توضیحات

توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد

 HacK و بررسی امنیت شبكه دارای 144 صفحه می باشد و دارای تنظیمات و فهرست کامل در microsoft word می باشد و آماده پرینت یا چاپ است

فایل ورد HacK و بررسی امنیت شبكه  کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه  و مراکز دولتی می باشد.

 

بخشی از فهرست مطالب پروژه HacK و بررسی امنیت شبكه

مدل مرجع OSI و لایه بندی پروتكل

چگونه TCP/IP سازگار می باشد؟

مفهوم TCP/IP

پروتكل كنترل انتقال داده TCP

بیت كنترل TCP ، دست دادن سه طرفه

فیلدهای دیگر در هدر TCP

پروتكل دیتاگرام كاربر

پروتكل اینترنت (IP) و پروتكل كنترل پیام اینترنت (ICMP)

شبكه های محلی و مسیریابها

آدرس IP

بخش بندی یك بسته در IP

دیگر قسمت های تشكیل دهنده IP

امنیت یا كمبود در IP سنتی

ICMP

تفسیر آدرس شبكه

دیواره آتش

حفاظت افراد با دیواره آتش

راه حل های حفاظتی برای شبكه ها

حفاظت لایه كاربردی

Thesencure Socket Layer

امنیت در سطح ICSec-IP

هدرشناسایی (AH)IPSec

آیا IPsec و IPV6 ما را حفاظت می كند ؟

سیستم های شناسایی دخول سرزده

گریز از IDS ها در سطح شبكه

Frage Router

گریز از IDs در سطح برنامه كاربردی

Whisher

راه های مقابله با گریز های IDS

در جستجوی مودمهای شبكه

Thc-Scan

حملات بعد از پیدا شدن مودم های فعال

مقابله با نفوذ از طریق مودم های ناامن

نقشه برداری از شبكه

Cheops

تعیین پورت های باز بر روی یك ماشین

مكانیزم پویش مؤدبانه

پویش مخفیانه

مقابله و دفاع در مقابل پویش و جستجوی پورت

firewalk بر علیه firewall

ابزارهای جستجوی نقاط آسیب پذیر

حمله به سیستم عامل

پیدا كردن نقاط آسیب پذیر

Xterms

ردیابی sniffing))

ردیابی از طریق هاب : كشف آرام

Snort

Sniffit

اسب های تراوا در سطح برنامه های كاربردی

ویژگی BO2K

سایت های وب

 

 

مقدمه 
در 1980، یك سازمان بین‎المللی استانداردسازی، طرحی را به نام ‎Open System interconnection (DSI)  به وجود آورد. این مدر براساس لایه‎بندی پروتكل پایه‎گذاری شده است. و آن به این صورت است كه وقتی دو كامپیوتر می‎خواهند با هم ارتباط برقرار ككنند، سریهایی از قسمتهای كوچك استاندارد نرم‎افزاری روی هر سیسیتم برای بهتر كردن این ارتباط، عملیاتی را انجام می‎دهند. یك قسمت برای حصول اطمینان از اینكه داده به طور مناسب بسته‎بندی شده است تلاش می‎كند و قسمت دیگر از فرستادن پیامهای گم شده به طور مجرد مراقبت می‎كند و قسمتهای دیگر پیامها را در سراسر شبكه می‎فرستند. هر كدام از این قسمتها كه تحت عنوان لایه از آنها یاد می‎شود، كار مشخص و كوچكی برای انجام ارتباطات دارند. قسمت‎های ارتباطی كه با هم استفاده می‎شوند. ‎Protocl Stack (پشته پروتكل) نامیده می‎شوند زیرا آنها شامل گروهی از این لایه‎ها هستند كه بر روی هم سوال شده‎اند. مدل ‎OSI شامل هفت نوع از این لایه‎ها می‎باشد كه هر كدام نقش مشخصی در انتقال داده‎ها را در شبكه دارند.
در توده ارتباطاتی لایه‎بندی شده، یك لایه روی قسمت فرستنده با همان لایه روی سیستم (قسمت) گیرنده در ارتباط است. به علاوه لایه‎های پایین‎تر به لایه‎های بالایی سرویس می‎دهند. به عنوان مثال لایه پایین‎تر ممكن است پیامهای گم شده را به جای ارسال به لایه بالاتر كه وظیفه فرمت‎بندی داده‎ها را به صورت دقیق به عهده دارد مجدداً به لایه پایین ارسال كند. این لایه، لایه سطح بالایی خود را كه ممكن است داده‎ را در قسمت اول تولید می‎كند، سرویس دهد. وقتی كه یك لایه برای انجام امور به لایه دیگر متكی می‎شود،‌لایه‎ها به وجود می‎آیند. بنابراین نرم‎افزار یك لایه می‎تواند در حالی كه تمامی لایه‎های دیگر یكسان باقی می‎مانند، به جای برناه دیگر جایگزین شوند.
مدل مرجع ‎OSI از هفت لایه زیر تشكیل شده است:
•     لایه 7: لایه برنامه كاربردی ‎(Application layer): این لایه به عنوان پنجره‎ای به كانال ارتباطی برای برنامه كاربردی و البته با توصیف داده‎ها و تبدیل آنها به اطلاعات با مفهوم برای برنامه‎های كاربردی عمل می‎كند.
•     لایه 6: لایه نمایشی ‎(Presentation layer): این لایه چگونگی نمایش المان‎های داده برای ارسال، از جمله منظم كردن بیت‎ها و بایت‎ها در اعداد و فرمت‎بندی اعداد نمایی و همانند آن را برعهده دارند.
•     لایه 5: لایه جلسه ‎(Session layer): این لایه، ‌نشستهایی را بین ماشینهای ارتباطاتی با كمك به شروع، نگهداری و مدیریت آنها هماهنگ می‎كند.
•     لایه 4: لایه انتقالی ‎(Transport layer): این لایه، برای تهیه جریان ارتباطی قابل اعتماد بین دو سیستم، كه شامل انتقال دوباره پیامهای گم شده، قرار دادن آنها در جای مناسب و نظارت و بازرسی خطاها است، استفاده می‎شود.
•     لایه 3: لایه شبكه ‎(Network layer): این لایه برای انتقال داده از یك سیستم از میان مسیریابها به ماشین نهایی در طول شبكه، مسئولیت‎پذیر است.
•     لایه 2: لایه پیوند داده‎ها ‎(Data link layer): این لایه، داده را در طول شبكه حركت می‎دهد.
•     لایه 1: لایه فیزیكی ‎(Physical layer): این لایه بیت‎ها را در طول پیوند فیزیكی كه می‎تواند فیبر نوری، ارتباط رادیویی، مس و یا هر رسانه فیزیكی دیگر انتقال می‎دهد.

چگونه ‎TCP/IP سازگار می‎باشد؟
وقتی كه مفهوم مدل مرجع ‎OSI، پروتكل‎های گوناگون شبكه را پاسخ می‎دهد، ‌پس بیایید پروتكل ‎ TCP/IP را تجزیه كنیم. در ‎ TCP/IP لایه كاربردی، لایه‎های جلسه و نمایش مدل مرجع ‎OSI در لایه كاربردی قرار داده شده‎اند. TCP/IP روی داده ارسالی برای برنامه كاربردی تمركز ایجاد می‎كند.
•     لایه كاربردی:‌این لایه خود TCP/IP نمی‎باشد. بلكه متشكل از برنامه‎های خاصی است كه سعی می‎كنند با استفاده از ‎ TCP/IP در طول شبكه با هم ارتباط برقرار كنند. مدل ارتباطی در این لایه ممكن است شامل دو ‎Mail Server، سرویس‎دهنده و سرویس‎ گیرنده ‎Telnet، سرویس دهنده و سرویس گیرنده ‎FTP و یا سایر برنامه‎های كاربردی باشد.
•     لایه انتقال: این لایه شامل پروتكل كنترلی ارسالی، ‎(TCP) پروتكل دیتاگرام كاربر ‎(UDP)، و پروتكل ساده‎ای كه ما در آینده در این قسمت با جزییات بیشتری تجزیه می‎كنیم، می‎باشد. این لایه اطمینان حاصل می‎كند كه بسته‎ها به مكان مناسب روی ماشین مقصد تحویل داده شده‎اند. همچنین برای فراهم كردن بسته‎ها به صورت منظم برای برنامه‎ای كاربردی كه احتیاج به این عمل دارند،‌ می‎تواند استفاده شود.
•     لایه شبكه: این لایه به پروتكل اینترنت ‎(IP) وابسته است و هدف آن فرستادن پیامها از كامپیوتر منبع داده شده به ماشین نهایی داده شده در طول شبكه می‎باشد. بر طبق اصطلاح مدل مرجع ‎OSI، به لایه ‎IP گاهی اوقات لایه سوم نیز گفته می‎شود.
•     لایه پیوند داده: این لایه پیامها را در طول شبكه از هر كامپیوتر به كامپیوتر دیگر انتقال می‎دهد. به عنوان مثال، این لایه‎ها روی كامپیوتر داده‎ها را از كامپیوتر شما به مسیریاب ‎(Router) شبكه محلی شما حركت می‎دهد. سپس مسیریاب ‎(Router) با استفاده از این لایه پیوندی، داده را به مسیریاب بعدی انتقال می‎دهد. باز هم طبق اصطلاح مدل ‎OSI، لایه پیوند داده به لایه‌ دوم ارجاع می‎شود.
•     لایه فیزیكی: این لایه یك واسطه فیزیكی از قبیل سیم و یا كابل كه اطلاعات از آن عبور داده می‎شود، می‎باشد.
لایه‎های شبكه و انتقال با هم سیستم پشته‎ای TCP/IP را تشكیل می‎دهند كه متشكل از نرم‎افزارهای اجرایی روی كامپیوتر است. همانند مدل ‎OSI، یك لایه با لایه‎ای مشابه در قسمت دیگر رابطه برقرار می‎كند. علاوه بر آن، لایه پایینی سرویسی را برای لایه‎های بالایی تهیه می‎كند.

مفهوم ‎ TCP/IP
اینكه كه درك ابتدایی‎ای از لایه پروتكل داریم. ‎ TCP/IP را با جزئیات دقیق‎تری مورد آزمایش قرار می‎دهیم. خانواده پروتكل‎های ‎ TCP/IP از اجزای گوناگونی تشكیل یافته است: پروتكل كنترل  انتقال ‎*TCP) پروتكل ‎(UDP) User Datagram، پروتكل اینترنت ‎(IP) و پروتكل پیام كنترل اینتر ‎(ICMP).
‎ TCP/IP در رشته‎هایی از مدارك تولید و نگهداری شده توسط گروه ویژه مهندسی اینترنت ‎(IETF) توضیح داده می‎شود. ‎John Postel پدر خانواده ‎ TCP/IP، رشته‎هایی از درخواست‎ها یكسری از اسناد و نظریه‎های تئوری كه توضیح می‎دهد چگونه ‎ TCP/IP كار می‎كند را تهیه كرد. ‎193 تا ‎191 ‎RFC كه ‎IP، ‎TCP و ‎ICMP را توصیف می‎كنند كه در ‎www.ietf.org/rfc,html با هزاران ‎RFC دیگر كه جنبه‎های دیگر اینترنت را توصیف می‎كنند قابل دسترسی‎اند.
‎ TCP/IP در اصل برای تحقیقات و آكادمیها تهیه شده بود و هیچ‎گونه قابلیت حفاظتی را دارا نبود. پروتكل سنتی ‎ TCP/IP برای اطمینان از قا بلیت اعتماد، جامعیت داده‎ها و اعتبار داده ‌ارسال شده بر روی شبكه مناسب نبود. بدون كنترل‎های مخفیانه و صادقانه، وقتی كه شما داده‎ای را به اینترنت می‎فرستادید،‌‎ TCP/IP به هر استفاده‎كننده دیگری اجازه دیدن و تغییر داده شما را می‎دهد. به علاوه، بدون اعتبارسنجی ‎(authentication) یك مهاجم می‎تواند داده‎ای را كه به نظر می‏‎آید از منابع قابل اعتماد دیگر روی شبكه به دست می‎آید، برای شما بفرستد.
درگذشته، تمام قابلیت‎های حفاظتی شبكه‎های ‎ TCP/IP در برنامه‎های كاربردی ارتباطی به كار گرفته می‎شدند و در پشته TCP/IP عملی انجام نمی‎گرفت. فقط اخیراً حفاظت و امنیت، به پروتكل ‎ TCP/IP در فرم توسعه پروتكل كه ‎Ipsee نامیده می‎شود و ما در آینده با جزییات دقیق‎تری در این قسمت آن را  توصیف خواهیم كرد، قرار داده شده است. اگرچه ‎Ipsee آینده خوبی دارد اما هنوز به طور گسترده به كار گرفته نشده‎اند. بنابراین، بدون این قابلیت‎های حفاظتی پروتكل، برنامه‎هیا كاربردی هنوز برای انجام امور حفاظتی اغلب به خود واگذار می‎شوند.

پروتكل كنترل انتقال داده ‎(TCP)
‎‎ TCP بخشی است از اینترنت كه امروزه توسط اكثریت برنامه‎های كاربردی استفاده می‎شود. از میان هزاران برنامه كاربردی كه توسط ‎ TCP استفاده می‎شوند برخی از آنها قابل توجه‎ترند.
•     انتقال فایل با استفاده از پروتكل انتقالی فایل ‎(FTP)
•     ‎telnet، یك رابط خط فرمان از راه دور
•     ‎Email با استفاده از پروتكل‎های گوناگون كه شامل پروتكل انتقالی پستی ساده (SMTP) و پروتكل (POP) Post Office  می‎باشد.
•     مرورگر وب با استفاده از پروتكل انتقالی ابرمتنها ‎(HTTP)
هر كدام از این پروتكل‎ها بسته‎ها را تهیه كرده و آنها را به پشته ‎TCP/IP ماشین محلی عبور می‎دهند. نرم‎افزار لایه ‎ TCP روی سیستم این داده را می‎گیرد و با قرار دادن هدر ‎ TCP در جلوی هر پیام، بسته‎های ‎ TCP را تولید می‎كند.

شماره پورت ‎ TCP
هدر هر بسته ‎ TCP شامل دو عدد درگاه می‎باشد. پورت مبدأ و پورت مقصد. این اعداد 16 بیتی همانند درهای كوچكی بر روی سیستم یعنی جایی كه داده می‎تواند فرستاده و یا دریافت شود می‎باشند. درگاه‎ها درهای فیزیكی نیستند. آنها واحدهای منطقی هستند كه توسط نرم‎افزار پشته ‎ TCP/IP توضیح داده شده است. 65535 پورت ‎ TCP مختلف روی هر ماشین وجود دارد. پورت صفر ‎ TCP رزرو شده و استفاده نمی‎شود. هر بسته ‎ TCP از میان یكی از این درها از ماشین مبدأ بیرون می‎آید (عدد پورت TCP مبدأ) و پورت دیگر روی ماشین مقصد مشخص شده است.
وقتی كه یك برنامه كاربردی سرویس دهنده مبتنی بر ‎ TCP روی سیستم كار می‎كند، به درگاه خاصی برای بسته‎های ‎ TCP كه از یك سرویس‏‎گیرنده می‎آید، گوش می‎دهد. به یك پورت با سرویس شنوایی، پورت باز و به جایی كه چیزی برای شنیدن وجود ندارد پورت بسته گفته می‎شود. سرویس دهنده‎های گوناگون برنامه كاربردی به پورت‎های مشهور گوش می‎دهند. پورت‎های ‎ TCP مورد استفاده اغلب به صورت زیر می‎باشد:
•     TCP Port 21- پروتكل ارسالی فایل  (FTP)
•     TCP Port 23-Telnet
•     TCP Port 25-پروتكل ارسالی پستی ساده  (SMTP)
•    TCP Port 80-Word Wide Web (HTTP)
•     TCP Port 666-Doom (…Id بازی از نرم‎افزار)
برای اتصال، سرویس‎دهندگان برنامه كاربردی، لایه ‎ TCP سرویس گیرنده بسته‎هایی با پورت مقصد ‎ TCP شبیه به پورتی كه برنامه كاربردی سرویس دهنده در حال گوش دادن است را تولید می‎كنند.
پورت مبدأ برای درخواست بسته (Packet) به صورت دینامیكی توسط سیستم عامل به برنامه متقاضی به شماره‎ای بیش از 1023 كه پورت شماره بالا (“High-numbered”) نامیده می‎شود تنظیم شده است. پورت نهایی درخواست مطابق با برنامه كاربردی، جایی كه سرویس‎دهنده در حال گوش كردن است همانند ‎ TCP Port 80 برای عبور و مرور ‎HTTP می‎باشد. برای بیشتر برنامه‎های ك اربردی، سرویس دهنده پیامهای پاسخ را به شماره پورت‎های ارسال شده خواهد فرستاد. پورت مبد بسته پاسخ، شماره‌پورتی است كه سرویس‎دهنده در حال شنیدن بوده است و پورت مقصد جایی است كه سرویس‎گیرنده پیام اصلی را فرستاد.
هدایت‎گر سیستم می‎تواند هر سرویس‎دهنده برنامه كاربردی را برای استفاده از هر شماره پورت صادر شده مدیریت كند اما برنامه‎های سرویس گیرنده از برنامه‎های كاربردی انتظار دارند كه روی درگاه‎های نهایی مشخصی شنیده شوند. بنابراین، برای اینكه سرویس‎گیرنده و كاربر درباره پورت نهایی مرسوم روی سرویس‎دهنده اطلاعاتی داشته باشند، شماره‎های پورتی كه در ‎REC 1700 توصیف شده‎اند اغلب مورد استفاده قرار می‎گیرند.
برای آنكه ببینید چه پورتهایی در ‎Window NT/2000 یا سیستم ‎UNIX مورد استفاده‎اند می‎توانید از دستور «‎netstat» استفاده كنید. با تایپ «‎Netstat-na» در خط فرمان، تمام پورت‎هایی كه داده‎ها را می‎فرستند، نمایانگر خواهند شد. نشان «-na» در تمام دستورات به معنای نمایش همه پورت‎ها و لیست كردن آدرس‎های شبكه و شماره فرم‎ها در قالب عددی می‎باشد.

بیت‎های كنترلی ‎ TCP، دست دادن سه طرفه ‎(Three-way handshke) و شماره‎های سریال
بیت‎های كنترل ‎ TCP، كه همچنین اغلب با عنوان «code bits» نامیده می‎شوند، قسمتهای بخصوص مفیدی از هدر ‎ TCP هستند.
این 6 فیلد كوچك (هر كدام فقط با طول 1 بیت) مشخص می‎كند كه كدام قسمت از نشست ‎(Session) بسته ‎ TCP در رابطه است با مثلاً آغاز نشست و ‎acknowledgment، پایان دادن به یك نشست. همچنین، بیت‎های كنترل می‎تواند معلوم كند كه آیا بسته درخواست شده، توجه لازم كه توسط لایه ‎ TCP هدایت شود را دارد؟
اكثری مردم به بیت‎های كنترل ‎ TCP تحت عنوان «Cod bites» مراجه می‎كنند. هر كد بیت می‎تواند به طور غیروابسته تنظیم شود بنابراین هر بسته TCP می‎تواند شامل یك و یا حتی بیشتر كد بیت‎های 6 تایی به ارزش 0 و 1 باشد. اغلب، تنها یكی و یا دو تا از كد بیت‎ها در پیام داده شده به ارزش 1 تنظیم شده‎اند. كد بیت‎ها به معانی زیر هستند:
‎URG: اشاره‎گر ضروری در فیلد هدر ‎ TCP مهم و بامعنا است.
‎ACK: فیلد ‎Acknowledgment مهم است. این پیام برای مشخص كردن بسته‎های دریاف شده استفاده می‎شود.
‎PSH: این یك عملگر جلوبرنده است كه برای حركت دادن داده در لایه ‎ TCP استفاده می‎شود.
‎PST: ارتباط به خاطر خطا و سایر وقفه‎ها باید دوباره برقرار شود.
‎SYN: سیستم باید شماره سریال را همگام نماید این كد در طول برپایی نشست استفاده می‎شود.
‎FIN: هیچ داده دیگری از فرستنده وجود ندارد. بنابراین، نشست باید از بین برود.
وقتی كه ما چگونگی آغاز نشست‎ها را در ‎ TCP تجزیه و تحلیل كنیم، اهمیت بیت‎های كنترل ‎ TCP واضح می‎شود تمامی ارتباطات ‎ TCP قانونی با استفاده از دست دادن سه طرفه ‎(Three-way handshake) و ابزار اولیه كه توسط ‎ TCP برای انجام كارهایش استفاده می‎شود برپا شده است. دست دادن سه طرفه، ترسیم شده به سیستم اجازه می‎دهد تا یك نشست ارتباطی و برقراری مجموعه‎ای از شماره‎های سریال برای بسته‎هایی كه در نشست استفاده می‎شوند را باز كند.
تمامی بسته‎ها در این نشست به جای مناسب می‎رسند. اگر دو بسته در این انتقال برگشت داده شوند (به این حالت كه مثلاً بسته آخر مسافت كمتری را نسبت به بسته اولیه طی كرده است) لایه ‎ TCP می‎تواند مشكل بسته‎ها را قبل از فرستادن آنها در برنامه كاربردی كشف كند. و آنها را دوباره مرتب نماید. به طور مشابه اگر یك بسته در طول انتقال و ارسال گم شود، ‎ TCP می‎تواند مشكل را با توجه به شماره‎های سریال و شماره‎های ‎ACK بسته مفقود شده، ‌كشف و نسبت به انتقال دوباره این بسته‎ها اقدام كند. بنابراین، ‎Three-way handshake و شماره‎های سریالی كه از آن نتیجه می‎شوند،‌ به ‎ TCP اجازه می‎دهند كه ارسالهای قابل اعتمادی داشته باشند.
هنگامی كه كد بیت‎های ‎SYN و ‎ACK برای برپایی نشست استفاده می‎شوند، كد بیت ‎FIN برای از میان بردن نشست استفاده می‎شود. هر طرف پیامی را كه كد بیت ‏‎FIN تنظیم شده است تا نشستی را كه باید خاتمه یابد مشخص كند، می‎فرستد.
كد بیت ‎RST برای توقف ارتباطات و آزادسازی شماره‎های سریال در حال استفاده به كار می‎رود. اگر یك ماشین بسته‎ای كه انتظارش را ندارد دریافت كند (مانند پیامهایی شامل بیت ‎ACK وقتی كه هیچ نشستی برپا نشده است) با پیامی كه بیت ‎RST آن تنظیم شده است، واكنش نشان خواهد داد. این روش بیان ماشین است. «اگر شما فكر می‎كنید كه نشستی وجود دارد، آن را از بین ببرید زیرا من نمی‎دانم شما راجع به چه مسأله‎ای صحبت می‎كنید.‌»
كد بیت‎های ‎URG و ‎PSH اغلب كمتر از 4 بیت دیگر استفاده می‎شوند. كد بیت ‎URG به این معناست كه داده شامل برخی داده‎های ضروری می‎باشد. اگر كد بیت ‎URG به یك تنظیم شده است فیلد اشاره‎گر مشخص می‎كند كه در كدام قسمت داده رشته‎ای، داده ضروری واقعی وجود دارد. ‎ TCP مشخص نمی‎كند كه چگونه داده ضروری باید توسط برنامه كاربردی به كار برده شود. این فقط به لایه كاربردی در یك طرف ارتباط اجازه می‎دهد تا داده واقعی را برای قسمت دیگر ارتباط نشان دهد. كد بیت ‎PSH به این معناست كه لایه ‎ TCP باید بسته را از میان پشته با سرعت عبور دهد.

فیلدهای دیگر در هدر TCP
بجز فیلدهای هدر ‎ TCP كه قبلاً توضیح داده شد،‌ فیلدهای گوناگون دیگری هم در در ‎ TCP یافت می‎شوند. این فیلدهای اضافی از قرار زیر هستند:
•     ‎Data offset: این فیلد توضیح می‎دهد كه در كجای بسته TCP هدر پایان یافته و داده شروع می‎شود. این با طول هدر ‎ TCP در كلمات 32 بیتی برابری می‎كند.
•    ‎Reserved: این فیلد برای استفاده آتی رزرو شده است.
•     ‎Window: این فیلد برای كنترل شماره بسته‎های ارسال شده كه بین سیستم‎ها فرستاده می‎شود استفاده می‎گردد. این به هر قسمت از ارتباط، راهی را برای كنترل جریان بسته‎ها از قسمت دیگر می‎دهد تا اطمینان حاصل كنند كه همه بسته‎ها به طور منظم دریافت شده‎اند و قبل از آنكه بسته‎های جدید فرستاده شوند به طور منظم ‎acknowledge بسته‎های دریافت شده فرستاده می‎شود.
•     ‎Checksum: برای رسیدگی به اینكه بسته TCP (هدر و داده) در انتقال در شبكه خراب نشده است،‌استفاده می‎شود.
•     ‎Urgent Pointer: این فیلد،‌ اشاره‎گری به داده‎ای از بسته را دارد تا مشخص كند كه اطلاعات ضروری كجا واقع شده‎اند.
•     ‎Options: این مجموعه از فیلدهای با طول گوناگون، می‎توانند اطلاعات اضافی درباره قابلیت‎های پردازشی ‎ TCP را از هر كدام از طرفهای ارتباط مشخص كنند. به عنوان مثال اگر لایه ‎ TCP فقط بسته‎های ‎ TCP از ماكزیمم سایز گرفته شده را اداره كند، ‌سیستم می‎تواند محدودیت را در گزینه‎های ‎ TCP مشخص كند.
•    ‎Padding: این فیلد بیت‎های اضافی تنظیم شده با مقدار صفر را شامل می‎شود تا طول هدر TCP را توسعه دهد. بنابراین این روی مرز 32 بیتی خاتمه می‎یابد.

پروتكل دیتاگرام كاربر ‎(User Datagram Protocol)
وقتی كه به اسم پروتكل به عنوان  « TCP/IP» اشاره می‎شود، اعضای دیگری از این خانواده در كنار ‎IP و ‎ TCP وجود دارند. ‎UDP لایه انتقالی دیگری است كه در بالای ‎IP می‎تواند قرار گیرد. ‎UDP و ‎ TCP مانند دو عموزاده هستند. ‎ TCP بیشتر مورد توجه است و در اسم فامیلی استفاده می‎شود ولی UDP هنوز پایه بسیاری از برنامه‎های كاربردی مهم است. تهیه‎كننده برنامه كاربردی می‎تواند انتخاب كند كه داده را با استفاده از ‎ TCP بفرستند. یا ‎UDP (با توجه به اینكه برنامه كاربردی چه چیزی را از لایه انتقال نیاز دارد)، بسته‎های دریافت شده و رشته‌ ارتباطی، یا ‎ TCP هستند یا ‎UDP و نمی‎توانند هر دو پروتكل را به طور همزمان مورد استفاده قرار دهند. سرویس‎هایی كه ‎UDP را مورد استفاده قرار می‎دهند شامل بسیاری از رشته‎های داده‎های ویدیویی و صوتی برنامه‎های كاربردی می‎باشند كه به همان خوبی جستجوها و پاسخهای ‎(Domain Name Service) DNS عمل می‎كند.
‎UDP بدون اتصال است ‎(Connectionless) پروتكلی كه وضعیت اتصال را نمی‎داند و یا به خاطر نمی‎آورد و هیچ اعتقادی به نشست‎های ابتدایی،‌ تصدیق دریافت اطلاعات، خراب شدن یا چیز دیگری ندارد. به علاوه ‎UDP پیام‎های گمشده را دوباره ارسال نمی‎كند و یا حتی آنها را در جای مناسب قرار نمی‎دهد. بنابراین، اگر پیام 1، پیام 2، و پیام 3 فرستاده شوند، مقصد ممكن است پیام 2، پیام 1 و كپی دیگری از پیام 1 را دریافت كند. پیام3 گم می‎شود و پیام 1 دوباره فرستاده می‎شود.
‎UDP غیرقابل اعتماد است. ممكن است پیامها را گم كند و یا آنها را خراب بفرستد. اما گاهی اوقات عدم قابلیت اطمینان، خوب است. بخصوص وقتی كه می‎تواند برای شما سرعت را به ارمغان آورد. برخی از برنامه‎های كاربردی به گرفتن پیامها با سرعت زیاد در طول شبكه علاقه‎مندند و به قابلیت اطمینان در سطح بالا نیازی ندارند. این برنامه‎های كاربردی به سربار ‎Three-way handshake و شماره‎های سریال روی هر بسته و غیره احتیاج ندارند. در عوض، برای این برنامه‎های كاربردی، ‌سرعت و سادگی جزء نیازهای ضروری هستند.
به علاوه برخی برنامه‎های كاربردی پرسش ‎- پاسخ، از ‎UDP به طور چشمگیری استفاده می‎كنند. وقتی كه آدرس شبكه را برای نام یك حوزه ‎(Domain) خاص جستجو می‎كنید، ‎DNS پیامی را با یك پرس‎وجو می‎فرستذد تا نام دامنه را جستجو كند. (پیام كه می‎گوید: آدرس ‌«10.21.41.3» است). این برنامه‎های كاربردی،‌ سرباری در رابطه با برپایی ارتباط با استفاده از دست دادن سه طرفه را برای فرستادن پرس‎وجو و گرفتن پاسخ نمی‎خواهند.
‎UDP شماره‎های پورت 16 بیتی را دارند بنابراین ‎65335 پورت‎های ‎UDP قابل دسترس وجود دارند. فقط مانند ‎ TCP، داده از پورت سیستم اصلی (پورت مبدأ ‎UDP) می‎آید و برای یك پورت روی سیستم مقصد (پورت مقصد ‎UDP) در نظر گرفته شده است. یكی از گسترده‎ترین سرویس‎های ‎UDPهای مورد استفاده ‎(DNS) برای گوشكردن به پرس‎وجوهای ‎DNS روی پورت 53 ‎UDP است.
سرویس‎های دیگر پایه‎گذاری شده براساس ‎UDP شامل:
•     پروتكل انتقالی فایل كم اهمیت ‎(TFTP)، پورت ‎UDP69
•     پروتكل مدیریت شبكه ساده ‎(SNMP)، پورت ‎UDP161
•    داده ‎Real Player، صوتی ‎- تصویری، یكسری از پورت‎های ‎UDP شامل 7070، اگرچه سرویس‎گیرنده می‎تواند فقط برای استفاده پورت‎های ‎‎TCP در صورت لزوم پیكربندی شود.

پروتكل اینترنت (IP) و پروتكل كنترل پیام اینترنت ‎(ICMP)
وقتی كه لایه ‎UDP یا ‎ TCP بسته برا تولید می‎كند، آن باید در طول شبكه فرستاده شود. لایه انتقال (‎UDP یا ‎ TCP) بسته را به لایه شبكه برای بردن آن عبور خواهد داد.
پروتكل اینترنت ‎(IP) عمومی‎ترین لایه شبكه‎ای است كه امروزه استفاده می‎گردد و برای تمامی حركتهای ترافیكی در طول اینترنت مورد استفاده واقع می‎شود.

شبكه‎های محلی و مسیریابها
هدف ‎IP انتقال بسته‎ها در طول شبكه می‎باشد. شبكه‎های كامل از بلوك‎های ساختمانی اساسی و پایه‎ای به نام ‎Local area networks (LANs) تشكیل یافته‎اند. ‎LAN به طور ساده گروهی از كامپیوترها می‎باشند كه با استفاده از ‎hub یا ‎switch بدون هیچ مسیریابی كه سیستم‎ها را مجزا كند، به هم مرتبط‎اند. همان‎طور كه نامشان مشخص می‎كند ‎LANها به طور نمونه از نظر جغرافیایی كوچكند و معمولاً ساختمان منفرد و محوطه كوچكی را دربرمی‎گیرند.
‎LANها با استفاده از مسیریابها به هم متصلند. وظیفه مسیریاب این است كه بسته‎ها را بین ‎LANها برای به وجود آوردن یك شبكه بزرگ، همان‎طور كه در شكل نشان داده شده است، حركت دهد. یك و یا چند پروتكل لایه شبكه، داده را در طول شبكه از كامپیوتر كاربر نهایی و از میان مجموعه‎ای از مسیریابها، تا سیستم نهایی حركت می‎دهد. همچنین،‌ سیستم‎ها به طور مستقیم به مسیریابها یا هر پیوند نقطه به نقطه در حال استفاده دیگری مرتبط شده‎اند. خود اینترنت، چیزی به جز مجموعه ‎LANهای عظیم و ارتباطات نقطه به نقطه كه با استفاده از گروه‎های مسیریاب ‎(Router) به هم متصل شده‎اند نمی‎باشد.

یك شبكه تركیبی از ‎lanهای متصل شده به هم توسط مسیریابها می‎باشد.

آدرس ‎IP
آدرس‎های ‎IP ماشین بخصوصی را روی شبكه توضیح می‎دهند و طولشان 32 بیت می‎باشد. هر سیستم كه به طور مستقیم به اینترنت متصل می‎شود آدرس ‎IP منحصر به فردی دارد. از آنجایی كه محدود كردن مردم به خواندن و حفظ كردن یك بلوك 32 بیتی، بسیار مشكل است. لذا آدرس‎های IP اغلب به صورت نماد ‎dotted-qual نوشته می‎شوند. نماد ‎Dotted-qued، هر كدام از 4 بسته‎های 8 بیتی از آدرس IP را به عنوان عددی بین 0 و 255 كه در آدرس ‎ IP به فرم ‎W.X.Y.Z مانند ‎10.12.41.3 نتیجه می‎شود را لیست می‎كند.
هر كدام از بسته‎های ‎IP، آدرس ‎ IP مبدأ را با تعریف سیستمی كه بسه را می‎فرستد و آدرس ‎ IP مقصد كه سیستم مقصد را برای بسته مشخص می‎سازد شامل می‎شود.
‎Netmasks
هر آدرس ‎ IP به صورت واقعی از 2 قسمت تشكیل یافته است. آدرس شبكه و آدرس میزبان روی همان شبكه خاص، آدرس شبكه، ‎LAN خاصی را توضیح می‎دهد كه ترافیك می‎تواند برای رساندن بسته هدایت شود. آدرس میزبان، ماشین مخصوص روی ‎LAN داده شده را توضیح می‎دهد.
چگونه كامپیوتر و یا مسیریاب می‎داند كه كدام قسمت از آدرس ‎ IP مربوط به شبكه و كدام مربوط به میزبان است؟ در واقع اطلاعات پایه‎گذاری شده روی قسمتی كه ‎Netmask نامیده می‎شود آن را تعریف می‎كند. ‎Netmask مشخص می‎كند كه كدام بیت‎ها در آدرس شبكه هستند (و بقیه بیت‎های آدرس ‎IP در قسمت میزبان واقع شده‎اند). ‎ Netmask عددی است كه بیت‎هایش را وقتی كه قسمتی از آدرس‎ شبكه است، به مقدار 1 تنظیم می‎نماید. وقتی كه بیت داده شده در آدرس ‎IP قسمتی از آدرس میزبان است،‌‎ Netmask دارای بیت صفر است. بنابراین شما می‎توانید آدرس ‎ Netmask را باتركیب ساده تمامی آدرس ‎IP با ‎ Netmask با استفاده از عملگر ‎XOR، تشخیص دهید. همانند آدرس‎های ‎IP، ‎ Netmaskها هم در نماد ‎dorred-qued نوشته می‎شود.

بخش‎بندی یك بسته در ‎IP
رسانه‎های ارسالی گوناگون، خصوصیات اجرایی مختلفی دارند. برخی رسانه‎ها
وقتی پیامها طولانی‎تر باشند بهتر عمل می‎كنند در حالی كه دیگر رسانه‎ها از پیامهایی با طول كوتاهتر بهره می‎برند. به عنوان م ثال، انعاس دادن یك بسته ‎ IP از یك ماهواره بسیار متفاوت است با فرستادن یك بسته از میان فیبر نوری. با توجه به زمان تأخیر ‎(latency) مربوط به ارسال اطلاعات به ماهواره، بسته‎های بزرگتر كارایی بیشتری دارند در حالی كه بسته‎های كوچكتر كارایی خوبی را در شبكه‎های با تأخیر كمتر ‎(loulatency) دارند. برای بهینه ‎ساختن طول بسته‎ها برای پیوندهای گوناگون ارتباطی، ‎ IP عناصر شبكه (مانند مسیریابها و ‎firewalls)) را كه قابلیت تبدیل پیامها به قطعات كوچكتر را دارند، (عملی كه ‎fragnetations نامیده می‎شود) معرفی می‎كند. سیستم پایانی یا ابزار شبكه می‎تواند بسته‎های ‎ IP بزرگ را بگیرد و آنها را به تكه‎های كوچكتر برای ارسال در طول شبكه بشكند. لایه ‎ IP سیستم نهایی موظف است كه دوباره تمامی قطعات را قبل از فرستادن داده به لایه حمل اسمبل كند.
هدر ‎ IP، یك جفت فیلد برای پشتیبانی این قطعات پیشنهاد می‎كند. ابتدا فیلد ‎fragment offset به سیستم می‎گوید تا زمانی كه تمامی پیام مجدداً اسمبل شد، محتویات این قطعات بایستی شامل كدام قسمت باشند. به علاوه، فیلد شناسایی ‎(Identification) استفاده می‎شود تا به اسمبل مجدد قطعات كمك كند. فیلد شناسایی، توسط سیستم پخش‎كننده به مقداری واحد تنظیم شده است تا به سیستم مقصد برای اسمبل مجرد پیام كمك كند. به علاوه پرچمها ‎(flag یا نشانه) در هدر ‎ IP، اطلاعاتی در ارتباط با ‎fragmentation‎ را مشخص می‎كند. سیستم فرستنده می‎تواند این فیلدها را تنظیم كند تا مشخص كند كه پیامها در حین عبور از شبكه نباید مجزا شوند. همچنین اگر یك بسته قطعه قطعه شده است،‌ این نشانها مشخص می‎كنند كه آیا هنوز قطعاتی از پیام اصلی بر سر راه قرار دارند یا نه. این 2 بایت می‎توانند ارزشهای زیر را داشته باشند.
•     Flag Bit 1 (the Don’t Fragment bit): 0 = may fragment 1 = don’t fragment
•     Flag Bit 2 (the more Fragment bit): 0 = last fragment 1 = more fragments

دیگر قسمت‎های تشكیل دهنده ‎IP
هدر ‎ IP متشكل است از:
•     ‎Version: این 4 بایت توضیح می‎دهند كه كدام نسخه از پروتكل اینترنت در حال استفاده است نسخه چهارم ‎ IP، نسخه‎ای است كه به صورت گسترده در سراسر اینترنت استفاده می‎شود.
•     ‎IHL: این فیلد،‌ ‎the internet Header Length، طول كلی هدر ‎ IP است.
•     ‎Service type: این فیلد با كیفیت سرویس مرتبط است. برای عناصر شبكه مشخص می‎كند كه تا چه مقدار به تأخیر افتادن عبور و مرور می‎تواند حساس باشد.
•    ‎Total length: این قسمت طول كلی بسته ‎ IP كه شامل هدر IP و داده‎های آن است را معین می‎كند.
•    ‎Idinification: این فیلد برای پشتیبانی از اسمبل مجدد تكه‎ها استفاده می‎شود.
•     ‎Flags: این بیت‎ها همان‎طور كه قبلاً توضیح داده شده است شامل بیت «Don’t fragment» و بیت «More fragment‎» می‎باشند.
•     ‎Fragment offset: این قسمت مشخص می‎كند كه تكه‎ها می‎بایستی در كدام قسمت از پیام جا داده شوند.
•     ‎Time to live (TTL): این فیلد برای مشخص كردن بیشترین تعداد جهش‎های          روتر – به - روتر زمانی كه بسته در طول شبكه عبور داده می‎شود،‌ مورد استفاده واقع می‎شود.
•    ‎Protocol: این فیلد، پروتكلی كه توسط پیام ‎IP حمل می‎شود را توضیح می‎دهد كه اغلب مشابه ‎TCP یا ‎UDP ارزشگذاری می‎شود.
•     ‎Header Checksum: این اطلاعات برای حصول اطمینان از اینكه هدر اشتباهی نكرده باشد استفاده می‎شود كه در هر جهش توسط مسیریاب دوباره تخمین زده می‎شود.
•     ‎Source IP Address: این فیلد آدرس شبكه و میزبان را از جایی كه بسته آمده است، ‌مشخص می‎كند.
•    ‎Destination IP Address: این فیلد آدرس شبكه و میزبان را به جایی كه بسته فرستاده می‎شود، مشخص می‎كند.
•     ‎Options: این فیلدهای با طول متغیر،‌ اطلاعات گسترده شده برای لایه ‎ IP را مشخص می‎كند. بخصوص، در مسیریابی مبدا، عملگری كه در زیر با جزییات بیشتری توصیف می‎شود، مورد استفاده قرار می‎گیرد.
•     ‎Padding: این فیلد به این منظور مورد استفاده قرار می‎گیرد كه طول هدر ‎ IP را در حد 32 بیت نگاه داشته و از 32 بیت بیشتر نگردد.

امنیت یا كمبود در ‎ IP سنتی
پروتكلی كه امروزه در اینترنت استفاده می‎شود،‌‎ IP با نگارش 4، هیچ‎گونه قابلیت حفاظتی اساسی را شامل نمی‎شود. تمامی اجزاء تشكیل دهنده بسته به صورت متن واضح آورده شده و هیچ‎ چیز پنهان نیست. هر چیزی در هدر و یا حتی در قطعه داده می‎تواند مشاهده شده و یا توسط مهاجم تغییر یابد. به علاوه، پروتكل شامل شناسایی ‎(authentication) نیست بنابراین یك مهاجم می‎تواند پیامهایی را با هر آدرس IP مبدأ تولید كند.

‎ICMP
یكی دیگر از اعضای فامیل ‎TCP/ IP، پروتكل كنترل پیام اینترنت ‎(ICMP)
است. ICMP، مانند لوله‎كشی شبكه است. وظیفه‎ای انتقال فرمان و كنترل اطلاعات بین سیستم‎ها و شبكه برای انتشار نقل و انتقالات داده واقعی و گزارش خطاها می‎باشد. یك سیستم می‎تواند از ‎ICMP برای امتحان اینكه آیا سیستم دیگر فعال است یا نه (با فرستادن ‎«ping» كه پیام پژواك ‎(ICMP Echo) است) استفاده كند. اگر سیستم ‎Pinged فعال باشد، به فرستادن پیام پاسخ پژواك ‎(ICMP Echo) واكنش نشان می‎دهد. یك مسیریاب می‎تواند از ‎ICMP استفاده كند تا به سیستم مبدا اطلاع دهد كه راهی به مقصد مورد نیاز ندارد (یك پیام مبنی بر مقصد غیرقابل جستجو ‎ICMP). یك میزبان می‎تواند به سیستم دیگر بگوید كه سرعت تعداد پیامهایی را كه مبدأ ICMP می‎فرستد را كاهش دهد. درست متوجه شدید ‎- ICMP برای سیستم‎ها استفاده می‎شود تا اطلاعاتی در مورد اینكه چگونه داده در طول شبكه جاری می‎شود (و یا جریان نمی‎یابد) را مبادله كحند.
‎ ICMP از این فرمت هدر به عنوان ‎IP برای آدرس‎های ‎IP مبدأ و مقصد، قطعه‎بندی بسته‎ها و سایر عملها استفاده می‎كند. فیلد پروتكل هدر ‎IP با مقداری مطابق با ‎ ICMP پر می‎شود (عدد 1 به معنای ‎ ICMP می‎باشد). بعد از هدر ‎IP در اجزاء داده‌ بسته ‎IP، ‎ ICMP فیلدی با نام ‎ ICMP type را می‎افزاید. فرمت باقیمانده بسته ‎IP به این نوع ‎ ICMP بستگی دارد. انواع مختلفی از مدل‎های پیام ‎ ICMP، وجود دارد.

تفسیر آدرس شبكه
بلوك‎های آدرس‎های ‎IP به سرویس‎دهندگان و سازمانهای گوناگونی داده شده است. سالهای گذشته كه هیچ‎گونه انتظاری برای اتصال به اینترنت نمی‎رفت برخی سازمانها اعداد آدرس شبكه را به طور اتفاقی برگزیده‎اند و شروع به ساختن شبكه‎های ‎ IPشان با استفاده از این آدرس‎های ‎ IP تصادفی كرده‎اند.
شما سازندگان شبكه را می‎بینیدكه عدد مورد علاقه‎شان را برگزیده‎اند («من عدد 4 را می‎پسندم»‌) و همه شبكه را با همان عدد (به همه چیز، ‌آدرس ‎ IPبه فرم ‎4.x.y.z داده شده است) می‎سازند. به این آدرس‎ها اغلب با عنوان «‌آدرس‎های غیرقانونی»‌ «illegal addresses» گفته می‎شود زیرا به طور رسمی در اختیار سازمانهای دیگری قرار داده شده‎اند. متأسفانه، اگر یك نفر با استفاده از آدرسهای غیرقانونی بخواهد به اینترنت متصل شود، ما 2 شبكه با آدرس ‎ IP مشابه روی اینترنت خواهیم بود. این موقعیت به طور جدی مسیریابی را برهم می‎ریزد زیرا كه مسیریابهای اینترنت نمی‎دانند كه عبور و مرورها را برای این آدرس‎های مقصد تكراری به كجا بفرستند.
به علاوه با افزایش تعداد اتصال به اینترنت، آدرس‎های ‎ IP كافی برای تمامی متقاضیان، قابل دسترس نیست. بنابراین، ‎IETF برخی اعداد آدرس را برای خلق شبكه‎های ‎ IP خصوصی در ‎RFC 1918 كنار گذاشته است.
شما می‎توانید شبكه ‎ IP خودتان را با استفاده از این آدرس‎های ‎ IP نظیر ‎10.x.y.z و ‎112.16.y.z و ‎122.168.y.z تشكیل دهید. بسیاری از سازمانها با استفاده از این آدرسهای كنار گذاشته شده، شبكه‎ها را خلق می‎كنند. اگر بكوشید كه داده خود را به یكی از این آدرس‎ها روی اینترنت بفرستید، موفق نخواهید شد زیرا كه این مجموعه‌ كنار گذاشته شده منحصر به فرد نیستند. به آنها تحت عنوان «Unroutable» اشاره می‎شود زیرا هیچ مسیریابی، روی اینترنت نخواهد دانست كه چگونه به این آدرس‎های غیرمنحصر به فرد دست یابد.
چگونه دست‎یابی به اینترنت را از شبكه‎ای كه از آدرس‎های غیرقانونی و یا كنار گذاشته شده و توضیح داده شده در ‎RFC-1918 استفاده می‎كند، پشتیبانی می‎كنیم؟ پاسخ این است كه این آدرس‎های مشكل‎دار را با عمل ‎map یا نگاشت آدرس‎های ‎ IP در مسیریاب شبكه یا ‎firewall، با استفاده از تكنیكی تحت عنوان ‎(NAT) Network address translation  معتبر و قانونی می‎كنیم. برای به كارگیری ‎NAT، یك دروازه ‎(gateway) میان شبكه با آدرس‎های غیرقانونی یا كنار گذاشته شده و اینترنت قرار می‎گیرد. همان‎طور كه در شكل نشان داده شده است، ‌وقتی كه هر بسته از شبكه داخلی به اینترنت می‎رود، این مدخل به آدرس ‎IP مبدأ غیرقانونی یا غیرقابل مسیریابی شبكه داخلی در هدر بسته، اجازه می‎دهد تا با آدرس ‎ IP قابل مسیریابی یكتا رونویسی شود. وقتی پاسخها دریافت شدند، دروازه این بسته‎ها را دریافت می‎كندو آدرس‎های ‎ IP مقصد را قبل از آنكه بسته را به شبكه داخلی انتقال دهد دوباره‎نویسی می‎كند.

تفسیر آدرس شبكه، آدرس‎های IP غیرقابل مسیریابی را از شبكه داخلی
رونویسی ‎(Overwrit) می‎كند

یك دروازه می‎تواند آدرس‎ها را برای ‎NAT از راه‎های مختلفی ‎map كند، از جمله:
•     نگاشت به آدرس ‎ IP منفرد خارجی ‎(mapping to a single external IP address): برای این نوع از ‎NAT، هر بسته كه از شبكه داخلی می‎آید به آدرس ‎ IP منفردی ‎map شده است. روی شبكه اینترنت، تمامی عبور و مرورها به نظر می‎رسد كه از آدرس ‎ IP دستگاه ‎NAT بیایند. این تكنیك مؤثر آدرس‎دهی اغلب برای اتصال شبكه‎های بزرگ به اینترنت وقتی كه آدرس‎های ‎ IP محدودی قابل دسترسی‎اند استفاده می‎شود.
•     نگاشت یك به یك ‎(one to one mapping): یك دروازه می‎تواند هر ماشینی روی شبكه دا خلی را به آردس ‎ IP معتبر منحصر به فری كه با هر ماشین یكتا در ارتباط است ‎ map كند. بنابراین تمامی عبور و مرورها به نظر می‎آید كه از گروهی از آدرس‎های IP بیایند. این تكنیك اغلب برای نگاشت درخواستهای كاربر در طول شبكه به سرویس‎دهنده روی شبكه، همانند سرویس‎دهنده وب استفاده می‎شود.
•     آدرس‎های تخصیص داده شده به صورت پویا ‎(Dynamically allocated address): یك دروازه می‎تواند تعداد زیادی از آدرس‎های ‎ IP غیرقابل مسیریابی را به تعداد كوچكتری از آدرس‎های ‎ IP معتبر بخش كند. این نوع دست‎یابی كمتر از تكنیك‎های دیگر معمول است.
برای آنكه آدرس‎های IP را از تغییر مصون بداریم. ‎NAT امروزه به طور معمول روی اینترنت استفاده می‎شود. اگرچه، آیا ‎NAT از نظر امنیتی پیشرفت می‎كند؟ این می‎تواند به مخفی كردن كاربردهای آدرس IP شبكه داخلی كه مهاجم می‎تواند برای تهیه نقشه توپولوژی شبكه استفاده كند، كمك نماید. اگرچ، به خودی خود، ‎NAT مزایای امنیتی كمی را داراست. هنگامی كه مهاجمان نمی‎توانند بسته‎ها را به آدرسهای غیرقابل مسیریابی روی شبكه داخلی بفرستند، اما هنوز می‎توانند آنها را از درون دروازه ‎NAT بفرستند. دروازه‌NAT اآدرس‎ها را به نمایندگی از مهاجم نگاشت خواهد كرد. به همین علت، اگر قرار است حفاظتی صورت گیرد، تكنیك‎های ‎NAT باید با اعمال ‎firewall امنیتی تركیب شود.

دیواره آتش: نگهبانان ترافیك شبكه و دروازه‎بانانهای فوتبال
دیواره‎های آتش ابزاری برای كنترل جریان عبور و مرور بین شبكه‎ها هستند.
آنها در مرز بین شبكه‎ها قرار گرفته و به عنوان دروازه‎ای برای اخذ تصمیماتی در ارتباط با اینكه چه ارتباطاتی باید پذیرفته و چه ارتباطاتی باید تكذیب شوند، عمل می‎كنند. با نگاهی به سرویس‎ها، آدرس‎ها و حتی كاربرهای مرتبط با ترافیك، دیواره‎های آتش مشخص می‎كنند كه آیا ارتباطات باید به درون شبكه‎های دیگر فرستاده شوند و یا اینكه بایستی از بین بروند. با این قابلیت، دیواره‎های آتش همانند پلیس‎های ترافیك شبكه عمل می‎كنند.
اگر آنها به طور صحیح پیكربندی شوند، سیستم‎ها در یك طرف دیواره آتش ‎(Firewall) از مهاجمان طرف دیگر دیواره آتش محافظت می‎شوند. مهاجمان فقط از راه‎هایی كه توسط دیواره‎های آتش اجازه داده می‎شود می‎توانند به سیستم‎های حفاظت شده دست یابند. سازمانها به طور معمول از دیواره‎های آتش استفاده می‎كنند تا ساختار زیربنایی شبكه خود را از اینترنت و حمله رقبای تجاری خود در طول برقراری ارتباط حفاظت كنند.
تشابه مفید دیگر برای دیواره آتش، دروازه‎بان در بازی فوتبال است كه وظیفه‎‎اش محافظت از تور در برابر شوتهای تیم مقابل می‎باشد. توپ فوتبال مانند یك بسته است. وظیفه دیواره آتش این است كه مهاجم را از رستادن پیامهای تقاضا نشده به شبكه منع كند. اگرچه، دروازه‎بان باید به توپ اجازه دهد تا به خارج از تور شوت شود. دیواره آتش باید به برخی از ارتباطات در جهت خروجی را اجازه دهد، بنابراین كاربرهای داخلی می‎توانند به شبكه‎های خارجی دست یابند در حالی كه بیشتر ارتباطات در جهت ورودی بجز سرویس‎های خاص، را تكذیب می‎كنند.
هدف مهاجم این است كه توپ را ازدروازه‎بان عبور داده به داخل تور بفرستد. برای آنكه استحكام دفاعی خود را دریابیم، بیایید به قابلیت‎های دورازه‎بان با تجزیه و تحلیل تكنولوژی‎های دیواره آتش كه امروزه به طور گسترده استفاده می‎شوند،‌ نگاهی بیندازیم: فیلترهای بسته رایج، فیلترهای بسته ‎Stateful و دیواره‎های آتش مبتنی بر ‎Proxy.

برای دریافت اینجا کلیک کنید

سوالات و نظرات شما

برچسب ها

سایت پروژه word, دانلود پروژه word, سایت پروژه, پروژه دات کام,
Copyright © 2014 cpro.ir
 
Clicky