|
Множинний доступ і комутація пакетів
Загальне передавальне середовище (як Ethernet, так і Token Ring) застосовується для обміну даними в мережах впродовж більше двох десятків років. Цей підхід був розроблений Бобом Меткафом (Bob Metcalfe) для стандарту Ethernet в дослідницькому центрі компанії Xerox, розташованому в р. Лягло Альто (PARC — Palo Alto Research Center), і отримав назву Csma/cd (виявлення множинного доступу до лінії/распознаваніє конфліктів — Carrier Sense Multiple Access/collision Detection). При такій традиційній топології мережевий адаптер Ethernet відправляє витікаючий потік даних кожному вузлу сегменту. З одного боку, це гарантує, що приймаючий адаптер, де б він не знаходився, отримає, як і решта всіх адаптерів мережі, що призначалися йому дані (хоча решті мережевих адаптерів вони зовсім не потрібні). З іншого боку, пакети, що постійно розсилаються по всій мережі, заважають один одному і при підвищенні інтенсивності роботи можуть виникати ситуації, коли пропускна спроможність каналу не відповідає інтенсивності передаваних по ньому даних. Крім того, з погляду безпеки, множинний доступ до передавального середовища — це "бомба сповільненої дії", яка рано чи пізно може привести до порушень безпеки. Проте, на жаль, мережі Ethernet з множинним доступом вельми поширені в даний час і. схоже, навряд чи зникнуть в осяжному майбутньому.
Тим часом вже досить давно існує технологія Ethernet, побудована на принципі комутації пакетів, яка далеко позаду залишає традиційну технологію Ethernet. Технологія комутації пакетів грунтується на використанні великої таблиці адрес MAC (Media Access Control — управління доступом до компонентів середовища). При використанні МАС-адресов дані відправляються за допомогою спеціального алгоритму, реалізованого у вигляді швидкодіючої мікросхеми, безпосередньо одержувачеві цих даних і нікому більш (за винятком лише деяких особливих випадків).
Проте
і в комутованих мережах також є можливість перехоплення пакетів, що пересилаються. Прикладом такого пристрою можуть бути комутатори Catalyst компанії Cisco, що мають засоби підтримки технології SPAN (Switched Port Analyzer). Перенаправивши певні порти або віртуальні локальні мережі (VLAN — Virtual Local Area Networks) на заданий порт, адміністратор може перехоплювати пакети так, як якби вони передавалися по традиційній мережі з множинним доступом. В даний час цей прийом часто використовується в системах виявлення вторгнень (IDS — Intrusion Detection System) з метою забезпечення можливості прослуховування передаваного потоку даних і виявлення порушень безпеки.
Ще небезпечнішою для комутованих мереж виявилася технологія, реалізована Дагом Сонгом (Dug Song) в його програмі-аналізаторі dsniff. Ця програма дозволяє захоплювати трафік комутованої мережі, повністю перенаправляючи його із заданого вузла на вузол, на якому вона встановлена. Така технологія достатньо проста і здатна зруйнувати традиційну думку про те, що мережа з комутацією пакетів забезпечує достатньо високий рівень безпеки.
|
