Финансов речник

Мрежовият порт е параметър на UDP протокола, който определя целта на пакетите с данни във формат Това е условно число от 0 до 65535, което позволява различни програми, изпълнени на един и същ хост, получават данни независимо един от друг (предоставете така... ... Wikipedia

Мрежовият порт е параметър на UDP протоколите, който определя целта на пакетите с данни във формат Това е условно число от 0 до 65535, което позволява на различни програми, работещи на един и същи хост, да получават данни независимо една от друга (предоставени по този начин .. .. Уикипедия

Мрежовият порт е параметър на UDP протоколите, който определя целта на пакетите с данни във формат Това е условно число от 0 до 65535, което позволява на различни програми, работещи на един и същи хост, да получават данни независимо една от друга (предоставени по този начин .. .. Уикипедия

Мрежовият порт е параметър на UDP протоколите, който определя целта на пакетите с данни във формат Това е условно число от 0 до 65535, което позволява на различни програми, работещи на един и същи хост, да получават данни независимо една от друга (предоставени по този начин .. .. Уикипедия

TCP/IP протоколът е в основата на Интернет, чрез който компютрите изпращат и получават информация от всяка точка на света, независимо от географско местоположение. Достъпът до TCP/IP компютър в друга страна е толкова лесен, колкото достъпът до компютър в съседната стая. Процедурата за достъп е идентична и в двата случая, въпреки че свързването с машина в друга държава може да отнеме няколко милисекунди повече. В резултат на това гражданите на всяка страна могат лесно да пазаруват от Amazon.com; но поради логическа близост задачата става по-сложна информационна сигурност: Всеки собственик на компютър, свързан с интернет навсякъде по света, може да се опита да установи неоторизирана връзка с всяка друга машина.

Отговорност на ИТ специалистите е да инсталират защитни стени и системи за откриване на подозрителен трафик. Анализът на пакетите извлича информация за IP адресите на източника и местоназначението и включените мрежови портове. Стойността на мрежовите портове не е по-ниска от IP адресите; това са най-важните критерии за разделяне на полезния трафик от фалшиви и вредни съобщения, влизащи и излизащи от мрежата. По-голямата част от интернет мрежовия трафик се състои от TCP и UDP пакети, които съдържат информация за мрежовите портове, които компютрите използват за маршрутизиране на трафик от едно приложение към друго. Предпоставка за защитна стена и мрежова сигурност е администраторът да има задълбочено разбиране за това как компютрите и мрежовите устройства използват тези портове.

Проучване на пристанища

Познаването на основните принципи на работа на мрежовите портове е полезно за всеки системен администратор. С основно разбиране на TCP и UDP портовете, администраторът може самостоятелно да диагностицира неуспешно мрежово приложение или да защити компютър, който ще има достъп до Интернет, без да се обажда на мрежов инженер или консултант по защитна стена.

Първата част на тази статия (състояща се от две части) описва основните понятия, необходими за обсъждане на мрежови портове. Ще бъде показано мястото на мрежовите портове в общия мрежов модел и ролята на мрежовите портове и NAT (Network Address Translation) защитната стена при връзките на фирмените компютри към Интернет. Накрая ще бъдат посочени мрежови точки, в които е удобно да се идентифицират и филтрират мрежов трафикна съответните мрежови портове. Част 2 разглежда някои от портовете, използвани от общи приложения и операционни системи, и въвежда някои инструменти за намиране на отворени мрежови портове.

Кратък преглед на мрежовите протоколи

TCP/IP е набор от мрежови протоколи, чрез които компютрите комуникират помежду си. TCP/IP пакетът не е нищо повече от части от софтуерен код, инсталиран в операционната система, които осигуряват достъп до тези протоколи. TCP/IP е стандарт, така че TCP/IP приложенията са включени Windows компютъртрябва успешно да комуникира с подобно приложение на UNIX машина. В ранните дни на мрежовите мрежи, през 1983 г., инженерите разработиха седемслойния OSI модел на взаимно свързване, за да опишат процесите на компютърни мрежи, от кабел до приложение. OSI моделът се състои от физически, връзка за данни, мрежови, транспортни, сесийни и приложни слоеве. Администраторите, които постоянно работят с Интернет и TCP/IP, се занимават предимно с мрежовия, транспортния и приложния слой, но за успешна диагностика е необходимо да познават и други слоеве. Въпреки напредналата възраст на модела OSI, той все още се използва от много специалисти. Например, когато мрежов инженер говори за превключватели на слой 1 или слой 2, или доставчик на защитна стена говори за контрол на слой 7, те говорят за слоевете, дефинирани в OSI модела.

Тази статия говори за мрежови портове, разположени на слой 4 - транспорт. В TCP/IP пакета тези портове се използват от TCP и UDP протоколите. Но преди да стигнем до Подробно описаниеедин слой, трябва накратко да се запознаете със седемте OSI слоя и ролята, която играят в съвременните TCP/IP мрежи.

Слоеве 1 и 2: Физически кабели и MAC адреси

Слой 1, физически, представлява действителната среда, през която преминава сигналът, като меден кабел, оптичен кабел или радиосигнали (в случай на Wi-Fi). Слой 2, връзка за данни, описва формата на данните за предаване във физическата среда. На ниво 2 пакетите са организирани в рамки и могат да бъдат реализирани основни функции за контрол на потока и обработка на грешки. Стандартът IEEE 802.3, по-известен като Ethernet, е най-разпространеният стандарт Layer 2 за съвременни локални мрежи. Обикновен мрежов превключвател- устройство от слой 2, чрез което множество компютри се свързват физически и обменят данни помежду си. Понякога два компютъра не могат да се свържат един с друг, въпреки че IP адресите изглеждат правилни: проблемът може да е причинен от грешки в кеша на протокола за разрешаване на адреси (ARP), което показва проблем на слой 2. В допълнение, някои безжични точкиточките за достъп (Access Point, AP) осигуряват филтриране на MAC адреси, позволявайки свързване само към безжичната AP мрежови адаптерис определен MAC адрес.

Слоеве 3 и 4: IP адреси и мрежови портове

Слой 3, работа в мрежа, поддържа маршрутизиране. В TCP/IP маршрутизирането се реализира в IP. IP адресът на пакета принадлежи към слой 3. Мрежовите рутери са устройства от слой 3, които анализират IP адресите на пакетите и препращат пакетите към друг рутер или доставят пакети до локални компютри. Ако в мрежата бъде открит подозрителен пакет, първата стъпка е да проверите IP адреса на пакета, за да определите произхода на пакета.

Заедно с мрежовия слой, слой 4 (транспорт) е добра отправна точка за диагностициране на мрежови проблеми. В Интернет Слой 4 съдържа TCP и UDP протоколите и информация за мрежовия порт, който свързва пакет с конкретно приложение. Мрежовият стек на компютъра използва асоциация на TCP или UDP мрежов порт с приложение, за да насочва мрежовия трафик към това приложение. Например TCP порт 80 е свързан с приложение на уеб сървър. Това съпоставяне на портове към приложения е известно като услуга.

TCP и UDP са различни. По същество TCP осигурява надеждна връзказа обмен на данни между две приложения. Преди комуникацията да може да започне, двете приложения трябва да установят връзка чрез завършване на процеса на TCP ръкостискане в три стъпки. UDP е по-скоро подход на запалване и забравяне. Надеждността на връзката за TCP приложения се осигурява от протокола, но UDP приложението трябва самостоятелно да проверява надеждността на връзката.

Мрежовият порт е число между 1 и 65535, което е посочено и известно на двете приложения, между които се установява комуникация. Например, клиент обикновено изпраща некриптирана заявка до сървър на целеви адрес на TCP порт 80. Обикновено компютърът изпраща DNS заявка на DNS сървър на целеви адрес на UDP порт 53. Клиентът и сървърът имат източник и IP адрес на местоназначение, както и мрежов порт източник и местоназначение, които може да варират. В исторически план всички номера на портове под 1024 се наричат ​​„известни номера на портове“ и се регистрират в Органа за присвоени номера в Интернет (IANA). В някои операционна системаах, само системни процеси могат да използват портове в този диапазон. Освен това организациите могат да регистрират портове от 1024 до 49151 в IANA, за да свържат порта с тяхното приложение. Тази регистрация осигурява структура, която помага да се избегнат конфликти между приложения, опитващи се да използват един и същ номер на порт. Въпреки това, като цяло, нищо не пречи на приложението да поиска конкретен порт, стига той да не е зает от друга активна програма.

В исторически план сървърът може да слуша на портове с малък номер, а клиентът може да инициира връзка на порт с висок номер (над 1024). Например уеб клиент може да отвори връзка към уеб сървър на целеви порт 80, но да асоциира произволно избран порт източник, като например TCP порт 1025. Когато отговаря на клиента, уеб сървърът адресира пакета към клиента с източник порт 80 и целеви порт 1025. Комбинацията от IP адрес и порт се нарича сокет и трябва да бъде уникална на компютъра. Поради тази причина, когато настройвате уеб сървър с два отделни уеб сайта на един и същи компютър, трябва да използвате множество IP адреси, като адрес1:80 и адрес2:80, или да конфигурирате уеб сървъра да слуша на множество мрежови портове, като като адрес1:80 и адрес1:81. Някои уеб сървъри позволяват множество уеб сайтове да работят на един порт, като изискват заглавка на хост, но тази функция всъщност се изпълнява от приложението на уеб сървъра през повече от един порт. високо ниво 7.

Тъй като мрежовите възможности станаха достъпни в операционните системи и приложенията, програмистите започнаха да използват номера на портове, по-високи от 1024, без да регистрират всички приложения в IANA. Като търсите в интернет всеки мрежов порт, обикновено можете бързо да намерите информация за приложения, които използват този порт. Или можете да потърсите Добре познати портове и да намерите много сайтове, които изброяват най-често срещаните портове.

Когато блокирате мрежови приложения на компютър или отстранявате грешки в защитната стена, по-голямата част от работата идва от класифицирането и филтрирането на IP адреси на слой 3 и протоколи и мрежови портове на слой 4. За да разграничите бързо легитимния трафик от подозрителен, трябва да се научите да разпознавате най-много 20 широко използвани в корпоративните TCP и UDP портове.

Способност за разпознаване мрежови портовеи опознаването им надхвърля задаването на правила за защитна стена. Например, някои пачове за сигурност на Microsoft описват как да затворите NetBIOS портове. Тази мярка помага да се ограничи разпространението на червеи, които проникват през уязвимости в операционната система. Знанието как и къде да затворите тези портове може да помогне за намаляване на рисковете за сигурността на мрежата, докато се подготвяте за внедряване на критична корекция.

И направо до ниво 7

Рядко се чува за слой 5 (сесия) и слой 6 (презентация) в наши дни, но слой 7 (приложение) е гореща тема сред доставчиците на защитни стени. Най-новата тенденция в мрежовите защитни стени е инспекцията на ниво 7, която описва техниките, използвани за анализиране на взаимодействието на приложението с мрежовите протоколи. Чрез анализиране на полезния товар на мрежов пакет, защитната стена може да определи дали трафикът, преминаващ през нея, е легитимен. Например, уеб заявка съдържа GET израз в пакет от слой 4 (TCP порт 80). Ако вашата защитна стена има функционалност на ниво 7, можете да проверите дали командата GET е правилна. Друг пример е, че много програми за споделяне на файлове peer-to-peer (P2P) могат да отвлекат порт 80. В резултат на това външен човек може да конфигурира програмата да използва порт по свой избор - най-вероятно порт, който трябва да бъде оставен отворен в дадена защитна стена. Ако служителите на компанията имат нужда от достъп до интернет, трябва да се отвори порт 80, но за да се разграничи легитимният уеб трафик от P2P трафика, насочен от някого към порт 80, защитната стена трябва да осигури контрол на ниво 7.

Роля на защитната стена

След като описахме мрежовите слоеве, можем да преминем към описание как мрежовите приложения комуникират чрез защитни стени, като обръщаме специално внимание на използваните мрежови портове. В следващия пример клиентски браузър комуникира с уеб сървър от другата страна на защитната стена, точно както служител на компания би комуникирал с уеб сървър в Интернет.

Повечето интернет защитни стени работят на нива 3 и 4, за да проверят и след това да разрешат или блокират входящия и изходящия мрежов трафик. Като цяло администраторът пише списъци за контрол на достъпа (ACL), които определят IP адресите и мрежовите портове на трафика, който е блокиран или разрешен. Например, за да влезете в мрежата, трябва да стартирате браузър и да го насочите към уеб сайта. Компютърът инициира изходяща връзка чрез изпращане на поредица от IP пакети, състояща се от заглавна информация и полезна информация. Заглавката съдържа информация за маршрута и други атрибути на пакета. Правилата на защитната стена често се пишат с оглед на информацията за маршрутизиране и обикновено съдържат IP адресите на източника и местоназначението (слой 3) и пакетния протокол (слой 4). Когато сърфирате в мрежата, целевият IP адрес принадлежи на уеб сървъра, а протоколът и целевият порт (по подразбиране) са TCP 80. IP адресът на източника е адресът на компютъра, от който потребителят влиза в мрежата, а източникът port обикновено е динамично присвоен номер, надвишаващ 1024. Полезна информациянезависимо от заглавката и генерирано от приложението на потребителя; в този случай това е заявка към уеб сървъра за предоставяне на уеб страница.

Защитната стена анализира изходящия трафик и го разрешава според правилата на защитната стена. Много компании позволяват целия изходящ трафик от тяхната мрежа. Този подход опростява конфигурацията и внедряването, но намалява сигурността поради липсата на контрол върху данните, напускащи мрежата. Например, " троянски кон"може да зарази компютър в корпоративна мрежа и да изпрати информация от този компютър на друг компютър в Интернет. Има смисъл да се създават списъци за контрол на достъпа, за да се блокира такава изходяща информация.

За разлика от изходящия подход на много защитни стени, повечето са конфигурирани да блокират входящия трафик. Обикновено защитните стени позволяват входящ трафик само в две ситуации. Първият е трафикът, пристигащ в отговор на изходяща заявка, изпратена преди това от потребителя. Например, ако насочите браузъра си към адреса на уеб страница, защитната стена позволява на HTML кода и други компоненти на уеб страницата да влязат в мрежата. Вторият случай е поставянето на вътрешна услуга в Интернет, като напр пощенски сървър, уеб или FTP сайт. Хостингът на такава услуга обикновено се нарича превод на порт или публикуване на сървър. Внедряването на превода на портове варира при различните доставчици на защитна стена, но основният принцип е един и същ. Администраторът дефинира услуга, като например TCP порт 80 за уеб сървъра и бек-енд сървър, който да хоства услугата. Ако пакетите влизат през защитната стена преден крайсъответстващи на дадена услуга, механизмът за превод на портове ги препраща към конкретен компютър в мрежата, скрит зад защитна стена. Преводът на порт се използва заедно с NAT услугата, описана по-долу.

Основи на NAT

С NAT множество компютри в една компания могат да споделят малко публично IP адресно пространство. DHCP сървърът на една компания може да разпредели IP адрес от един от частните, немаршрутизирани в Интернет блокове с IP адреси, дефинирани в Заявка за коментари (RFC) № 1918. Множество компании също могат да споделят едно и също частно IP адресно пространство. Примери за частни IP подмрежи са 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Интернет рутерите блокират всички пакети, насочени към един от частните адреси. NAT е функция на защитната стена, която позволява на компаниите, използващи частни IP адреси, да комуникират с други компютри в Интернет. Защитната стена знае как да преобразува входящия и изходящия трафик в частни вътрешни IP адреси, така че всеки компютър да има достъп до Интернет.

Днес имаме следващ софтуер и виртуални портове. Днес няма приложни програми, които да не използват в работата си мрежови протоколи за обмен на данни. За предаване на данни се използват транспортни протоколи, като най-популярните са TCP/IP и UDP. За да може браузърът ви да „разбере“, че за него е пристигнала някаква информация, той трябва да отиде до софтуерния порт, който браузърът ви „слуша“.

• Най-важната функция на TCP/IP и UDP е да идентифицират програмата (или процеса), която е генерирала данните, които се прехвърлят. За тази цел се използва зададеният номер на порт този процесорганизация IANA. Тук също има стандарти от дълго време и номерата на портовете са публикувани в RFC 1700. На вашия компютър можете да намерите списък с портове във файла SERVICES на TCP/IP клиента.

Когато пакетът достигне местоназначението си, протоколът на транспортния слой (TCP/IP в нашия случай) получава дейтаграмата, прочита номера на порта от съответното поле и предава тази информация на програмата (или протокола), която започва да работи с получените данни .

На всички основни приложения в Интернет се присвояват специфични номера на портове, наречени „добре познати портове“. Например стандартният порт на WEB сървъра е номер 80, прокси сървърът може да бъде номер 8080, FTP сървърработи с порт 21 или 20.

Позволете ми да изброя накратко добре познатите номера на портове по услуга:

• ftp-данни.Каналът за данни на File Transport Protocol се използва за прехвърляне на файлове между системи, използващи TCP протокола. Използват се 21 порта;
• ftp. FTP контролен канал. Използва се от участниците в сесията на този канал за обмен на команди и отговори към тях по TCP протокола. Използва порт 20;
• телнет.Използва се за изпълнение на команди на отдалечен компютърпрез порт номер 23 чрез TCP протокол;
• SMTP. Или - прост пощенски протокол за предаване на данни по имейл. Преди това се използваше порт номер 25, сега се използва криптиране и номерът на порта е различен. Варира според доставчика на услуги;
• Домейн. Използва порт 53 през UDP и TCP протоколи за получаване на заявки за разрешаване на име на хост;
• http.Транспортен протокол за маркиране на хипертекст. Използва се за предаване на заявки от браузъра (например вашите заявки в Yandex). Използва се порт 80;
• POP3(Mail Office Protocol версия 3). Използва се за получаване на имейл. Преди криптирането използвах порт 110, сега номерът е променен. Трябва да се консултирате с вашия доставчик на услуги за номера на портове.

Когато трафикът се препраща към друга система, TCP/IP използва комбинация от определен порт. Такъв пакет се нарича „гнездо“. Например от интернет или локална мрежаМожете да получите достъп до папката на FTP сървъра, като посочите IP адреса и порта, разделени с двоеточие: 192.168.0.3:21.

Добре известните номера на портове не са нещо строго регламентирано. Те могат да бъдат променяни по ваша преценка. В този случай необходимият порт е посочен в настройките на програмата, а при достъп до него през браузър трябва да бъде посочен и в адресната лента. Това трябва да се направи, за да се провери дали определен порт е отворен или затворен.

Какво представляват динамичните FTP портове

Тъй като заявките обикновено отиват към сървъра от клиента (а не обратното), добре познатите номера на портове са подходящи за сървърите. Те „слушат“ през портовете на своите клиенти, които не се нуждаят от тези номера. За времето на връзката клиентска програма(или операционната система) използва своя временен номер на порт или определен диапазон от числа. IANA задава числа от 1 до 1023. А временните номера започват от 1024 и по-високи. FTP клиентската програма работи по същия начин - има свой собствен времеви диапазон, според който се опитва да "достигне" до желания сървър.

Когато настройваме FTP сървър, ние определяме 21 порта за пренос на данни. Но програмата, която директно управлява сървъра, трябва не само да прехвърля данни, но и да предоставя достъп до данни на потребителите на този сървър. Използване на същия диапазон от временни (или динамични) портове. Чрез тези портове той „слуша“ потребителите на FTP сървър и установява връзки. Обхватът на динамичните FTP портове се задава при конфигуриране на съответната програма:

IN Windows сървър 2012-2016, можете да зададете произволен диапазон от портове директно в операционната система, без да използвате програми на трети страни. Диапазонът от числа е зададен от 1024 до 65535, това е ограничение на транспортния протокол.

Как да проверите портове на рутер

Тук говорим за възможността за достъп до вашия компютър от интернет. Например, имате мрежа от няколко компютъра у дома. Има достъп до тях в мрежата. Но няма достъп до тях от интернет, въпреки че имате интернет вкъщи. Някои „настройват“ сървър за игри у дома, за да могат да играят онлайн с приятели. В този случай се нуждаете от достъп до сървъра от Интернет, което се осъществява чрез пренасочване на портове.

Отворените портове могат да застрашат сигурността на вашия компютър. Ако на вашия компютър е зададен външен IP адрес, тогава тази проверка е подходяща за вас. Можете да проверите с помощта на множество онлайн услуги. Въведете вашия външен IP и сте готови:

Нормална (от гледна точка на сигурността) ситуация е, когато всички портове на рутера са затворени. Ако адресът е присвоен на рутер, тогава всеки компютър трябва да бъде проверен. По подразбиране рутерът обикновено има включена защитна стена и защита срещу DOS атаки и тогава сканирането няма да ви покаже нищо. В този случай трябва да отидете до вашия рутер и да погледнете списъка с отворени портове в „ Виртуален сървър" или "Препращане":

Имам това правило активирано за FTP. Ще ви кажа повече за това как да отворите портове на рутер тук.

Как да проверите дали даден порт е отворен на компютър с Win10 или не

Дори ако портът е отворен на рутера, той може да бъде затворен на целевия компютър. И тогава няма да има достъп през тази вратичка през интернет. Различни вируси също използват портове в работата си. Ако видите определен отворен порт на вашия сайт, трябва да намерите програма, която го използва. Ако не го намерите, тогава трябва да стартирате антивирусно сканиране. Използвам домашни безплатни помощни програми - Kaspersky и Doctor Web.

Получаваме списък с отворени портове на мрежов компютър

За да получите списък с портове, първо трябва да стартирате командна линия(изисква се като администратор):

И копирайте там командата “netstat -bn”.

Ще се покаже списък със сокетите, както и приложенията, които са идентифицирани с тях този момент. Можете също така да видите адресите на външни ресурси, които обменят данни с портове:

Компютърни портове и защитна стена

Защитната стена (или защитната стена) е филтър, който затваря портове, различни от тези, които са добре известни и тези, които се използват. инсталирани програми. Тези портове обаче могат лесно да се затварят и отварят отново ръчно. дадени софтуеридва с операционни системи. Освен това може да се активира в антивирусна програма, както и на рутера.

Всеки от тях на свое собствено ниво филтрира ненужните заявки, в резултат на което обменът на данни не се осъществява на тези портове. Сигурността на системата като цяло става по-надеждна. В Windows защитната стена може да бъде намерена в контролния панел.

Ако вашата защитна стена изглежда като моята, когато влезете, тя е деактивирана. Ако нещо не работи (например изобщо не можете да конфигурирате FTP), тогава можете да го деактивирате, за да сте сигурни, че това е защитната стена, която блокира вашите връзки.

Можете да активирате защитната стена, като щракнете върху връзката със същото име от лявата страна на прозореца. В същото време не блокирайте портовете колкото е възможно повече:

Антивирусите имат собствена защитна стена, можете да използвате и нея. Но това може да бъде неудобно в началото, защото програмата трябва да бъде обучена. Всеки път, когато се свържете, той ще ви пита за разрешение за свързване и задаване на правила. Тъй като портовете също ще бъдат временни, процесът на обучение ще отнеме много време. Затова ще се научим да отваряме портове на класическа защитна стена на Windows.

Как да отворите портове в защитната стена на Windows 10 (49, 50, 4955, 25655)

За да премахнете филтрите от всички портове, деактивирайте защитната стена за постоянно. Ако е необходимо фина настройка— тогава ще конфигурираме всеки порт по желание. Отиваме по-нататък до „Разширени параметри“:

След това ще трябва да конфигурираме правила за входящи и изходящи връзки. Всичко е ясно - зеленото е „разрешено“, червеното е „забранено“.

За да създадете правило, щракнете с десния бутон върху „входящи връзки“ и създайте тази, от която се нуждаем. Моля, обърнете внимание, че ако имате програма, която използва временни динамични портове, можете да посочите нея вместо номера на порта. За експертите има персонализирани правила - можете да конфигурирате филтър в комбинация с услуги и програми.

Ще конфигурираме порта, така че изберете „За порт“ и щракнете върху „Напред“.

Изберете TCP протокола (ако е необходимо, можете да направите подобни настройки за UDP протокола. Посочваме необходимите портове, разделени със запетаи). Можете да посочите диапазон от портове, като използвате тире, ако е необходимо. След това преминете към настройките за сигурност на връзката.

Сигурната връзка изисква удостоверяване и се избира само ако използвате защитена връзка. Затова избираме горния елемент. След това избираме всички налични типове мрежи на нашия компютър:

Не забравяйте да посочите името на нашето правило, за да може лесно да бъде намерено по-късно. Това завършва конфигурацията на защитната стена за входящи връзки.

Сега виждаме нашето в списъка с правила и ако е необходимо, можем да го деактивираме или изтрием. Пристанищата ще се затворят.

За пълен обмен на данни трябва да направите същите настройки на правилата за изходящите връзки. Ако планирате да конфигурирате достъп от интернет през тези портове, трябва да пренасочите тези портове към рутера. Стига информация за днес, успех!