2008 Tháng Bảy « Welcome Website Report Security

Chmod – tản mạn – phần 3 (sưu tầm) Thứ năm, Tháng 7 31 2008

Không cụ thể chmod, local, shell, video hacking phucjimy 5:09 sáng

CHMOD là j?
CHMOD định nghĩa đơn giản chính là cụm từ viết tắt của Change Mode – Một lệnh đặc biệt chỉ dùng trên các máy chủ hệ Unix (Linux, Solaris, True64…) dùng để thay đổi quyền lực của một người bất kỳ đối với một tập tin, thư mục bất kỳ trên một website cụ thể. Bằng cách thay đổi chmod, bạn đồng thời gán một quyền lực cho một người nào đó đối với các tập tin, thư mục trong cấu trúc website của bạn.

Giá trị chmod luôn được biểu thị bằng một cụm gồm 3 chữ số (***) đại diện cho 3 người gồm: User (Owner – Chủ sở hửu) – Group (Nhóm cộng tác) – Other (Guest – Tất cả mọi người còn lại) và gồm các giá trị gồm 1 (Execute – Thực thi), 2 (Write – Ghi), 4 (Read – Đọc)

The chmod Command

Lệnh chmod dùng để thực hiện thay đổi phân quyền file hoặc thư mục . Trong tất cả hệ điều hành linux , tất cả các file hoặc thư mục đều đc set quyền (doc_read , ghi_write, toan quyền_ execute) Với hệ thống linux chỉ có 1 chủ sở hữu root (superuser) mới có đủ quyền thay đổi quyền với các file (thư mục).
Ta có thể nhìn thấy quyền hạn của file bằng lệnh:
ls -l filename

Người ta dùng 3 số và mỗi số 3 bit đầu để chỉ nói sự điều khiển quyền hạn của file:
+ Bit đầu dùng để chỉ phân quyền của user (owner) đối với file
+Bit thứ 2 dùng để chỉ phân quyền của group
+……..3……………………………….. everyone
The first set of three bits controls the permissions of the owner of the file, the second set controls the permissions of the group, and the last set controls the permissions for everyone else. The permissions are stored in the mode field of the file’s inode. The user must own the files to change permissions on them.[7]
(Tớ dịch đoạn này thấy ngu ngu nên để tiếng anh kèm theo)

….::Bảng phân quyền::…
Decimal ……………………. Binary ………………. Permissions

0 ……………………………. 000 ……………………..none

1 ……………………………. 001 ……………………..–x

2 ……………………………..010 ……………………..-w-

3 ……………………………. 011 ………………………-wx

4 …………………………….100 ………………………r–

5 …………………………….101 ………………………. r-x

6 …………………………….110 ………………………..rw-

7……………………………..111 ……………………….. rwx
The symbolic notation for chmod is as follows: r = read; w = write; x = execute; u = user; g = group; o = others; a = all.

Ví dụ 1: chmod: 124 >>> Chủ sở hửu : 1 – Nhóm cộng tác : 2 – Mọi người : 4
Chủ sở hửu có quyền gọi thực thi tập tin, thư mục
Nhóm cộng tác có quyền ghi nội dung vào tập tin, thư mục
Mọi người có quyền xem nội dung tập tin, thư mục

Ví dụ 2: chmod: 412 >>> Chủ sở hửu : 4 – Nhóm cộng tác : 1 – Mọi người : 2

Chủ sở hửu có quyền xem nội dung tập tin, thư mục
Nhóm cộng tác có quyền gọi thực thi tập tin, thư mục
Mọi người có quyền ghi nội dung vào tập tin, thư mục

CHMOD 644, 666, 755, 777 là như thế nào?

Như trên đã trình bày, các giá trị chmod luôn là 1, 2, 4. Điều này đồng nghĩa với việc nếu bạn muốn cấp nhiều quyền lực hơn cho một người bất kỳ đối với tập tin, thư mục của bạn, bạn sẽ phải cộng các số lại với nhau. Kết quả ta sẽ có các giá trị:

1 = Quyền gọi thực thi
2 = Quyền ghi nội dung
3 = 1 + 2 = Quyền gọi thực thi + Quyền ghi nội dung
4 = Quyền xem nội dung
5 = 4 + 1 = Quyền xem nội dung + Quyền gọi thực thi
6 = 4 + 2 = Quyền xem nội dung + Quyền ghi nội dung
7 = 4 + 2 + 1 = Quyền xem nội dung + Quyền ghi nội dung + Quyền gọi thực thi

Như vậy, khi bạn có giá trị 7, quyền lực của bạn sẽ là tuyệt đối đối với tập tin, thư mục đó. Và ngược lại, khi bạn có giá trị 1, bạn sẽ có quyền lực thấp nhất.

Và cũng như trên đã nói, chmod không đứng riêng lẻ mà luôn đi thành cụm 3 chữ số để biểu thị cho quyền lực của User – Group – Other

Một số ví dụ:
1 $ chmod 755 file

$ ls –l file

–rwxr–xr–x 1 ellie 0 Mar 7 12:52 file

2 $ chmod g+w file

$ ls -l file

–rwxrwxr-x 1 ellie 0 Mar 7 12:54 file

3 $ chmod go-rx file

$ ls -l file

–rwx-w—- 1 ellie 0 Mar 7 12:56 file

4 $ chmod a=r file

$ ls -l file

–r–r–r– 1 ellie 0 Mar 7 12:59 file

Giải thích:
1.Với lệnh này thì :
+user: giá trị 7 là toàn quyền rwx (read_write_execute)
+group:Giá trị 5 là có quyền rw
+other: Giá trị 5 là có quyền rw

2. Với lệnh $ chmod g+w file Là ta gán quyền write cho group bằng dấu công (+)

3. Với lệnh $ chmod go-rx file Hạn chế quyền read và write đối với group và other.

4. Với lệnh $ chmod a=r file là tất cả mọi người (a: all) đều đc quyền đọc file
5. Với dấu trừ phía trước thì đây là là 1 ký hiệu cờ (Nam có thể nói về mấy cái ký hiệu cờ phía trước này đc kô )

Kết quả ta có các giá trị:

111, 112, 113, 114, 115, 116, 117, 121, 122, 123, 124, 125, 126, 127, 131, 132, 133, 134, 135, 136, 137, 141, 142, 143, 144, 145, 146, 147, 151, 152, 153, 154, 155, 156, 157, 161, 162, 163, 164, 165, 166, 167, 171, 172, 173, 174, 175, 176, 177, 211, 212, 213, 214, 215, 216, 217, 221, 222, 223, 224, 225, 226, 227, 231, 232, 233, 234, 235, 236, 237, 241, 242, 243, 244, 245, 246, 247, 251, 252, 253, 254, 255, 256, 257, 261, 262, 263, 264, 265, 266, 267, 271, 272, 273, 274, 275, 276, 277, 311, 312, 313, 314, 315, 316, 317, 321, 322, 323, 324, 325, 326, 327, 331, 332, 333, 334, 335, 336, 337, 341, 342, 343, 344, 345, 346, 347, 351, 352, 353, 354, 355, 356, 357, 361, 362, 363, 364, 365, 366, 367, 371, 372, 373, 374, 375, 376, 377, 411, 412, 413, 414, 415, 416, 417, 421, 422, 423, 424, 425, 426, 427, 431, 432, 433, 434, 435, 436, 437, 441, 442, 443, 444, 445, 446, 447, 451, 452, 453, 454, 455, 456, 457, 461, 462, 463, 464, 465, 466, 467, 471, 472, 473, 474, 475, 476, 477, 511, 512, 513, 614, 515, 516, 517, 521, 522, 523, 524, 525, 526, 527, 531, 532, 533, 534, 535, 536, 537, 541, 542, 543, 544, 545, 546, 547, 551, 552, 553, 554, 555, 556, 557,, 561, 562, 563, 564, 565, 566, 567, 571, 572, 573, 574, 575, 576, 577, 611, 612, 613, 614, 615, 616, 617, 621, 622, 623, 624, 625, 626, 627, 631, 632, 633, 634, 635, 636, 637, 641, 642, 643, 644, 645, 646, 647, 651, 652, 653, 654, 655, 656, 657, 661, 662, 663, 664, 665, 666, 667, 671, 672, 673, 674, 675, 676, 677, 711, 712, 713, 714, 715, 716, 717, 721, 722, 723, 724, 725, 726, 727, 731, 732, 733, 734, 735, 736, 737, 741, 742, 743, 744, 745, 746, 747, 751, 752, 753, 754, 755, 756, 757, 761, 762, 763, 764, 765, 766, 767, 771, 772, 773, 774, 775, 776, 777
Bản quyền thuộc CFH

Leave a Response »

Chmod – tản mạn – phần 2 (sưu tầm) Thứ năm, Tháng 7 31 2008

Security (Bảo Mật) chmod, hacker, video hack phucjimy 4:35 sáng

Hiện nay có rất nhiều diễn đàn bị Local Attack và dẫn đến hiện tượng down forum rất nhiều . Bài hướng dẫn này không hoàn toàn có thể giúp các bạn chống được Local Attack mà chỉ hạn chế được phần nào. Nguyên nhân bị Local do những sai lầm chết người của các Admin, ngay cả VNMagic cũng mắc sai lầm rất đáng trách . – CHMOD sai, i . Bản thân thư mục CHMOD la 755 do đó trên Server Linux, Config ko kỹ thì toàn bộ cấu trúc Folder và nội dung File đều có thể View được.

- Cấu trúc Forum ko có nhiều sửa đổi so với bản gốc nên attacker có thể dễ dành đoán biết vị trí các file quan trọng cần để lấy thông tin .

- Các thông tin quan trọng không hề được mã hóa .(cái này thì hạn chế một chút )

- Các thông tin quan trọng và các Action can thiệp đến CSDL ko được bảo vệ bởi các firewall Thực ra Local Attack có thể làm được rất nhiều thứ nguy hiểm hơn và khả năng chống cự là không thể nếu như bạn ko Zendcode và không có một Server tốt (có thể chống được Remview, CGI Telnet==> đây là hai công cụ Local rất tốt, chưa kể đến SSH Local nếu có Shell) Do đây là bài viết về bảo mật vả lại cũng ko muốn phổ biến kỹ thuật Hack nguy hiểm này nên tôi chỉ trình bày sơ qua các nguyên nhân dẫn đến tình trạng bị Local Attack rất phổ biến hiện nay ở VN .

Từ các phân tích trên có một số khuyến nghị tôi xin đưa ra để mọi người khắc phục :
- Mã hóa thông tin, các bạn có thể mã hóa thông tin lại và việc này sẽ vô hiệu hóa được việc các thông tin quan trọng của bạn bị đánh cắp .
- Tôi sẽ cho các bạn download Zendcode miễn phí của Matrix, có đầy đủ License, các bạn Load tại đây nhé : http://www.matrix2kol.net/download/
- CHMOD cho đúng, các bước sau đây rất quan trọng để bạn chống Local nên đề nghị các bạn chú ý thực hiện cho đúng :
+ CHMOD thư mục Public_html thành 710 thay vì 750 mặc định việc này sẽ giúp bạn bảo vệ được cấu trúc Website của mình.
+ CHMOD thư mục là 701 và cố gắng đừng bao giờ CHMOD 777, có một số folder ko quan trọng, bạn có thể CHMOD 755 để có thể hiện thị đúng và đầy đủ một số nội dung trong Folder đó .

Chú ý thế này, một số Server hỗ trợ CHMOD thư mục được 101, nếu Server của bạn hỗ trợ cái này thì hãy sử dụng nó, vì biện pháp CHMOD này rất an toàn, đến ngay cả Owner cũng ko thể xem được cấu trúc Folder ngay cả khi vào FTP. Hiện tôi chỉ thấy có Server của Eshockhost.net là hỗ trợ cái này

+ CHMOD File là 604 và nhớ rằng đừng bao giờ để là 666 nếu có việc cần 666 thì bạn CHMOD tạm để sử dụng lúc đó, sau đó hãy CHMOD lại ngay. Đối với các Server hỗ trợ CHMOD file 404 bạn hãy CHMOD như vậy, ví dụ Server Eshockhost.net

- Thay đổi cấu trúc, tên file mặc định có chứa các thông tin quan trọng . Nếu có thể hãy thay đổi cả cấu trúc CSDL nếu bạn làm được .

- Thiết lập các tường lửa truy cập Admin mà ko sử dụng đến CSDL, mã hóa User/Pass thì càng tốt, ngoài ra có hệ thống kiểm tra tác vụ của MOD, Admin … nếu quyền hạn xác nhận mới được thực hiện (cái này Matrix sử dụng rất thành công) .

Trên đây là hướng dẫn từng bước giúp các bạn cố gắng chống Local attack, dù sao đây cũng chỉ là hướng dẫn cơ bản, trong quá trình thực hiện, các bạn nên linh động hơn một chút, nếu có thêm ý tưởng gì mới thì hãy cùng nhau thảo luận tại đây.

Hy vọng bài viết sẽ giúp các Admin bảo mật tốt hơn diễn đàn của mình
(sưu Tầm )

Leave a Response »

Chmod – phần 1 (sưu tầm) Thứ năm, Tháng 7 31 2008

Security (Bảo Mật) chmod, hacker, hacking, shell phucjimy 4:34 sáng

Chắc các bạn đã từng động chạm đến CHMOD và cứ không hiểu tại sao các Mã Nguồn Web ,Portal cứ yêu cầu CHMOD Xin được đưa ra chút sơ lược về nó

CHMOD – đó là phạm trù liên quan đến các files và thư mục, có chức năng chỉ ra cho server biết, ai có thể làm gì đối với file hay thư mục nào đó. Chủ yếu CHMOD đưa ra các lệnh như quyền được đọc, viết vào file (hay thư mục), quyền thực hiện một công việc nhất định.
Vì phần lớn các server làm việc trên cơ sở hệ thống UNIX, nên chúng ta sẽ nghiên cứu về cách CHMOD chính cho các servers này.
Trên các hệ thống UNIX, người sử dụng được chia ra làm 3 nhóm: “user” (chủ nhân trực tiếp của các files), “group” (thành viên của nhóm mà người chủ nhân file có tham gia) và “world” (tất cả những trường hợp khác). Khi bạn kết nối với server, nó sẽ xác định xem bạn thuộc về nhóm nào. Ví dụ bạn kết nối với server bằng FTP, khai báo tên truy cập như một thành viên, chính server sẽ quy bạn vào nhóm “user”. Còn những thành viên khác truy cập bằng FTP thuộc về nhóm “group”. Khi ai đó đến site của bạn bằng trình duyệt web, sẽ được quy vào nhóm “world”.
Sau khi xác định nhóm, người sử dụng sẽ được gán quyền hạn nhất định đối với file hoặc thư mục nào đó. Cụ thể là người sử dụng sẽ được đọc, ghi hay tạo mới (hoặc xóa) file. Để xem thư mục nào đó thì nó phải ủng hộ cho việc xem này. Để được xem nội dung thư mục, thì các files hay thư mục con trong đó cũng phải có chế độ “Cho phép đọc”. Còn để tạo file hay thư mục mới nằm trong thư mục này lại đòi hỏi phải có quyền ghi. Tóm lại, để thực hiện một trong những việc trên, cần phải đặt vào thư mục chế độ “quyền đọc” và “quyền thực hiện”.

Bây giờ chúng ta sẽ thực hành…
Như trên đã nêu, có tất cả 3 nhóm người sử dụng và 3 “quyền hạn” đối với files hay thư mục. Để xác định quyền hạn cho các nhóm nhất định, thống nhất sử dụng các ký hiệu bằng con số như sau:
4 = read (quyền được đọc)
2 = write (quyền được ghi)
1 = execute (quyền được thực hiện)
Bằng phép cộng đơn giản các con số này có thể hiển thị được cả một “tổ hợp” quyền hạn khác nhau. Ví dụ, 3 (2+1) – quyền ghi và quyền thực hiện đối với file (hay thư mục); 5 (4+1) – quyền đọc và quyền thực hiện; 6 (4+2) – quyền đọc và quyền ghi; 7 (4+2+1) – quyền đọc, ghi và thực hiện. Tóm lại có tất cả 7 phương án sau:
7 = read, write & execute
6 = read & write
5 = read & execute
4 = read
3 = write & execute
2 = write
1 = execute
Ký hiệu lệnh CHMOD thường có 3 con số: con số đầu thể hiện quyền hạn gán cho người sử dụng thuộc nhóm “user” (Tức là đối với bạn). Con số thứ hai chỉ ra quyền hạn của người sử dụng thuộc nhóm “group” và con số thứ ba – dành cho nhóm “world”.
Trong phần lớn các chương trình FTP hiện đại đều ủng hộ CHMOD theo kiểu nêu trên (Ví dụ, công cụ truy cập bằng FTP mạnh nhất hiện nay là WS_FTP)
Thế nhưng cũng không thừa nếu như ta biết thêm về các lệnh của hệ thống UNIX. lệnh “chmod” trong UNIX có 2 chế độ: tuyệt đối (Bằng các con số) và bằng các ký hiệu chữ.
Khi sử dụng chế độ tuyệt đối (bằng các con số), thống nhất dùng tổ hợp 3 con số được nêu trên để thể hiện quyền hạn.
Trong trường hợp sử dụng ký hiệu chữ, chúng ta sẽ bắt gặp những ký hiệu sau:
“r” – quyền được đọc
“w” – quyền được ghi
“x” – quyền được thực hiện
Ngoài ra còn có:
“u” – đối với user
“g” – đối với group
“o” – đối với other (world)
“a” – đối với all (tất cả)
Ví dụ: 755 = chmod u=rwx,go=rx filename; 644 = chmod u=rw,go=r filename; 600 = chmod u=rw,go= filename; 444 = chmod a=r filename.

Leave a Response »

IDS – IPS – IDP đôi điều cần biết – phần cuối Thứ Tư, Tháng 7 30 2008

Network hệ thống thống mạng, Network phucjimy 6:32 sáng

Các hệ thống IPS có thể được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy. Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với từng trường hợp. Ngòai ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng.

Nhiều hệ thống IPS còn có khả năng triển khai ở chế độ thụ động để thu nhận và phân tích gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng. Tuy vậy chúng vẫn có thể được chuyển sang chế độ dự phòng hoặc chế độ gateway ngay khi người quản trị mạng cảm thấy rằng hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước các cuọoc tấn công, loại bỏ lưu lượng hoặc các kết nối khả nghi để đảm bảo rằng các cuộc tấn công đó không thể gây ảnh hưởng đến hệ thống…
Tác giả: Five – Consultant avnol

Tôi xin tóm tắt 1 số ý về hệ thống IDS/IPS
- IDS: phát hiện xâm nhập
- IPS: phát hiện và ngăn chặn xâm nhập

Được chia làm 2 loại chính:
- HIDS (và cả IPS): triển khai trên máy trạm hoặc server quan trọng, chỉ để bảo vệ riêng từng máy
- NIDS: đặt tại những điểm quan trọng của hệ thống mạng, để phát hiện xâm nhập cho khu vực đó.

Công việc chính của IDS/IPS:
- Nếu hoạt động theo kiểu nhận dạng mẫu packet thì nó sẽ so trùng từng packet với những mẫu tấn công mà nó có, nếu trùng ==> là loại packet tấn công ==> cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDS/IPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus.
- Nếu hoạt động theo kiểu heuristic thông minh (không biết dịch thế nào cho phải) thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động).

Nhân tiện nói về IDS, vậy ta làm một phép so sánh thử giữa IDS và IPS xem sao :

- Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Dĩ nhiên ta có thể thấy rằng, nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo mà thôi, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụ thuộc vào người quản trị. Vì vậy yêu cầu rất cao đối với nhà quản trị trong việc xác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của một cuộc tấn công. Và dĩ nhiên công việc này thì lại hết sức khó khăn. Với IPS, người quản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo một quy luật do nhà Quản trị định sẵn.

- IDS hiện nay chỉ sử dụng từ một đến 2 cơ chế để phát hiện tấn công. Vì mỗi cuộc tấn công lại có các cơ chế khác nhau của nó (Có thể tham khảo thêm các bài viết về DoS của tui ), vì vậy cần có các cơ chế khác nhau để phân biệt. Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của IDS là tổng quát, dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sức của nhà quản trị. Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS là cao hơn so với IDS.

- Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn công chỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích, lúc đó việc chống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoá các kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đên tường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việc làm này đôi khi lại gây tác động phụ đến hệ thống. Ví dụ như nếu Attacker giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn được cuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ Block luôn cả IP của khách hàng, của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ của DoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công.

Vấn đề IDS/IPS trong wireless
Vấn đề bảo mật cho Wireless hiện nay đã được nói rất nhiều. Hiện tại hầu hết các mô hình đang ứng dụng công nghệ WEP. Một giải pháp được đưa ra mới hơn đó là giải pháp Radius.
- Giải pháp WEP được đưa ra để có thể khống chế các truy cập không được phép do đòi hỏi các user muốn đăng nhập phải cung cấp Key cho AP nhằm xác thực việc truy cập của User. Độ dài của Key là do bạn quy định 64 bit, 128 bit. Việc Crack WEP tương đối khó. Bạn có thể tham khảo thêm các bài viết trên diễn đàn tại BOX Wireless. Nhưng WEP lại gặp một khó khăn đó là nếu có một người trong công ty bạn nắm được Key, nếu người đó tiết lộ ra ngoài sẽ gây ảnh hưởng đến vấn đề truy cập của hệ thống.TUy cung cấp đến 4 key để truy cập, tuy nhiên tại mỗi thời điểm, bạn chỉ có thể sử dụng 1 Key duy nhất cho mạng mà thôi. Một cách cũng được sử dụng để khống chế vấn đề truy cập mạng Wireless đó là sử dụng Access Control List trên chính AP.
- Đối với Radius, mỗi máy sẽ được cấp 1 Key và công nghệ này đang được ứng dụng để triển khai các mạng Wireless lớn. Radius hiện nay đã hỗ trợ trên các thiết bị mới và đang được đặt rất nhiều hy vọng. Bạn có thể thao khảo qua mô hình bên dưới. Việc triển khai Radius có thể giúp cho các ISP thực hiện việc tính cước khi các máy tham gia truy cập. Chẳng hạn như bán thẻ trả trước như các thẻ VNN hiện nay.

Leave a Response »

IDS – IPS – IDP đôi điều cần biết – phần 1 Thứ Tư, Tháng 7 30 2008

Network mạng, Network, xây dựng hệ thống phucjimy 6:31 sáng

<sưu tầm>

Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố
IPS – Intrusion Prevention System

Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập:

- Cung cấp khả năng điều khiển truy cập mạng

- Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện)

- Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng:

+ Khuynh hướng vĩ mô: phát hiện và ngăn chặn càng nhiều càng tốt, đây là khuynh hướng của hệ thống phát hiện xâm nhập IDS(Cái này đã từng được giới thiệu).

+ Khuynh hướng vi mô: Trước hết là ngăn chặn tất cả các cuộc tấn công có tính chất nghiêm trọng đối với mạng đang họat động, sau đó là phân tích các điều kiện có thể xảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đến mức tối đa các cuộc tấn công mạng.

Tác giả: Five – Consultant avnol

IPS đôi điều cần biết

——————————————————————————–

Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố
IPS – Intrusion Prevention System

Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập:

- Cung cấp khả năng điều khiển truy cập mạng

- Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện)

- Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng:

Tôi xin tóm tắt 1 số ý về hệ thống IDS/IPS
- IDS: phát hiện xâm nhập
- IPS: phát hiện và ngăn chặn xâm nhập

IPS đôi điều cần biết

——————————————————————————–

Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố
IPS – Intrusion Prevention System

Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập:

- Cung cấp khả năng điều khiển truy cập mạng

- Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện)

- Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng:

Tôi xin tóm tắt 1 số ý về hệ thống IDS/IPS
- IDS: phát hiện xâm nhập
- IPS: phát hiện và ngăn chặn xâm nhập

Nhân tiện nói về IDS, vậy ta làm một phép so sánh thử giữa IDS và IPS xem sao :

IPS đôi điều cần biết

——————————————————————————–

Hệ thống ngăn chặn xâm nhập IPS – Bảo vệ chống xâm nhập và phân tích biến cố
IPS – Intrusion Prevention System

Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập:

- Cung cấp khả năng điều khiển truy cập mạng

- Tăng mức độ kiểm sóat những gì đang chạy trên mạng ( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện)

- Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng:

Leave a Response »

Hoạt động của Switch. – phần 2 (phần cuối) ( sưu tầm) Thứ Tư, Tháng 7 30 2008

Network Network, switch phucjimy 6:15 sáng

Các bảng dùng trong quá trình switching

Các Catalyst switch duy trì vài bảng trong quá trình hoạt động. Các bảng này đuợc dùng trong quá trình chuyển mạch L2 hoặc MLS và được lưu trong các bộ nhớ rất nhanh sao cho nhiều trường trong gói tin hay frame có thể được so sánh song song.

Bảng CAM

Tất cả các kiểu Catalyst switch dùng bảng CAM cho quá trình L2 switching. Khi frame đến trên switchport, địa chỉ nguồn MAC sẽ được học và lưu trong bảng CAM. Port đầu vào và thông tin VLAN tương ứng sẽ được học. Nếu một địa chỉ MAC học được trên một switch port sau đó được chuyển sang một port khác, địa chỉ MAC và các nhãn thời gian tương ứng sẽ được lưu lại trên port mới nhất. Sau đó, thông tin cũ trong bảng MAC sẽ bị xóa. Nếu một địa chỉ MAC được nhận ra đã có sẵn trên chính port đó, chỉ có nhãn thời gian (timestamp) là được cập nhật.

Các switch thông thường có bảng CAM lớn sao cho nhiều địa chỉ có thể tìm kiếm. Tuy nhiên, sẽ không có đủ chổ cho tất cả các địa chỉ có thể trên một hệ thống mạng lớn. Để quản lý không gian của bảng CAM, các entry cũ (không được cập nhật) sẽ được xóa ra khỏi bảng CAM. Mặc định, các hàng trong bảng CAM này có thời gian aged-out là 300 giây. Để thay đổi thời gian mặc định này, ta có thể dùng lệnh

Switch(config)# mac address-table aging-time seconds

Mặc định, các địa chỉ MAC có thể được học động khi có frame đi vào. Bạn cũng có thể cấu hình MAC tĩnh. Lúc này, hãy dùng lệnh:

Switch(config)# mac address-table static mac-address vlan vlan-id interface type mod/num

Bảng TCAM

Trong quá trình định tuyến truyền thống, ACL có thể lọc hay kiểm soát traffic. Các ACL có thể được tạo ra bởi một hoặc nhiều đối tượng hoặc các phát biểu match có thể được tính toán theo trình tự. Việc tính toán một ACL có thể tốn thêm thời gian, làm tăng độ trễ của gói tin. Trong MLS, tất cả các tiến trình so sánh của ACL đều hiện thực bằng phần cứng. TCAM cho phép một gói tin được kiểm tra với toàn bộ ACL chỉ thông qua một động tác tìm kiếm đơn giản. Phần lớn các switch có nhiều bảng TCAM để các ACL về bảo mật và QoS có thể được kiểm nghiệm đồng thời và xử lý song song với các quyết định đẩy gói tin ở L2 và L3.

- Có hai thành phần trong bảng TCAM:

Feature Manager: sau khi một ACL được tạo ra hoặc cấu hình, FM sẽ biên dịch và trộn các hàng của ACL vào bảng TCAM. Bảng TCAM sau đó sẽ được tham chiếu ở tốc độ chuyển frame.
Switching Database Manager SDM: bạn có thể chia bảng TCAM trên vài Catalyst switch ra thành các vùng có chức năng khác nhau.

Cấu trúc bảng TCAM:

TCAM là một mở rộng của khái niệm bảng CAM. Hãy nhớ rằng một bảng CAM sẽ dùng một index hoặc một giá trị khóa (thường là địa chỉ MAC)

Các hàng trong bảng TCAM thường bao gồm các giá trị Value, Mask và result. Các trường từ gói frame hoặc gói tin sẽ được nạp vào bảng TCAM, trong đó các trường này sẽ so sánh với các cặp value/match.

Cột giá trị (value) luôn là 134bit, có thể chưa địa chỉ nguồn và địa chỉ đích và các thông tin liên quan khác. Thông tin kết hợp để hình thành nên cột value này phụ thuộc vào kiểu của ACL. Trường mask cũng có chiều dài 134bit. Mask giúp chỉ ra các bit đang quan tâm. Cột kết quả là các con số chỉ ra hành động cần phải thực hiện sau khi bảng TCAM đã được tìm kiếm. Cần lưu ý là so với ACL truyền thống, bảng TCAM cho phép một số result có thể. Ví dụ result có thể là permit/deny hoặc một giá trị index đến một chính sách QoS hoặc một pointer đến giá trị nexthop khác.

Leave a Response »

Hoạt động của Switch. – phần 1 ( sưu tầm) Thứ Tư, Tháng 7 30 2008

Network phucjimy 6:13 sáng

Hoạt động của Switch

I. Layer 2 Switch

Trong các hệ thống mạng dùng shared Ethernet, thiết bị hub thường được dùng. Nhiều host sẽ được kết nối như là một miền broadcast và miền xung đột (collision). Nói cách khác, các thiết bị shared Ethernet hoạt động ở L1.

Mỗi host lúc này phải chia sẽ băng thông sẵn có cho tất cả các host khác đang kết nối vào hub. Khi có một hoặc nhiều host cố gắng truyền ở một thời điểm, xung đột sẽ xảy ra; lúc này tất cả các host phải lui về và chờ một khoảng thời gian để truyền lại. Cơ chế này áp đặt kiểu hoạt động half-duplex cho các host, nghĩa là các host hoặc là truyền, hoặc là nhận ở một thời điểm. Thêm vào đó, khi một host gửi ra một frame, tất cả các host sẽ nghe frame đó.

Ở mức cơ bản nhất, một Ethernet switch sẽ tách các host kết nối vào nó theo những cách sau:

Mỗi collision domain sẽ bị giới hạn lại. Trên từng switchport, mỗi collision domain bao gồm chính port của switch đó và bao gồm các thiết bị kết nối vào port switch. Thiết bị kết nối này có thể là một host hoặc có thể là một hub khác.

Các host có thể hoạt động ở chế độ fullduplex bởi vì không có sự cạnh tranh trên đường truyền. Các host có thể truyền và nhận ở cùng một thời điểm.

Băng thông không còn chia sẻ, thay vào đó, mỗi switchport cung cấp một phần băng thông dành riêng trên switch fabric từ port này đến port kia. Các kết nối này luôn biến động.

Lỗi trong các frame sẽ không được truyền. Thay vào đó, các frame nhận đươc trên từng port sẽ được kiểm tra lỗi. Các frame tốt sẽ được tái tạo khi nó tiếp tục được chuyển đi. Cơ chế này còn gọi là store-and-forward.

Bạn có thể giới hạn broadcast traffic đến một mức cho trước.
Switch có thể hỗ trợ các kiểu lọc traffic thông minh.

Khái niệm transparent bridging (TB)

Một layer 2 switch là một transparent bridge có nhiều cổng, trong đó mỗi switchport là một Ethernet segment, tách biệt với những segment khác. Quá trình đẩy frame đi chỉ dựa hoàn toàn vào địa chỉ MAC chứa bên trong từng frame. Một switch sẽ không chuyển một frame cho đến khi nào nó biết địa chỉ đích của frame.

Toàn bộ quá trình đẩy các Ethernet frame đi trở thành quá trình tìm ra những địa chỉ MAC address nào kết hợp với switchport nào. Một switch phải được chỉ dẫn từong minh các host nằm ở đâu (cấu hình MAC tĩnh) hoặc phải tự học các thông tin này. Nếu cấu hình MAC address tĩnh, quá trình này sẽ nhanh chóng quá tải khi các host thay đổi port.

Để học vị trí của một máy, một switch sẽ lắng nghe các frame đi vào và lưu giữ một bảng các thông tin địa chỉ. Khi một frame đến một switchport, switch sẽ kiểm tra MAC nguồn. Nếu địa chỉ MAC nguồn này chưa có trong bảng MAC, địa chỉ MAC, vị trí port và cả thông tin VLAN sẽ được lưu trong bảng. Như vậy, quá trình học vị trí của một host thì dễ dàng và nhanh chóng.

Các frame đi vào cũng có chứa địa chỉ MAC. Một lần nữa, switch sẽ tìm kiếm địa chỉ này trong bảng MAC với hy vọng tìm thấy cổng ra của switch. Nếu tìm thấy, frame có thể được chuyển đi. Nếu địa chỉ không tìm thấy, switch sẽ phát tán frame ra tất cả các port nằm trong cùng một vlan. Động thái này gọi là unknow unicast flooding. Xem hình bên dưới.

Một switch sẽ liên tục lắng nghe các frame đi vào trên các switchport của nó, học các địa chỉ MAC. Tuy nhiên, quá trình này chỉ được phép chỉ khi STP đã quyết định là một port có ổn định cho quá trình sử dụng bình thường hay không. Thuật toán STP sẽ quan tâm đến việc duy trì một mạng không bị loop, khi mà frame không bị đẩy vào vòng bất tận. Đối với các frame chứa địa chỉ broadcast, frame cũng sẽ bị phát tán.

Dòng chảy của frame trong switch

Phần này sẽ khảo sát tiến trình của một frame khi nó đi qua một L2 switch. Khi một frame đến trên một port, frame sẽ được đặt vào hàng đợi inbound. Mỗi hàng đợi có thể chứa các frame các mức ưu tiên khác nhau. Switchport có thể được hiệu chỉnh sao cho các frame quan trọng được xử lý trước. Chức năng này cho phép các dữ liệu quan trọng không bị loại bỏ khi có nghẽn xảy ra.

Khi các hàng đợi được phục vụ và frame được giải phóng ra khỏi hàng đợi, switch phải xác định không chỉ port đích mà còn phải xác định là có nên đẩy các frame đó không (whether) và bằng cách nào (how). Ba quyết định cơ bản cần phải được thực hiện: một quyết định liên quan đến tìm ra cổng ra, hai quyết định còn lại là tìm ra chính sách để đẩy frame đi. Cả ba quyết định này được thực hiện đồng thời bởi các thành phần phần cứng độc lập của switch. Các thành phần này là:

Bảng L2 forwarding: Địa chỉ đích chứa trong frame sẽ đựoc dùng như là thông số để so sánh vào bảng CAM. Nếu địa chỉ là tìm thấy, cổng ra của switch và thông tin vlan tương ứng sẽ được đọc và sử dụng. Nếu không tìm thấy, frame sẽ được đánh dấu để phát tán.
Các ACL bảo mật có thể đựoc dùng để lọc các frame theo địa chỉ MAC, kiểu giao thức, thông tin L4. Bảng TCAM sẽ chứa các ACL trong một dạng đã được biên dịch sao cho quyết định forward một frame hay không sẽ được thực hiện chỉ trong một động tác tìm kiếm bảng TCAM.

Các QoS ACL có thể phân loại các frame đi vào theo các thông số QoS hoặc để định hình hay kiểm soát tốc độ của dòng traffic. Bảng TCAM cũng được dùng trong quá trình quyết định này.

Sau khi quá trình tìm kiếm trong bảng CAM hay TCAM đã diễn ra, frame sẽ được đặt bên trong hàng đợI của outbound switchport. Các hàng đợi outbound được xác định bằng các thông số QoS chứa trong frame hay thông số được truyền cùng với frame.

Hoạt động của Multilayer switch

Các Catalyst switch, chẳng hạn như 3560, 4500 và 6500 có thể đẩy các frame dựa trên thông tin L3 và L4 chứa trong gói tin. Tiến trình này gọi là chuyển mạch đa tầng (multilayer switching – MLS). Một cách tự nhiên, tiến trình L2 switch cũng phải được thực hiện vì suy cho cùng, các giao thức lớp cao hơn vẫn phải chứa trong các Ethernet frame.

Các kiểu MLS

Có hai thế hệ MLS: route-caching (thế hệ đầu) và topology-based (thế hệ thứ 2). Hiện nay các dòng switch như 3560, 4500 và 6500 chỉ hỗ trợ thế hệ thứ hai của MLS.

Route-caching: Thế hệ đầu. Kiểu công nghệ này đòi hỏi về mặt phần cứng phải trang bị thêm một route processor RP và một switch engine SE. RP phải xử lý gói tin đầu tiên của một dòng các traffic để tìm ra địa chỉ đích. SE sau đó sẽ lắng nghe cả gói tin đầu tiên và địa chỉ đích cần đích, sau đó tạo ra một đường đi tắt trong cache. SE sau đó sẽ đẩy các gói tin kế tiếp trong cùng một dòng traffic dựa trên thông tin trong cache. Kiểu hoạt động MLS này còn được gọi là netflow LAN Switching, flow-based hoặc “route once, switch many”. Ngay cả khi ngày nay kiểu chuyển mạch này không được dùng trong các Catalyst switch, kỹ thuật này vẫn được dùng để tạo ra các thông tin về dòng lưu lượng và các thông tin thống kê.

Topology-based: Thế hệ thứ hai của MLS sử dụng các phần cứng chuyên dụng. Các thông tin định tuyến lớp 3 sẽ được xây dựng và đưa vào một cơ sở dữ liệu về toàn bộ sơ đồ mạng. Cơ sở dữ liệu này, bản chất sẽ được kèm theo một cơ chế tìm kiếm bằng phần cứng rất hiệu quả, sẽ được tham khảo sao cho các gói tin có thể được đẩy đi ở tốc độ rất cao. Khi có một so trùng dài nhất được tìm thấy (longest match), kết quả này sẽ được dùng. Khi cấu trúc mạng thay đổi, database chứa trong phần cứng này cũng sẽ được cập nhật động trong thời gian rất ngắn. Kiểu MLS này được gọi là Cisco Express Forwarding CEF. Một tiến trình định tuyến chạy trên phần cứng của switch sẽ download bảng định tuyến thông thường vào trong bảng FIB.

Dòng chảy của gói tin trong switch L3

Đường đi mà một gói tin lớp 3 đi vào một MLS thì cũng tương tự như của L2 switch. Rõ ràng, một vài cách thức để xử lý thông tin lớp 3 cần phải được thêm vào. Hình dưới đây mô tả một MLS switch tiêu biểu và các tiến trình quyết định bên trong.

Các gói tin đến một switchport sẽ được đặt trong hàng đợi phù hợp giống như trong L2 switch.

Mỗi gói tin sẽ được lấy ra khỏi hàng đợi và kiểm tra cả thông tin L2 và L3. Ở thời điểm này, switch quyết định đẩy gói tin về đâu sẽ được dựa trên hai bảng địa chỉ. Cũng giống như trong L2 switching, tất cả các quyết định chuyển mạch MLS sẽ được thực hiện đồng thời bằng phần cứng.

Bảng L2 forwarding: Địa chỉ MAC được dùng như một thông số trong bảng CAM. Nếu frame chứa một gói tin L3 cần phải được chuyển đi, địa chỉ MAC đích là địa chỉ MAC của port L3 trên switch. Trong trường hợp này, kết quả của bảng CAM chỉ được dùng để quyết định rằng frame nên được xử lý ở L3.

Bảng L3 forwarding: Khi switch tham khảo đến bảng FIB, địa chỉ đích của gói tin sẽ được dùng. Nếu tìm thấy một hàng trong bảng FIB theo nguyên tắc longest match (trùng cả phần địa chỉ và phần mask), địa chỉ next-hop L3 sẽ được ghi nhận. Bảng FIB cũng chứa địa chỉ L2 MAC và cổng ra của switch sao cho quá trình tìm kiếm trong bảng về sau là không cần thiết.

Các ACL bảo mật sẽ được biên dịch vào thành các hàng của bảng TCAM sao cho các quyết định đẩy gói tin sẽ chỉ cần xác định thông qua một động tác tìm kiếm trong bảng.

Các chức năng QoS khác như phân loại gói tin, định hình và đánh dấu có thể được thực hiện như là một quá trình tìm kiếm duy nhất trong bảng TCAM. Cũng giống như trong L2 switch, cuối cùng, gói tin cũng phải được đặt trong các hàng đợi phù hợp trên cổng ra của switch.

Tuy nhiên cũng cần nhớ rằng trong quá trình chuyển mạch MLS, địa chỉ next-hop sẽ nhận được từ bảng FIB cũng giống như một router nào đó. Sau khi đã có địa chỉ L3, thông thường router/L3 switch sẽ xác định giá trị nexthop và tìm địa chỉ L2 của nó. Sau đó, chỉ có địa chỉ L2 được dùng, sao cho L2 frame có thể được gửi. Tiến trình này chính là quá trình encapsulation. Địa chỉ L2 nexthop phải được đặt vào frame thay cho địa chỉ đích ban đầu (chính là địa chỉ L2 của MLS switch). Địa chỉ nguồn L2 của frame cũng sẽ được đổi lại thành địa chỉ L2 của MLS switch trước khi nó được gửi đến thiết bị nexthop. Nghĩa là, cả địa chỉ nguồn MAC và địa chỉ đích MAC của một frame khi đi qua một L3 switch sẽ phải thay đổi.

Ngoài ra, cũng giống như trong routers, giá trị TTL trong gói tin L3 phải được trừ đi 1. Bởi vì nội dung của gói tin L3 (giá trị TTL) đã thay đổi, giá trị L3 header checksum phải được tính toán lại. Và bởi vì cả nội dung L2 và L3 cũng đã thay đổi, giá trị L2 checksum cũng phải được tính toán lại. Nói cách khác, toàn bộ frame phải được viết lại trước khi nó đi ra hàng đợi bên ngoài. Toàn bộ quá trình này hoàn tất bằng phần cứng.

Các ngoại lệ đối với quá trình MLS

Để đẩy gói tin đi dùng các quyết định đồng thời được mô tả ở trên, gói tin phải là dạng “MLS-ready”. Ví dụ, CEF có thể đẩy gói tin IP đi trực tiếp giữa các host. Điều này diễn ra khi cả địa chỉ nguồn và địa chỉ đích là đã biết và không có một thông số IP nào cần phải thao tác. Các gói tin dạng khác không thể chuyển mạch theo kiểu CEF thì phải được xử lý chi tiết hơn. Các gói tin/ traffic dạng như sau sẽ bị đánh dấu và gửi về CPU của switch để xử lý theo kiểu process switching:

ARP requests and replies.
IP packets requiring a response from a router (TTL has expired, MTU is exceeded, fragmentation is needed, and so on)
IP broadcasts that will be relayed as unicast (DHCP requests, IP helper-address functions).
Routing protocol updates.
Cisco Discovery Protocol packets.
IPX routing protocol and service advertisements.
Packets needing encryption.
Packets triggering Network Address Translation (NAT)
Other non-IP and non-IPX protocol packets (AppleTalk, DECnet, and so on)

Leave a Response »

Tìm hiểu về giao thức Thứ Tư, Tháng 7 30 2008

Network phucjimy 5:46 sáng

Khái niệm về giao thức:
Thực thể của mạng muốn trao đổi thông tin với nhau phải bắt tay , đàm phàn về một số quy tắc…..cùng phải “ nói chung một ngôn ngữ”.Tập qui tắc hội thoại được gọi là giao thức (Protocol).Các thành phần chính của 1 giao thức bao gồm:
+ Cú pháp: định dạng dữ liệu, phương thức mã hoá và các mức tín hiệu.
+ Ngữ nghĩa: thông tin điều khiển , điều khiển lưu lượng và xữ lý lỗi……
Việc trao đôi thông tin giữa 2 thực thể có thế là trực típ or gián típ.Trong 2 hệ thống kết nối điểm – điểm (point to point) , các thực thể có thể trao đổi thông tin trực típ ko có sự can thiệp của các thực thể trung gian.Trong cấu trúc đa điểm or quảng bá (Point to Multipoint or Broadcastinh), 2 thực thể trao đổi dữ liệu với nhau thông qua thực thể trung gian.Nó sẽ phức tạp hơn khi các thực thể ko chia sẻ trên cùng 1 mạng chuyển mạch, kết nối gián tip phải qua nhiều mạng con.

Chức năng của giao thức:
Đóng gói : trong quá trình trao đổi thông tin , các gói dữ liệu được thêm vào 1 số thông tin điều khiển , bao gồm địa chỉ đích , mã phát hiện lỗi , điều khiển giao thức …việc thêm thông tin điều khiển vào gói dữ liệu được gọi là quá trình đóng gói (Encapsulation).Bên thu sẽ được thực hiện ngược lại , thông tin điều khiển sẽ được gỡ bỏ khi gói tin chuyển từ tầng dưới lên tầng trên.
Phân đoạn và hợp lại: mạng truyên thông chỉ chấp nhận kích thước các gói dữ liệu cố định.Các giao thức ở các tầng thấp cần phải cắt dữ liệu thành những gói có kích thước qui định.Quá trình này gọi là quá trình phân đoạn.Ngược với quá trình phân đoạn bên phát là quá trình hợp lại bên thu.Dữ liệu phân đoạn cần phải được hợp lại thành thông điệp thích hợp ở tầng ứng dụng (application).Vì vậy vấn đề bảo đảm thứ tự các gói đến đích là rất quan trọng .Gói dữ liệu trao đổi giữa hai thực thể qua giao thức gọi là đơn vị giao thức dữ liệu PDU (Protocol Data Unit).
Điểu khiển liên kết : Trao đổi thông tin giữa các thực thể có thể thực hiện theo 2 phương thức : hướng liên kết (Connection — Oriented) và ko liên kết (Connectionless). Truyền thông liên kết ko yêu cầu có độ tin cậy cao, ko yêu cầu chất lượng dịch vụ và ko yêu cầu xác nhận (do giao thức UDP đảm nhận).Ngược lại truyền theo phương thức hướng liên kết yêu cầu độ tin cậy cao, đảm bảo chất lượng dịch vụ và có xác nhận , trước khi 2 thực thể trao đổi thông tin với nhau giữa chúng 1 kết nối được thiết lập và sau khi trao đôi xong kết nối sẽ được giải phóng (do giao thức TCP đảm nhận).
Giám sát : các gói tin PDU có thể lưu chuyển độc lập theo các con đườn khác nhau, khi đến đích có thể ko theo thứ tự như khi phát.Trong phương thức hướng liên kết , các gói tin phải được yêu cầu giám sát. Mỗi một PDU có một mã tậphợp duy nhất và được đăng ký theo tuần tự. Các thực thể nhận sẽ khôi phục thứ tự các gói tin như thứ tự bên phát.
Điều khiển lưu lượng liên quan đến khả năng tiếp nhận các gói dữ liệu của thực thể bên thu và số luợng or tốc độ của dữ liệu được truyền bởi thực thể bên phát sao cho bên thu ko bị tràn ngập, đảm bảo tốc độ cao nhất.Một dạng đơn giản của điều khiển lưu lượng là thủ tục dừng và đợi (Stop anh wait) , trong đó mỗi PDU đã phát cần phải được xác nhận trước khi truyền gói tin tiếp theo.Có độ tin cậy cao khi truyền 1 số lượng nhất định dữ liệu mà ko cần xác nhận.Kỹ thuật cửa sổ trượt là thí dụ cơ chế này. Điều khiển lưu lượng là 1 chức năng quan trọng cần phải được thực hiện trong 1 số giao thức.
Điêu khiển lỗi là kỹ thuật cần thiết nhằm bảo vệ dữ liệu ko bị mất or bị hỏng trong qua trình trao đổi thông tin.Phát hiện và sửa lỗi bao gồm việc phát hiện lỗi trên cở sở kiểm tra khung và truyền lại các PDU khi có lỗi.Nếu một thực thể nhận xác nhận PDU lỗi , thông thường gói tin đó sẽ được gửi trả lại.
Đồng bộ hoá : các thực thể giao thức có các tham số về các trạng thái và định nghĩa trạng thái, đó lá các tham số về kích thước cửa sổ, tham số liên kết và giá trị thời gian. Hai thực thể truyền thông trong giao thức mạng.cần phải đồng thời trong cùng 1 trạng thái xác định.Ví dụ cùng trạng thái khởi tạo, điểm kiểm tra và huỷ bỏ , được gọi là đồng bộ hoá. Đồng bộ hoá sẽ khó khăn nếu thực chỉ xác định được trạng thái của hực thể khác khi nhận các gói tin.Các gói tin ko đến ngay mà phải mất 1 thời gian để lưu chuyển từ nguồn đến đích và các gói tin PDU cũgn có thể bị thất lạc trong quá trình truyền.
Địa chỉ hoá : 2 thực thể có thể truyền thông được với nhau cần phải nhận dạng được nhau.Trong mạng quảng bá các thực thể phải nhạn dạng định danh của nó trong gói tin. Trong gói các mạng chuyển mạch , mạng cần phân biệt thực thể đích để định tuyến dữ liệu trước khi thiết lập kết nối
sưu tầm

Leave a Response »

Giới thiệu về địa chỉ IPv6 – phần cuối Thứ Tư, Tháng 7 30 2008

Network phucjimy 5:45 sáng

Phần cuối
Trong bài viết này, chúng tôi đã trình bày cho các bạn sự khác nhau đáng kể về các bit trong địa chỉ IPv6. Phần cuối đã đi thẳng vào thảo luận sự khác nhau giữa các loại địa chỉ IPv6. Trong phần 3 chúng tôi sẽ tiếp tục thảo luận bằng việc nói về các địa chỉ multicast và anycast.

Trong phần 2 của loạt bài này, chúng tôi đã giới thiệu cho các bạn về ba loại khác nhau của địa chỉ IPv6: unicast, multicast và anycast. Trong bài viết này, chúng tôi sẽ giải thích vắn tắt các địa chỉ unicast được sử dụng để nhận dạng một host riêng lẻ trên mạng. Các địa chỉ multicast chỉ nhận một nhóm giao diện mạng cư trú điển hình trên các máy tính phức hợp. Khi một gói dữ liệu được gửi đến địa chỉ multicast thì gói đó được gửi đến tất cả các giao diện mạng trong nhóm multicast. Giống như địa chỉ multicast, các địa chỉ anycast cũng nhận dạng một nhóm cụ thể các giao diện mạng thường cư trú trên những máy tính phức hợp. Sự khác nhau ở đây là khi gói được gửi đến địa chỉ multicast, chúng được gửi đến tất cả các giao diện mạng (nút mạng) trong nhóm. Ngược lại, khi gói dữ liệu được gửi đến một địa chỉ anycast thì các gói này không được gửi đến toàn bộ nhóm và thay vào đó chúng chỉ được gửi đến thành viên gần nhất về mặt vật lý với người gửi.

Như bạn thấy, thực sự có một chút khá giống nhau giữa hai địa chỉ multicast và anycast. Trong bài viết này chúng tôi sẽ kết luận loạt bài này bằng việc thảo luận chi tiết hơn về multicast và anycast.

Địa chỉ Multicast

Như chúng tôi đã giải thích ở phần trước, các địa chỉ multicast được sử dụng để nhận dạng một nhóm các giao diện mạng, được biết đến như một nhóm multicast. Các giao diện mạng điển hình được định vị trên các máy tính phức hợp nhưng đây không phải là một thiết bị thuần túy. Các địa chỉ multicast được sử dụng để gửi thông tin đến bất kỳ giao diện mạng nào đã được định nghĩa thuộc về nhóm multicast.

Một trong những điều thú vị nhất về các địa chỉ multicast đó là chúng hoàn toàn riêng biệt, một giao diện mạng có một địa chỉ multicast không có nghĩa là máy đó không thể có một địa chỉ unicast hoặc là nằm trong các nhóm multicast khác Trong thực tế, một vài hệ điều hành đã thêm vào đó một adapter mạng của máy tính đối với các nhóm multicast khác nhau tại thời điểm địa chỉ unicast của adapter được định nghĩa. Ví dụ: hệ điều hành Solaris tự động thêm vào các adapter mạng vào nút Solicited và các nhóm multicast tất cả các nút (hoặc tất cả các router). Trong trường hợp bạn không quen với Solaris, nhóm nút Solicited được sử dụng cho việc phát hiện ra IPv6 khác đã kích hoạt các thiết bị trên mạng. Windows Vista cũng có một chức năng tương tự.

Chúng tôi đã giải thích cho các bạn nghe về các địa chỉ multicast được sử dụng cho những địa chỉ multicast trông như thế nào. Mặc dù một địa chỉ IPv6 dài 128 bit nhưng 8 bit đầu tiên của địa chỉ lại định nghĩa cho địa chỉ multicast. Mỗi một địa chỉ multicast sử dụng một định dạng tiền tố là 11111111. Khi được biểu diễn trong ký hiệu hex và “:” thì một địa chỉ multicast luôn luôn bắt đầu bằng FF.

Bốn bit tiếp theo của địa chỉ multicast là các bit cờ (flag). Tại thời điểm hiện tại, ba bit đầu trong nhóm bốn bit là không dùng đến (chính vì vậy chúng được thiết lập là 0). Bit cờ thứ tư được biết đến như một bit nốt đệm. Nhiệm vụ của nó là để biểu thị xem địa chỉ đó là một địa chỉ tạm thời hay thường xuyên. Nếu địa chỉ đó là địa chỉ thường xuyên thì bit này sẽ được gán bằng 0 còn ngược lại nó sẽ được gán bằng 1.

Bốn bit tiếp theo trong địa chỉ multicast được biết đến như các bit ID Scope. Số lượng của không gian dự trữ cho các bit Scope ID là 4 bit, điều đó có nghĩa là có 16 giá trị khác nhau được biểu thị. Mặc dù không phải tất cả 16 giá trị đều được sử dụng tại thời điểm hiện tại, 7 trong số các giá trị đó được sử dụng để xác định phạm vi của địa chỉ. Ví dụ: nếu một địa chỉ có phạm vi toàn cầu thì địa chỉ là hợp lệ trên toàn bộ Internet. Hiện tại đã sử dụng các bit Scope ID như sau:
Code:
Giá trị thập phân Giá trị nhị phân Phạm vi địa chỉ
0 0000 Dự trữ
1 0001 Phạm vi nút nội bộ
2 0010 Phạm vi liên kết nội bộ
5 0101 Phạm vi trang nội bộ
8 1000 Phạm vi tổ chức nội bộ
14 1110 Phạm vi toàn cầu
15 1111 Dự trữ
112 bit còn lại được sử dụng cho nhóm ID. Kích thước của nhóm ID cho phép các địa chỉ multicast dùng hết 1/256 phần không gian địa chỉ của IPv6.

Để đặt lược đồ địa chỉ này trong phần sắp tới, chúng tôi cho bạn xem một số địa chỉ multicast được sử dụng thường xuyên nhất:

FF0×0:0:0:0:0:1
Đây là một multicast cho tất cả các nút. Bạn có thể phải lưu ý đến chữ “x” trong địa chỉ, nó không phải là một kí tự hệ số hex. Nó là một trình giữ chỗ cho phạm vi. Địa chỉ cụ thể này có thể sử dụng phạm vi nút nội bộ (FF01:0:0:0:0:0:1) hoặc phạm vi liên kết nội bộ (FF02:0:0:0:0:0:1).

FF0x:0:0:0:0:0:2
Địa chỉ multicast này được gán cho tất cả các router bên trong phạm vi đã định nghĩa. Ở đây cũng có kí tự “x”, nó cũng có chức năng tương tự. Các phạm vi hợp lệ là nút nội bộ (FF01:0:0:0:0:0:2), liên kết nội bộ (FF02:0:0:0:0:0:2) và trang nội bộ (FF05:0:0:0:0:0:2).

Địa chỉ Anycast

Nếu đã nghiên cứu giao thức IPv4 thì bạn có thể biết được rằng các khái niệm của unicast và multicast cũng tồn tại ở IPv4, mặc dù vậy ở IPv6 chúng được bổ sung nhiều vấn đề khác. Anycast là duy nhất với IPv6. Anycast làm việc giống như một sự kết hợp các địa chỉ unicast và multicast. Một địa chỉ unicast được sử dụng để gửi dữ liệu đến một người nhận cụ thể nào đó, một địa chỉ multicast được sử dụng để gửi dữ liệu đến một nhóm người nhận còn một địa chỉ anycast thì được sử dụng để gửi dữ liệu đến một người nhận cụ thể ở ngoài nhóm người nhận.

Trong trường hợp bạn đang phân vân rằng anycast được tạo như một cách làm cân bằng tải trở lên dễ dàng hơn. Hãy hình dung một tình huống bạn cần cung cấp một số lượng lớn người dùng để họ có thể truy cập đến các dịch vụ hoặc đến một router của họ. Trong tình huống như vậy thì nó thường làm cho bạn phải sử dụng nhiều máy chủ để cấu hình dịch vụ đang được cung cấp hoặc sử dụng các router phức hợp hay bất cứ trường hợp nào có thể. Lý do ở đây là vì nó có thể cho phép phân phối luồng công việc giữa các thiết bị phức hợp.

Loại cân bằng tải này thực hiện rất khó khăn nếu sử dụng Ipv4 (mặc dù nó đã được thực hiện). Siệc sử dụng các địa chỉ anycast với IPv6 sẽ cho hiệu quả tuyệt đối với việc cân bằng tải. Bạn cần gửi một yêu cầu người dùng đến một trong những thiết bị, trong khi không thể quan tâm đến các thiết bị đã được chỉ định quản lý yêu cầu mà chỉ là yêu cầu phải được quan tâm. Bằng việc sử dụng các địa chỉ anycast, mỗi yêu cầu sẽ tự động gửi đến thiết bị gần nhất về mặt địa lý đến máy tính đưa ra yêu cầu. Trong một số tình huống, anycast thậm có thể được sử dụng để cung cấp lỗi dung sai cho một router lỗi. Lỗi có thể được phát hiện và các yêu cầu có thể được gửi lại vòng qua một router khác lân cận.

Vấn đề kỳ lạ nhất với các địa chỉ anycast là không có lược đồ định địa chỉ đặc biệt nào. Với những gì trong bài viết này, bạn đã thấy được có rất nhiều loại nguyên tắc bao trùm sử dụng và cấu trúc của các địa chỉ unicast và multicast là để gán cùng một địa chỉ unicast cho các host phức hợp. Với cách làm như vậy các địa chỉ unicast trở thành một địa chỉ anycast.

Kết luận

Trong loạt bài viết này, chúng tôi đã cố gắng lướt qua một cách cơ bản về giao thức IPv6. Hầu hết các quản trị viên có thể không cần phải trở thành các chuyên gia ngay lập tức nhưng IPv6 là một thành phần cần thiết trong Windows Vista và Longhorn Server. Chính vì vậy, chúng ta tìm hiểu để biết chút ít về nó là một việc làm cần thiết.
sưu tầm

Leave a Response »

Giới thiệu về địa chỉ IPv6 – phần 2 Thứ Tư, Tháng 7 30 2008

Network phucjimy 5:44 sáng

Phần 2

Bài viết này sẽ tiếp tục giới thiệu cho các bạn giao thức IPv6 bằng cách thảo luận về việc định dạng địa chỉ và các loại địa chỉ khác nhau của IPv6.

Trong phần một của loạt bài này, chúng tôi đã giới thiệu một số cách khác nhau biểu diễn địa chỉ IPv6 so với cách được sử dụng để biểu diễn trong IPv4. Trong bài viết này, chúng tôi muốn tiếp tục thảo luận bằng việc nói về những vấn đề bên trong địa chỉ IPv6, cách mà các địa chỉ IPv6 được thiết lập cho mạng cấp dưới và các loại IPv6 khác nhau.

Nếu đã quen với IPv4 thì bạn phải biết rằng một địa chỉ IPv4 gồm có 4 phần, mỗi phần được phân biệt với nhau bằng dấu chấm. Một phần trong địa chỉ này biểu thị số mạng và các bit còn lại dùng để phân biệt một host cụ thể trên mạng. Số của các bit thực được thiết kế cho số mạng và số host khác nhau phụ thuộc vào subnet mask.

Một địa chỉ IPv4 được chia thành các phần khác nhau, trong địa chỉ IPv6 cũng vậy. Trong bài trước, bạn đã biết được về các địa chỉ IPv6 có 128 bit chiều dài. Khi một địa chỉ IPv6 được viết theo dạng đầy đủ, nó được diễn tả thành 8 phần khác nhau, mỗi phần có 4 số và được phân tách bằng dấu “:”. Mỗi phần có 4 chữ số này biểu thị 16 bit dữ liệu, mỗi trường 16 bit này lại được sử dụng cho các mục đích riêng biệt.

Cụ thể, mỗi một địa chỉ IPv6 được phân thành ba phần khác nhau đó là: site prefix, subnet ID, interface ID. Ba thành phần này được nhận dạng bởi vị trí của các bit bên trong một địa chỉ. Ba trường đầu tiên trong IPv6 được biểu thị site prefix, trường tiếp theo biểu thị subnet ID còn 4 trường cuối biểu thị cho interface ID.

Site prefix cũng giống như số mạng của IPv4. Nó là số được gán đến trang của bạn bằng một ISP. Điển hình, tất cả các máy tính trong cùng một vị trí sẽ được chia sẻ cùng một site prefix. Site prefix hướng tới dùng chung khi nó nhận ra mạng của bạn và cho phép mạng có khả năng truy cập từ Internet.

Không giống như site prefix, subnet ID mang tính riêng bởi vì nó ở bên trong mạng của bạn, subnet ID miêu tả cấu trúc trang của mạng. Subnet ID làm việc rất giống với cách mà mạng con làm việc trong giao thức IPv4. Sự khác nhau lớn nhất ở đây là các mạng có đó có thể dài 16 byte là được biểu thị trong định dạng hex nhiều hơn là ký hiệu chữ thập phân có nhiều dấu chấm. Một IPv6 subnet điển hình tương đương với một nhánh mạng đơn (trang) như một subnet của IPv4.

Interface ID làm việc giống như một ID cấu hình IPv4. Số này nhận dạng duy nhất một host riêng trong mạng. Interface ID (thứ mà đôi khi được cho như là một thẻ) được cấu hình tự động điển hình dựa vào địa chỉ MAC của giao diện mạng. ID giao diện có thể được cấu hình bằng định dạng EUI-64.

Để xem một địa chỉ IPv6 được phân chia như thế nào thành các phần con khác nhau của nó, bạn hãy quan sát đến địa chỉ dưới đây:

2001:0f68:0000:0000:0000:0000:1986:69af

Phần site prefix của địa chỉ này là: 2001:0f68:0000. Trường tiếp theo là 0000 biểu thị subnet ID. Các byte còn lại (0000:0000:1986:69af) biểu thị interface ID.

Điển hình khi một tiền tố được biểu diễn, nó được viết trong một định dạng đặc biệt. Các số 0 trong đó đã giải thích trong bài viết trước và các tiền tố được theo sau bởi một dấu sổ và số. Số sau dấu sổ chỉ số lượng của các bit trong tiền tố. Trong ví dụ trước tôi đã đề cập đến site prefix cho địa chỉ 2001:0f68:0000:0000:0000:0000:1986:69af là 2001:0f68:0000. Khi tiền tố này có chiều dài 48 bit thì chúng ta nên thêm vào đó a /48 để kết thúc nó hợp thức. Với các con số 0 đã bỏ, tiền tố đó sẽ viết như sau: 2001:f68::/48

Các loại địa chỉ IPv6

IPv6 có ba loại địa chỉ khác nhau: Unicast, Multicast và Anycast.

Địa chỉ Unicast được sử dụng để phân biệt các host đơn lẻ trên một mạng. Các địa chỉ Multicast lại sử dụng để phân biệt một nhóm các giao diện mạng cư trú điển hình trong các máy tính phức hợp. Khi một gói dữ liệu được gửi đến địa chỉ multicast thì gói đó được gửi đến tất cả các giao diện mạng trong nhóm multicast.

Giống như các địa chỉ multicast, các địa chỉ anycast cũng phân biệt một nhóm cụ thể các giao diện mạng thường cư trú trong các máy tính phức hợp. Vậy cái gì tạo tuyến anycast khác với một nhóm multicast? Khi các gói được gửi đi đến một địa chỉ multicast chúng được gửi đến tất cả các giao diện mạng trong nhóm. Trái ngược với điều đó, khi các gói dữ liệu được gửi đi đến một địa chỉ anycast thì các gói này không gửi đến toàn bộ nhóm mà thay vì đó chúng chỉ được gửi đến thành viên gần nhất về mặt vật lý với người gửi.

Các địa chỉ Unicast

Chúng tôi đã giới thiệu cho các bạn định dạng của một địa chỉ IPv6 và những vị trí bit khác nhau được sử dụng. Quả thực có hai loại địa chỉ unicast khác nhau đó là: toàn cục và liên kết cục bộ. Một địa chỉ unicast toàn cục có thể truy cập rộng rãi trong khi đó địa chỉ unicast liên kết cục bộ chỉ có thể truy cập đến các máy tính khác mà chia sẻ liên kết. Định dạng địa chỉ IP mà tôi đã giới thiệu cho các bạn ở phần trước là một địa chỉ unicast toàn cục. Chúng tôi đã nói về loại địa chỉ này bởi vì nó là loại địa chỉ chung nhất.

Các địa chỉ unicast liên kết cục bộ đã sử dụng một định dạng địa chỉ khác với các địa chỉ unicast toàn cục. Giống như các địa chỉ unicast toàn cục, các địa chỉ unicast liên kết cục bộ cũng gồm 128 byte chiều dài. Sự khác nhau ở hai loại này là các byte được phân phối khác nhau và địa chỉ sử dụng một site prefix đặc biệt.

Trong một địa chỉ unicast liên kết nội bộ, một site prefix chiếm 10 bit đầu tiên của địa chỉ thay vì 48 bit đầu như trong trường hợp của địa chỉ unicast toàn cục. Site prefix được sử dụng bằng một địa chỉ unicast liên kết cục bộ là: fe80.

Khi site prefix được viết ngắn lại (so với một địa chỉ unicast toàn cục), bạn có thể không ngạc nhiên khi thấy rằng số lượng của không gian chỉ định trong subnet ID đã được mở rộng từ 16 bit thành 64 bit. Những gì ở đây là 64 bit đó không thực sự được sử dụng. Nhớ rằng một địa chỉ IP liên kết cục bộ chỉ hợp lệ cho các máy tính đang chia sẻ một liên kết chung. Như vậy, không có lý do nào để cần phải có một subnet ID. 64 bit của không gian địa chỉ mà được dành riêng cho subnet ID được biểu diễn như những số 0.

Interface ID cho một địa chỉ unicast liên kết cục bộ có chiều dài 54 bit. Interface ID hầu như luôn được bắt nguồn từ 48 bit địa chỉ MAC đã gán vào card giao diện mạng để giao thức được phân danh giới. Dưới đây là một ví dụ về một địa chỉ unicast liên kết cục bộ.

Fe80:0000:0000:0000:0000:0000:23a1:b152

Tất nhiên khi các địa chỉ IPv6 được viết ra thì chúng thường được diễn tả với một loạt con số 0 đã bị triệt tiêu. Chính vì vậy, một công thức viết tắt đúng kỹ thuật địa chỉ này là:

Fe80::23a1:b152

Khi các địa chỉ đã diễn tả với các số 0 đã bị triệt tiêu, thì địa chỉ đầu tiên trông giống như bất kỳ địa chỉ IPv6 nào. Nhớ rằng bạn có thể nói được sự khác nhau giữa một địa chỉ unicast liên kết cục bộ với các địa chỉ khác bởi vì một địa chỉ unicast cục bộ sẽ luôn luôn bắt đầu với fe80.

Kết luận

Trong bài viết này, chúng tôi đã trình bày cho các bạn sự khác nhau đáng kể về các bit trong địa chỉ IPv6. Phần cuối đã đi thẳng vào thảo luận sự khác nhau giữa các loại địa chỉ IPv6. Trong phần 3 chúng tôi sẽ tiếp tục thảo luận bằng việc nói về các địa chỉ multicast và anycast.

Leave a Response »

Trang sau »

Welcome Website Report Security – Code . . .

Chmod – tản mạn – phần 3 (sưu tầm) Thứ năm, Tháng 7 31 2008

Chmod – tản mạn – phần 2 (sưu tầm) Thứ năm, Tháng 7 31 2008

Chmod – phần 1 (sưu tầm) Thứ năm, Tháng 7 31 2008

IDS – IPS – IDP đôi điều cần biết – phần cuối Thứ Tư, Tháng 7 30 2008

IDS – IPS – IDP đôi điều cần biết – phần 1 Thứ Tư, Tháng 7 30 2008

Hoạt động của Switch. – phần 2 (phần cuối) ( sưu tầm) Thứ Tư, Tháng 7 30 2008

Hoạt động của Switch. – phần 1 ( sưu tầm) Thứ Tư, Tháng 7 30 2008

Tìm hiểu về giao thức Thứ Tư, Tháng 7 30 2008

Giới thiệu về địa chỉ IPv6 – phần cuối Thứ Tư, Tháng 7 30 2008

Giới thiệu về địa chỉ IPv6 – phần 2 Thứ Tư, Tháng 7 30 2008

Pages

Chuyên mục:

Tìm kiếm:

Hàng tháng:

Dòng thông tin RSS