Διευθυνσιοδότηση στο TCP/IP (IPv4)

Διευθυνσιοδότηση στο TCP/IP (IPv4) Γενικά Σε ένα δίκτυο υπολογιστών, για να μπορέσει η πληροφορία (ή τα δεδομένα) να φτάσει στον υπολογιστή προορισμού με τη μορφή πακέτων δεδομένων, θα πρέπει οι υπολογιστές να προσδιορίζονται με μοναδικό τρόπο με κάποιο σχήμα διευθυνσιοδότησης, όπως οι κατοικίες σε μια πόλη εντοπίζονται από τον αριθμό, την οδό και τον ταχυδρομικό κώδικα. Διευθύνσεις IPv4 Το πρωτόκολλο IP3 ορίζει ότι οι υπολογιστές4 που συμμετέχουν σε ένα δίκτυο, χρησιμοποιώντας το συγκεκριμένο πρωτόκολλο ( την έκδοση 4 - IPv4), αναγνωρίζονται με μοναδικό τρόπο από έναν 32μπιτο δυαδικό αριθμό, την διεύθυνση IP (IP Address). Ένας τέτοιος αριθμός είναι π.χ. ο Πώς γράφεται μια διεύθυνση IP; Επειδή ένας αριθμός, σε μορφή όπως δίνεται στην προηγούμενη παράγραφο, είναι δυσκολομνημόνευτος έχει επικρατήσει να αναγράφεται ως εξής: τα ψηφία ομαδοποιούνται σε τέσσερα τμήματα του ενός byte και αναγράφονται τα αντίστοιχα δεκαδικά τους ισοδύναμα, διαχωριζόμενα από τα διπλανά τους με τελείες. Έτσι ο προηγούμενος αριθμός γράφεται ως 92.68..8 Ο συγκεκριμένος τρόπος γραφής αναφέρεται ως δεκαδική σημειογραφία με τελείες (fourpart dotted decimal notation) Σύμφωνα με αυτόν τον τρόπο γραφής μια διεύθυνση IP για να είναι σωστή θα πρέπει:. να αποτελείται από τέσσερις δεκαδικούς αριθμούς διαχωρισμένους με τελείες 2. κάθε αριθμός να είναι μεταξύ του μηδενός και του 255 (αφού αυτές είναι οι τιμές που μπορεί να πάρει ένας οκταψήφιος δυαδικός αριθμός byte, από έως 28 ) Παραδείγματα διευθύνσεων IP: Α/Α ΔΙΕΥΘΥΝΣΗ 3 4 ΣΩΣΤΗ/ΛΑΘΟΣ ΓΙΑΤΙ; 92.68..2 ΣΩΣΤΗ 2...2.3 ΛΑΘΟΣ Έχει περισσότερα από τέσσερα τμήματα 3 72.6.257.3 ΛΑΘΟΣ Ένα τμήμα (257) είναι έξω από τα όρια έως 255 4.46.. ΣΩΣΤΗ 5 94.29.227.3? 6 27.27..? Στο IP στηρίζει τη λειτουργία του το Internet Στην πραγματικότητα ένας υπολογιστής μπορεί να έχει περισσότερες διευθύνσεις, μια διαφορετική για κάθε διαφορετικό δίκτυο στο οποίο είναι συνδεδεμένος. Όπως μια γωνιακή οικία η οποία έχει πρόσοψη σε δυο δρόμους που διασταυρώνονται, μπορεί να προσδιοριστεί με διαφορετικές διευθύνσεις ανάλογα με το δρόμο από τον οποίο προσεγγίζεται. Διεύθυνση IP έχει κάθε δικτυακή διασύνδεση (Network Interface) ενός υπολογιστή. Έτσι ένας υπολογιστής με δυο κάρτες δικτύου Ethernet (δικτυακές διασυνδέσεις) μπορεί να έχει δυο διευθύνσεις. Δικτύωση με TCP/IP by SV2DOF, Σελ. 2 / 67

Μετατροπή δυαδικού αριθμού σε δεκαδικό (8 bit) Η αξία του ψηφίου είναι ίση με τη βάση του συστήματος αρίθμησης (2 για το δυαδικό) υψωμένη σε δύναμη με εκθέτη τη θέση του ψηφίου (η αρίθμηση ξεκινά από τα δεξιά και την τιμή, προς τα αριστερά). Έτσι για το 5ο ψηφίο b5, η αξία είναι 25 = 32. Αξία ψηφίου : 28 64 32 6 8 4 2 Ψηφίο : Θέση ψηφίου : b7 b6 b5 b4 b3 b2 b b Αθροίζοντας τις αξίες των άσσων, έχουμε 28+32+8 = 68. Δηλαδή ()2 = (68) Άλλα παραδείγματα: ( )2 = 28+64 = (92) ( )2 = 28+6+2 = (46) Γρήγορη μετατροπή δυαδικού αριθμού σε δεκαδικό Μετατροπή δεκαδικού αριθμού σε δυαδικό (8 bit) Έστω ο αριθμός (27). Ελέγχω εάν από το 27 αφαιρείται η μεγαλύτερη αξία ψηφίου που είναι το 28 2. Ελέγχω εάν από το 77 αφαιρείται η επόμενη μεγαλύτερη αξία ψηφίου που είναι το 64 3. Εφόσον αφαιρείται, εκτελώ την αφαίρεση 5-4 = και σημειώνω στη θέση b2 Ελέγχω εάν από το αφαιρείται η επόμενη μεγαλύτερη αξία ψηφίου που είναι το 2 8. Εφόσον αφαιρείται, εκτελώ την αφαίρεση 3-8 =5 και σημειώνω στη θέση b3 Ελέγχω εάν από το 5 αφαιρείται η επόμενη μεγαλύτερη αξία ψηφίου που είναι το 4 7. Εφόσον δεν αφαιρείται, σημειώνω στη θέση b4 Ελέγχω εάν από το 3 αφαιρείται η επόμενη μεγαλύτερη αξία ψηφίου που είναι το 8 6. Εφόσον δεν αφαιρείται, σημειώνω στη θέση b5 Ελέγχω εάν από το 3 αφαιρείται η επόμενη μεγαλύτερη αξία ψηφίου που είναι το 6 5. Εφόσον αφαιρείται, εκτελώ την αφαίρεση 77-64 =3 και σημειώνω στη θέση b6 Ελέγχω εάν από το 3 αφαιρείται η επόμενη μεγαλύτερη αξία ψηφίου που είναι το 32 4. Εφόσον αφαιρείται, εκτελώ την αφαίρεση 27-28 =77 και σημειώνω στη θέση b7 Εφόσον δεν αφαιρείται, σημειώνω στη θέση b Ελέγχω εάν από το αφαιρείται η επόμενη μεγαλύτερη αξία ψηφίου που είναι το Εφόσον αφαιρείται, εκτελώ την αφαίρεση - = και σημειώνω στη θέση b Αξία ψηφίου : 28 64 32 6 8 4 2 Ψηφίο : Θέση ψηφίου : b7 b6 b5 b4 b3 b2 b b Δηλαδή (27) = 28+64+8+4+ = ()2 Γρήγορη μετατροπή δεκαδικού αριθμού σε δυαδικό Δικτύωση με TCP/IP by SV2DOF, Σελ. 3 / 67

Χρήσιμες υποδείξεις για τις μετατροπές BIN DEC (8bit) Όταν έχουμε από δεξιά προς τα αριστερά συνεχόμενους άσσους, ο αριθμός ισούται με την αξία του επόμενου προς τα αριστερά (του τελευταίου άσσου) ψηφίου μείον ένα. Αξία ψηφίου : 28 64 32 6 8 4 2 Ψηφίο : Θέση ψηφίου : b7 b6 b5 b4 b3 b2 b b Δηλαδή ()2 = 32- = (3) κι όπως επιβεβαιώνεται ()2 = 6+8+4+2+ = (3) Όταν έχουμε περισσότερους άσσους απ' ό,τι μηδενικά συμφέρει να αθροίσουμε τις αξίες των θέσεων των μηδενικών (των άσσων που λείπουν) και να την αφαιρέσουμε από το 255 (την αξία του αριθμού όταν έχει και τα οκτώ ψηφία άσσους) Αξία ψηφίου : 28 64 32 6 8 4 2 Ψηφίο : Θέση ψηφίου : b7 b6 b5 b4 b3 b2 b b Δηλαδή ()2 = 255-(32+8) = 255-4 = (25) κι όπως επιβεβαιώνεται ()2 = 28+64+6+4+2+ = (25) Κλάσεις (τάξεις) δικτύων - διευθύνσεων Κάθε διεύθυνση IP αποτελείται από δυο τμήματα. Το πρώτο τμήμα είναι αναγνωριστικό του δικτύου (Network ID) ή πρόθεμα (prefix) στο οποίο ανήκει ο υπολογιστής και το δεύτερο το αναγνωριστικό του υπολογιστή (Host ID) ή επίθεμα (suffix) μέσα στο συγκεκριμένο δίκτυο. Το αναγνωριστικό του δικτύου είναι σαν την οδό στην οποία βρίσκεται μια οικία ενώ το αναγνωριστικό του υπολογιστή σαν τον αριθμό επί της οδού που βρίσκεται η οικία. Για παράδειγμα στη διεύθυνση 92.68..2, οι τρεις πρώτοι αριθμοί 92.68. προσδιορίζουν το δίκτυο 92.68.. και ο τελευταίος (2) τον υπολογιστή Νο 2 του συγκεκριμένου δικτύου. 92. 68.. 2 n n n H Δίκτυο (network) Υπολογιστής (Host) Πίνακας : Τμήματα μιας διεύθυνσης IP Τα δυο αυτά τμήματα διαφοροποιούνται ανάλογα με το μέγεθος του δικτύου. Το συγκεκριμένο δίκτυο, εφόσον το αναγνωριστικό του υπολογιστή έχει εύρος 8bit, μπορεί να έχει μέχρι 28 = 256 υπολογιστές (-255, κι αν εξαιρέσουμε τις τιμές και 255 οι οποίες έχουν ειδική σημασία, απομένουν μόνο οι τιμές έως 254, δηλ. 254 υπολογιστές). Εάν θέλουμε το δίκτυο να έχει περισσότερους από 254 υπολογιστές θα πρέπει να διατεθεί ακόμα μια οκτάδα (byte) για το αναγνωριστικό του υπολογιστή. Τότε το δίκτυο θα μπορεί να έχει μέχρι 26 = 65536 5 5 Στην πραγματικότητα μπορεί να έχει 65536-2=65534, εξαιρώντας την πρώτη τιμή. και την τελευταία 255.255 όπως Δικτύωση με TCP/IP by SV2DOF, Σελ. 4 / 67

υπολογιστές ενώ για ακόμα μεγαλύτερα δίκτυα (περισσότερους από 65534 υπολογιστές) θα πρέπει να διατεθεί ακόμα μια οκτάδα, συνολικά 24 bit για το αναγνωριστικό του υπολογιστή. Ας σημειωθεί ότι ανάλογα μειώνεται το μήκος του αναγνωριστικού του δικτύου ώστε συνολικά μαζί με το αναγνωριστικό του υπολογιστή να είναι 32 bit. Με τον τρόπο αυτό ορίζονται οι κλάσεις-τάξεις των δικτύων ώστε να υπάρχουν δίκτυα διαφόρων μεγεθών ανάλογα με τις ανάγκες που εξυπηρετούν κατά το ανάλογο μεγάλων οδών ή λεωφόρων που έχουν πολλά κτήρια-οικίες και μικρότερων οδών με λιγότερα κτήρια-οικίες. Έτσι ορίζονται τρεις τάξεις δικτύων ανάλογα με το μέγεθός τους οι οποίες συνοψίζονται στον παρακάτω πίνακα ΤΑΞΗ ΔΙΕΥΘΥΝΣΗ IP 4 οκτάδες A n (7bit) H H Δίκτυο B Υπολογιστές H 27 = 28 224-2 = 6 777 24 H 24 = 6 384 26-2 = 65 534 H 22 = 2 97 52 28-2 = 254 Υπολογιστής n (6bit) n H Δίκτυο C Δίκτυα n (5bit) Υπολογιστής n n Δίκτυο Υπολογιστής Πίνακας 2: Τάξεις δικτύων Πώς προσδιορίζεται η τάξη (κλάση) του δικτύου όταν δίνεται μια διεύθυνση IP; Βλέποντας μια διεύθυνση IP, η τάξη του δικτύου στο οποίο ανήκει, προκαθορίζεται από την πρώτη οκτάδα (byte) της και ειδικότερα από τη δυαδική της μορφή (2η στήλη του Πίνακα 3), ως εξής: Δυαδικό Δεκαδικό ΤΑΞΗ η οκτάδα Από έως Από έως Παρατηρήσεις A xxx xxxx 27 x :ή B xx xxxx 28 9 C x xxxx 92 223 D xxxx 224 239 Multicast6 E xxx 24 247 Δεσμευμένες Πίνακας 3: Προσδιορισμός τάξης δικτύου από τη διεύθυνση IP Από τις παραπάνω τάξεις, μόνο οι A, B και C χρησιμοποιούνται για την απόδοση διευθύνσεων σε υπολογιστές δικτύων για κανονική χρήση. Οι D και E έχουν ειδικές χρήσεις. Παραδείγματα διευθύνσεων IP και αντιστοίχων τάξεων δικτύων στα οποία ανήκουν: 6 στην περίπτωση του δικτύου με τους 254 υπολογιστές. Για τη σημασία των εξαιρουμένων τιμών θα γίνει λόγος παρακάτω. Multicast = Πολυδιανομή Δικτύωση με TCP/IP by SV2DOF, Σελ. 5 / 67

Διεύθυνση IP Τάξη Γιατί; 92.68..2 C το 92 ανήκει στο διάστημα 92.. 223.46.. A το ανήκει στο διάστημα.. 27 72.6.32.253 B το 72 ανήκει στο διάστημα 28.. 9 27... A το 27 ανήκει στο διάστημα.. 27 94.29.227. C το 94 ανήκει στο διάστημα 92.. 223 Σημείωση: Το κριτήριο για τον προσδιορισμό της τάξης δικτύου στην οποία ανήκει μια διεύθυνση IP είναι η μορφή της πρώτης οκτάδας της διεύθυνσης όπως αυτή φαίνεται στη δεύτερη στήλη του Πίνακα_3 Λαμβάνοντας υπόψη τη δεύτερη στήλη του Πίνακα 3 (η οκτάδα) και τον Πίνακα 2, προσπαθήστε να εξηγήσετε γιατί ο αριθμός των πιθανών δικτύων για κάθε τάξη είναι αυτός που φαίνεται στην προτελευταία στήλη (Δίκτυα) του Πίνακα 2. Ποιός δίνει τις διευθύνσεις IP; Οι διευθύνσεις IP είναι μοναδικές στον κόσμο και διαχειρίζονται από κεντρικό φορέα διαχείρισης, (IANA/ICANN) ο οποίος μεταβιβάζει αρμοδιότητες διαχείρισης σε περιφερειακούς καταχωρητές (RIR Regional Internet Registry) και μέσω αυτών σε τοπικούς (LIR Local Internet Registry) ή εθνικούς καταχωρητές (NIR National Internet Registry). Για την Ευρώπη, Μέση Ανατολή και Κεντρική Ασία περιφερειακός καταχωρητής Internet είναι το RIPE NCC (Réseaux IP Européens Network Coordination Center). Οι τελικοί απλοί ή και εταιρικοί χρήστες απευθύνονται στον φορέα παροχής υπηρεσιών Internet (Internet Service Provider, ISP) ο οποίος τους παρέχει πρόσβαση στο Internet μαζί με τις απαιτούμενες διευθύνσεις IP, διαφορετικές κάθε φορά (δυναμικές) ή τις ίδιες πάντα (στατικές) και κατά κανόνα είναι και τοπικός καταχωρητής7. Η ιστοσελίδα του Εθνικού Δικτύου Έρευνας και Τεχνολογίας (http://www.grnet.gr/default.asp? pid=48&la=) αναφέρει: Από τον Ιούλιο του 995, το ΕΔΕΤ έχει αναλάβει από το RIPE τον ρόλο του Τοπικού Καταχωρητή Internet (Local Internet Registry - LIR). Η υπηρεσία Hostmaster έχει σαν σκοπό την διαχείριση του χώρου των IPv4 και IPv6 διευθύνσεων που έχουν δεσμευθεί για το ΕΔΕΤ (GR.GRNETLIR) από το RIPE, καθώς και την διάθεσή διευθύνσεων αυτών στους φορείς-πελάτες του ΕΔΕΤ κατόπιν σχετικής αιτήσεως. Ιδιωτικές διευθύνσεις IP Για την υλοποίηση ιδιωτικών δικτύων, οι υπολογιστές των οποίων δεν έχουν άμεση πρόσβαση στο Internet, δεν είναι ανάγκη ο διαχειριστής που υλοποιεί το δίκτυο να ζητήσει επίσημες διευθύνσεις IP από κάποιον πάροχο όπως αναφέρθηκε παραπάνω. Για το σκοπό αυτό έχουν προβλεφθεί περιοχές διευθύνσεων και των τριών τάξεων οι οποίες μπορούν να χρησιμοποιηθούν αυθαίρετα και χωρίς κανένα συντονισμό με κάποια από τις αρχές διαχείρισης διευθύνσεων IP. Αυτές περιγράφονται στο έγγραφο RFC98 - Address Allocation for Private Internets8 και είναι οι εξής: 7 8 Στην ιστοσελίδα http://www.ripe.net/membership/indices/gr.html μπορείτε να βρείτε τοπικούς καταχωρητές για την Ελλάδα http://tools.ietf.org/html/rfc98 Δικτύωση με TCP/IP by SV2DOF, Σελ. 6 / 67

Τάξη Από Έως Μορφή CIDR9 A....255.255.255 /8 B 72.6.. 72.3.255.255 72.6/2 C 92.68.. 92.68.255.255 92.68/6 Πίνακας 4: Διευθύνσεις IP, Ιδιωτικών Δικτύων Συνεπώς, για την υλοποίηση ενός ιδιωτικού δικτύου IP, επιλέγονται διευθύνσεις ΜΟΝΟΝ από τον πίνακα 4 και ανάλογα με το μέγεθος του δικτύου. Οι διευθύνσεις αυτές ΔΕΝ δρομολογούνται από τους δρομολογητές στο Internet. RFC (Request For Comments) είναι έγγραφα του IETF (Internet Engineering Task Force) που περιγράφουν (συνήθως προτείνουν) μεθόδους, συμπεριφορές, αποτελέσματα έρευνας ή καινοτομίες με εφαρμογή στο Internet και στα διασυνδεδεμένα με αυτό συστήματα. Τα περισσότερα υιοθετούνται ως πρότυπα και τυποποιήσεις του Internet. Σπατάλη διευθύνσεων IP Έστω ότι ένας οργανισμός έχει 55 υπολογιστές και θέλει να τους συνδέσει σε δίκτυο χρησιμοποιώντας το TCP/IP. Για τη διευθυνσιοδότησή τους, του παραχωρείται ένα δίκτυο τάξης C, π.χ. το 94.29.227. το οποίο μπορεί να έχει μέχρι και 254 υπολογιστές. Όπως είναι φυσικό, χρησιμοποιώντας την περιοχή από 94.29.227. 94.29.227.55 για τους υπολογιστές του, οι υπόλοιπες διευθύνσεις παραμένουν δεσμευμένες και ανεκμετάλλευτες. Έστω ότι ο ίδιος οργανισμός έχει 25 περίπου υπολογιστές και εκμεταλλεύεται όλο το εύρος των διευθύνσεων που του αποδίδεται. Λόγω διεύρυνσης των δραστηριοτήτων του, ο οργανισμός έχει ανάγκη επιπλέον υπολογιστών π.χ. συνολικά 3. Τότε όμως θα πρέπει να του αποδοθεί διεύθυνση δικτύου τάξης B με συνέπεια να δεσμευτούν και να παραμείνουν ανεκμετάλλευτες πάνω από 65 διευθύνσεις. Το γεγονός αυτό οδηγεί γρήγορα στην εξάντληση των διαθέσιμων διευθύνσεων IP (ειδικά τάξης B) Πέρα από την σπατάλη και εξάντληση των διαθέσιμων διευθύνσεων, ο τρόπος αυτός εμφανίζει και δυσχέρειες στη δρομολόγηση των πακέτων δεδομένων και τη διαχείριση των πινάκων δρομολόγησης. Για να ξεπεραστούν τέτοιου είδους προβλήματα, γίνεται συστηματική και εξειδικευμένη χρήση της μάσκας δικτύου. Κάθε διεύθυνση IP συνοδεύεται από την μάσκα δικτύου, καταργώντας τις τάξεις διευθύνσεων και καθιερώνοντας τον αταξικό τρόπο δρομολόγησης (CIDR) [RFC59, RFC4632]. Μάσκα δικτύου Η μάσκα δικτύου είναι ένας δυαδικός αριθμός 32 ψηφίων, ο οποίος συνοδεύει μια διεύθυνση IP και διευκρινίζει ποιά ψηφία της διεύθυνσης ανήκουν στο αναγνωριστικό του δικτύου (Net ID - prefix) και ποιά στο αναγνωριστικό του υπολογιστή (Host ID - suffix) μέσα στο συγκεκριμένο δίκτυο. Η μάσκα έχει άσσους () στις θέσεις που τα αντίστοιχα ψηφία της διεύθυνσης ανήκουν στο αναγνωριστικό του δικτύου και μηδενικά () στις θέσεις που τα αντίστοιχα ψηφία της διεύθυνσης ανήκουν στο αναγνωριστικό του υπολογιστή. 9 Για τη μορφή αυτή γίνεται λόγος με την εισαγωγή της έννοιας της Μάσκας (υπο-)δικτύωσης Δικτύωση με TCP/IP by SV2DOF, Σελ. 7 / 67

(δεκαδική μορφή) 92. 68.. 8 Διεύθυνση IP: Μάσκα: 255. 255. 255. (δεκαδική μορφή) Παράδειγμα ζεύγους Διεύθυνσης IP - Μάσκας δικτύου Οι άσσοι () βρίσκονται στο αριστερό μέρος, τα μηδενικά () στο δεξιό και δεν μπορεί να μπλέκονται μεταξύ τους άσσοι και μηδενικά. Δηλαδή δε μπορεί ένας άσσος να έχει στα αριστερά του μηδενικό ούτε ένα μηδενικό στα δεξιά του έναν άσσο. Η πράξη του Λογικού ΚΑΙ (AND), ψηφίο προς ψηφίο (bitwise), μεταξύ της διεύθυνσης IP και της μάσκας δικτύου δίνει τη διεύθυνση του δικτύου στο οποίο ανήκει ο υπολογιστής με τη συγκεκριμένη διεύθυνση IP. Διεύθυνση IP: 92.68..8 Μάσκα: 255.255.255. Διεύθυνση 92.68. Δικτύου: Λογικό AND. Αποτέλεσμα Πίνακας 4: (Διεύθυνση IP) AND (Μάσκα δικτύου) = Διεύθυνση Δικτύου Προκαθορισμένες μάσκες δικτύων τάξης A, B, C Με βάση τον ορισμό και την περιγραφή της μάσκας δικτύου, οι προκαθορισμένες μάσκες για τις τρεις τάξεις (κλάσεις) δικτύων με βάση τα τμήματα (Net ID και Host ID) του Πίνακα 2, είναι αυτές που συνοψίζονται στον Πίνακα 5 Δεκαδικό Μάσκα ΤΑΞΗ η οκτάδα Από έως δεκαδική με τελείες μορφή CIDR A xxx xxxx 27 255... /8 B xx xxxx 28 9 255.255.. /6 C x xxxx 92 223 255.255.255. /24 Παρατηρήσεις x :ή Πίνακας 5: Προκαθορισμένες μάσκες δικτύων τάξεων A, B, C Εναλλακτικός τρόπος γραφής μιας μάσκας είναι η μορφή CIDR. Μετά τη διεύθυνση IP ακολουθεί πλάγια κάθετος και ένας αριθμός ο οποίος δηλώνει τους άσσους της μάσκας ή αλλιώς τα ψηφία της διεύθυνσης που προσδιορίζουν το αναγνωριστικό δικτύου (prefix), π.χ. 92.68..2 / 24 Ειδικές διευθύνσεις Διεύθυνση Δικτύου: Για μια δεδομένη διεύθυνση IP, η διεύθυνση δικτύου είναι ο αριθμός ο οποίος είναι ίδιος με τη διεύθυνση στο τμήμα που αντιπροσωπεύει το αναγνωριστικό δικτύου ενώ στο τμήμα που προσδιορίζει τον υπολογιστή έχει μηδενικά (στο δυαδικό του ισοδύναμο) Πρόκειται για το αποτέλεσμα του λογικού AND μεταξύ της διεύθυνσης IP και της μάσκας δικτύου. RFC82 Requirements for IP Version 4 Routers, p22 Δικτύωση με TCP/IP by SV2DOF, Σελ. 8 / 67

Για την διεύθυνση IP 92.68..8 με μάσκα 255.255.255. ή 92.68..8 / 24, η διεύθυνση δικτύου είναι 92.68.. [=(92.68..8) AND (255.255.255.) Βλέπε Πίνακα 4] Διεύθυνση Εκπομπής (Broadcast ή Bcast): Για μια δεδομένη διεύθυνση IP, η διεύθυνση εκπομπής είναι ο αριθμός ο οποίος είναι ίδιος με τη διεύθυνση στο τμήμα που αντιπροσωπεύει το αναγνωριστικό δικτύου ενώ στο τμήμα που προσδιορίζει τον υπολογιστή έχει άσσους (στο δυαδικό του ισοδύναμο). Για την διεύθυνση IP 92.68..8 με μάσκα 255.255.255. ή 92.68..8 / 24, η διεύθυνση εκπομπής είναι 92.68..255 Διεύθυνση επανατροφοδότησης (Loopback), 27... / 8 και συνήθως 27... / 32 Αναφέρεται στον ίδιο τον τοπικό υπολογιστή. Ένας υπολογιστής, ακόμη κι αν δεν έχει καμιά δικτυακή διασύνδεση στέλνοντας πακέτα με προορισμό (destination) τη διεύθυνση 27... (ή και οποιαδήποτε άλλη διεύθυνση του δικτύου 27.../8) αυτά διεκπεραιώνονται πίσω (επανατροφοδοτούνται) στον ίδιο του τον εαυτό.... / 8 : Συναντάται μόνον ως διεύθυνση προέλευσης (source) και δηλώνει πακέτα από υπολογιστές του ίδιου του δικτύου στο οποίο ανήκει και ο συγκεκριμένος υπολογιστής ενώ... / 32 δηλώνει πακέτα του ίδιου του υπολογιστή. 69.254.. / 6 (Link local): Υπολογιστές που είναι ρυθμισμένοι να παίρνουν αυτόματες δικτυακές ρυθμίσεις από διακομιστή DHCP, όταν δεν λάβουν απόκριση (είτε επειδή δεν υπάρχει τέτοιος διακομιστής είτε επειδή υπάρχει κάποιο άλλο πρόβλημα), παίρνουν μια τυχαία διεύθυνση από αυτήν την περιοχή. Χρησιμοποιείται στα λειτουργικά συστήματα της Microsoft από τα Windows 98 και μετά. Άλλες Ειδικές Διευθύνσεις IP περιγράφονται στο RFC333 Special-Use IPv4 Addresses. http://support.microsoft.com/kb/22874 Δικτύωση με TCP/IP by SV2DOF, Σελ. 9 / 67

Υποδικτύωση Πολλές φορές προκύπτει η ανάγκη ένα δίκτυο να χωριστεί σε περισσότερα, μικρότερα υποδίκτυα. Οι λόγοι μπορεί να είναι: Οικονομία διευθύνσεων IP. Π.χ. ένα δίκτυο τάξης B το οποίο μπορεί να έχει 65534 υπολογιστές θα μπορούσε να χωριστεί σε 8 υποδίκτυα και να μοιραστεί σε ισάριθμες εταιρείες εφόσον καμιά απ' αυτές δεν πρόκειται να χρειαστεί δίκτυο με παραπάνω από 89 υπολογιστές. Διαχειριστικοί λόγοι. Ένα δίκτυο τάξης C, μιας εταιρείας, χωρίζεται σε υποδίκτυα με βάση την οργανωτική δομή της εταιρείας. Ένα υποδίκτυο για το Τμήμα Πωλήσεων, άλλο για το Λογιστήριο και το Τμήμα Προσωπικού και άλλο για το Τεχνικό Τμήμα. Η υποδικτύωση με δεδομένη τη διεύθυνση δικτύου και την προκαθορισμένη μάσκα δικτύου πραγματοποιείται σε δυο βήματα:. Με βάση την απαίτηση για n υποδίκτυα ή m υπολογιστές ανά υποδίκτυο, υπολογίζεται η νέα μάσκα δικτύου δεσμεύοντας δυαδικά ψηφία από το αναγνωριστικό του υπολογιστή (Host ID) και παραχωρώντας τα στο αναγνωριστικό δικτύου (Net ID). 2. Υπολογίζονται οι περιοχές διευθύνσεων καθώς και οι διευθύνσεις (υπο-)δικτύου και εκπομπής για κάθε υποδίκτυο από τις οποίες διευθυνσιοδοτούνται οι υπολογιστές του κάθε υποδικτύου. Δίνεται η διεύθυνση δικτύου 92.68.3./24 δηλαδή με μάσκα δικτύου 255.255.255. Να χωριστεί το δίκτυο σε έξι τουλάχιστον υποδίκτυα και να δοθούν οι περιοχές διευθύνσεων καθώς και οι διευθύνσεις υποδικτύου και εκπομπής για κάθε υποδίκτυο. Πόσους υπολογιστές μπορεί να έχει το κάθε υποδίκτυο; Η διεύθυνση ενός υπολογιστή στο δίκτυο 92.68.3./24 είναι της μορφής <Net_ID>,<Host_ID> με μήκη σε δυαδικά ψηφία 24,8. Μετά την υποδικτύωση θα είναι της μορφής <Net_ID>,<Subnet_ID>,<Host_ID> με το Net_ID: 24bit και Subnet_ID +Host_ID: 8bit Εφόσον το Subnet_ID θα πρέπει να μπορεί να απαριθμήσει 6 υποδίκτυα, αναφερόμενοι στον επόμενο πίνακα, θα χρειαστούν 3bit. Ψηφία αριθμήσιμα αντικείμενα 2 2 2 2 2 4 2 3 8 2 4 6 2 5 32 2 6 64 2 7 28 2 8 256 3 4 5 6 7 8 Πίνακας 6: Δικτύωση με TCP/IP by SV2DOF, Σελ. 2 / 67

Με 2bit μπορούμε να απαριθμήσουμε 22=4 ενώ με 3bit, 23=8 διαφορετικά αντικείμενα. Συνεπώς 2bit δεν αρκούν ενώ 3bit είναι αρκετά. Έτσι τα τρία σημαντικότερα ψηφία του αρχικού Host_ID, με τη μορφή άσσων, χαρακτηρίζονται ως Subnet_ID και προσαρτώνται στο Net_ID. Το Subnet_ID είναι 3 bit, το Host_ID απομένει 8-3=5bit (τα λιγότερο σημαντικά ψηφία) και στη μάσκα, στις θέσεις τους, αναγράφονται μηδενικά. Διεύθυνση Δικτύου 92 68 3 Μάσκα Δικτύου 255 255 255 255 255 255 224 Μάσκα υποδικτύου Έτσι η νέα μάσκα είναι η 255.255.255.224 και το δεδομένο δίκτυο γράφεται ως 92.68.3./27 Οι διευθύνσεις των υπολογιστών των υποδικτύων τώρα πια είναι της μορφής <Net_ID>,<Subnet_ID>,<Host_ID> με το Net_ID: 24bit, Subnet_ID: 3bit, Host_ID: 5bit Το δίκτυο με τη διαδικασία αυτή χωρίστηκε τελικά σε οκτώ υποδίκτυα από τα οποία χρησιμοποιούνται τα έξι και τα υπόλοιπα παραμένουν ελεύθερα για μελλοντική χρήση. Ανεξάρτητα με τον ζητούμενο αριθμό, ο συνολικός αριθμός των υποδικτύων είναι πάντα δύναμη του δύο (2n). Οι περιοχές διευθύνσεων για κάθε υποδίκτυο δίνονται παρακάτω: Α/Α 2 3 4 5 6 7 η οκτάδα 2η οκτάδα 3η οκτάδα 4η οκτάδα Διεύθυνση 92.68.3. από 92.68.3.3 έως 92.68.3.32 92.68.3.63 92.68.3.64 92.68.3.95 92.68.3.96 92.68.3.27 92.68.3.28 92.68.3.59 92.68.3.6 92.68.3.9 92.68.3.92 92.68.3.223 92.68.3.224 92.68.3.255 Η στήλη Α/Α δίνει τον αύξοντα αριθμό του υποδικτύου (η αρίθμηση αρχίζει από το, παρατηρήστε ότι ταυτίζεται με την τιμή των ψηφίων της τέταρτης οκτάδας που αντιστοιχούν στο Subnet_ID). Οι υπολογιστές του κάθε υποδικτύου έχουν κοινές τις τρεις πρώτες οκτάδες (Net_ID) και τα τρία πρώτα ψηφία της τέταρτης οκτάδας (Subnet_ID). Δικτύωση με TCP/IP by SV2DOF, Σελ. 2 / 67

Οι διευθύνσεις από 92.68.3. 92.68.3.3 ανήκουν στο πρώτο υποδίκτυο και μάλιστα η πρώτη και τελευταία έχουν ειδική σημασία. Η πρώτη, 92.68.3., είναι η διεύθυνση δικτύου για το συγκεκριμένο υποδίκτυο ενώ η τελευταία, 92.68.3.3 είναι η διεύθυνση εκπομπής/μετάδοσης. Στους υπολογιστές του πρώτου υποδικτύου μπορούν να δοθούν οι διευθύνσεις από 92.68.3. έως 92.68.3.3, συνολικά τριάντα (3). Αντίστοιχα προσδιορίζονται οι διευθύνσεις και για τα άλλα υποδίκτυα. Παρατήρηση: Ένα δίκτυο τάξης C έχει συνολικά διαθέσιμες 254 διευθύνσεις για απόδοση σε υπολογιστές. Δηλαδή μπορεί να έχει μέχρι 254 υπολογιστές. Το ίδιο δίκτυο, υποδικτυωμένο σε οκτώ (8) υποδίκτυα, μπορεί να έχει μέχρι 8 x 3 = 24 υπολογιστές, μια απώλεια συνολικά 4 υπολογιστών. Συνεπώς η υποδικτύωση έχει ως επακόλουθο τη μείωση των διαθέσιμων συνολικά διευθύνσεων υπέρ της διαχείρισης ή της αποφυγής απώλειας περισσότερων διευθύνσεων. Δίνεται η διεύθυνση δικτύου 92.68.7./24 δηλαδή με μάσκα δικτύου 255.255.255. Να χωριστεί το δίκτυο σε υποδίκτυα των 5 τουλάχιστον υπολογιστών και να δοθούν οι περιοχές διευθύνσεων καθώς και οι διευθύνσεις υποδικτύου και εκπομπής για κάθε υποδίκτυο. Πόσα υποδίκτυα μπορεί να έχει συνολικά το συγκεκριμένο δίκτυο; Ανατρέχοντας στον Πίνακα 6, για να απαριθμηθούν 5 υπολογιστές, απαιτούνται έξι (6) bit (26 = 64). Συνεπώς για το Subnet_ID διατίθενται 8-6=2 bit Διεύθυνση Δικτύου 92 68 7 Μάσκα Δικτύου 255 255 255 255 255 255 92 Μάσκα υποδικτύου Έτσι η νέα μάσκα είναι η 255.255.255.92 και το δεδομένο δίκτυο γράφεται ως 92.68.7./26 Οι διευθύνσεις των υπολογιστών των υποδικτύων τώρα πια είναι της μορφής <Net_ID>,<Subnet_ID>,<Host_ID> με το Net_ID: 24bit, Subnet_ID: 2bit, Host_ID: 6bit Οι περιοχές διευθύνσεων για κάθε υποδίκτυο δίνονται στον Πίνακα 7 Ομοίως, όπως και στο προηγούμενο παράδειγμα, η στήλη Α/Α δίνει τον αύξοντα αριθμό του υποδικτύου (η αρίθμηση αρχίζει από το, παρατηρήστε ότι ταυτίζεται με την τιμή των ψηφίων της τέταρτης οκτάδας που αντιστοιχούν στο Subnet_ID). Οι υπολογιστές του κάθε υποδικτύου έχουν κοινές τις τρεις πρώτες οκτάδες (Net_ID) και τα δυο πρώτα ψηφία της τέταρτης οκτάδας (Subnet_ID). Δικτύωση με TCP/IP by SV2DOF, Σελ. 22 / 67

Α/Α 2 3 η οκτάδα 2η οκτάδα 3η οκτάδα 4η οκτάδα Διεύθυνση 92.68.3. από 92.68.3.63 έως 92.68.3.64 92.68.3.27 92.68.3.28 92.68.3.9 92.68.3.92 92.68.3.255 Πίνακας 7: 92.68.7. / 255.255.255.92 Οι διευθύνσεις από 92.68.7. 92.68.7.63 ανήκουν στο πρώτο υποδίκτυο. Η πρώτη, 92.68.7., είναι η διεύθυνση δικτύου για το συγκεκριμένο υποδίκτυο ενώ η τελευταία, 92.68.7.63 είναι η διεύθυνση εκπομπής/μετάδοσης. Το δίκτυο χωρίζεται σε 22 = 4 υποδίκτυα Στους υπολογιστές του πρώτου υποδικτύου μπορούν να δοθούν οι διευθύνσεις από 92.68.3. έως 92.68.3.62, συνολικά εξήντα δύο (62). Αντίστοιχα προσδιορίζονται οι διευθύνσεις και για τα άλλα υποδίκτυα. Παρατήρηση: Ένα δίκτυο τάξης C έχει συνολικά διαθέσιμες 254 διευθύνσεις για απόδοση σε υπολογιστές. Δηλαδή μπορεί να έχει μέχρι 254 υπολογιστές. Το ίδιο δίκτυο, υποδικτυωμένο σε τέσσερα (4) υποδίκτυα, μπορεί να έχει μέχρι 4 x 62 = 248 υπολογιστές, μια απώλεια συνολικά 6 υπολογιστών. Συγκρίνοντας τον αριθμό αυτό με αυτόν του προηγούμενου παραδείγματος, διαπιστώνεται ότι κατά την υποδικτύωση, όσο μικρότερος είναι ο αριθμός των υποδικτύων τόσο μικρότερη είναι η απώλεια σε διαθέσιμες διευθύνσεις. Δίνεται η διεύθυνση δικτύου 72.25../6 δηλαδή με μάσκα δικτύου 255.255.. Να χωριστεί το δίκτυο σε 24 τουλάχιστον υποδίκτυα και να δοθούν οι περιοχές διευθύνσεων καθώς και οι διευθύνσεις υποδικτύου και εκπομπής για τα τέσσερα (4) πρώτα υποδίκτυα. Πόσα υποδίκτυα μπορεί να έχει συνολικά το συγκεκριμένο δίκτυο και πόσους υπολογιστές ανά υποδίκτυο; Δικτύωση με TCP/IP by SV2DOF, Σελ. 23 / 67

Αταξική δρομολόγηση (CIDR2) και υπερδικτύωση Εφόσον μια διεύθυνση IP συνοδεύεται από τη μάσκα της, παύει να ισχύει η τάξη/κλάση της διεύθυνσης, όπως αυτή ορίστηκε αρχικά, και το αναγνωριστικό του δικτύου είναι αυτό που ορίζει η συνοδός μάσκα. Έτσι διευκολύνεται η διαδικασία της δρομολόγησης και της διαχείρισης πινάκων δρομολόγησης από τους δρομολογητές IPv4. Όλος ο χώρος των διευθύνσεων IPv4 αντιμετωπίζεται ως ενιαίος χώρος χωρίς τάξεις/κλάσεις. Έτσι π.χ. σε μια εταιρεία με αυξημένες ανάγκες δικτύωσης (~ υπολογιστές) αντί να δοθεί ένα δίκτυο κλάσης B, με σπατάλη ~64 διευθύνσεων, δίνονται τέσσερα διαδοχικά δίκτυα κλάσης C. Για να αντιμετωπίζονται όμως ως ενιαίο δίκτυο, δυο ψηφία (22 = 4) από το αναγνωριστικό δικτύου (Net_ID) παραχωρούνται στο αναγνωριστικό υπολογιστή (Host_ID) και η συνοδός μάσκα γίνεται 255.255.252. (...) Στην υποδικτύωση, από το αναγνωριστικό του υπολογιστή (Host_ID) δόθηκαν ψηφία στο αναγνωριστικό του δικτύου (Net_ID) ως Subnet_ID. Αντιθέτως, δίνοντας ψηφία από το (Net_ID) στο αναγνωριστικό υπολογιστή (Host_ID), η ενέργεια αυτή χαρακτηρίζεται ως υπερδικτύωση. (δημιουργούνται μεγαλύτερα δίκτυα) Π.χ. το δίκτυο 92.68.28./22 δηλαδή με μάσκα 255.255.252. περιλαμβάνει τις διευθύνσεις από 92.68.28. 92.68.3.255 Α/Α η οκτάδα 2η οκτάδα ΝΑ 3η οκτάδα 4η οκτάδα Διεύθυνση 92.68.28. Από 92.68.3.255 έως Δεν υπάρχει θέμα ορισμού υποδικτύων. Το δίκτυο είναι ενιαίο και είναι το 92.68.28./22 Ποιά είναι η διεύθυνση δικτύου και ποιά η διεύθυνση εκπομπής ή μετάδοσης στην περίπτωση αυτή; (Θυμηθείτε, η διεύθυνση δικτύου έχει στο Host_ID μηδενικά ενώ η διεύθυνση εκπομπής έχει στο Host_ID άσσους. Τα υπόλοιπα ψηφία παραμένουν ίδια.) 2 Classless Inter Domain Routing Δικτύωση με TCP/IP by SV2DOF, Σελ. 24 / 67

Δικτύωση με TCP/IP by SV2DOF, Σελ. 25 / 67

Δικτύωση TCP/IP. Εντολές, εργαλεία και βοηθητικά προγράμματα. Σε κάθε Λειτουργικό Σύστημα που υποστηρίζει το πρωτόκολλο TCP/IP υπάρχουν διαθέσιμες εντολέςεργαλεία για την εμφάνιση, αλλαγή των δικτυακών ρυθμίσεων (Διεύθυνση IP, Μάσκα υποδικτύου...) και των διαφόρων παραμέτρων των δικτυακών πρωτοκόλλων, εργαλεία για τον έλεγχο της συνδεσιμότητας (ping, traceroute...) και της λειτουργίας υπηρεσιών, βοηθητικά προγράμματα, κυρίως πελάτες (clients) για βασικές υπηρεσίες του δικτύου όπως απομακρυσμένη σύνδεση σε Η/Υ (telnet), μεταφορά αρχείων (ftp), ανάλυση ονομάτων DNS (nslookup) κτλ. Στη βασική τους μορφή, εκτελούνται σε περιβάλλον κειμένου στη γραμμή εντολών για DOS/WINDOWS ή σε ένα κέλυφος (π.χ. bash shell) σε ένα τερματικό για unix/linux/mac OS X. Στα περισσότερα όμως Λ.Σ. υπάρχουν εφαρμογές σε γραφικό περιβάλλον (GUI) που μπορούν να εκτελέσουν τις ίδιες ή αντίστοιχες λειτουργίες στις οποίες θα γίνει αναφορά όποτε απαιτείται. Επισημαίνεται όμως ότι τα εργαλεία της γραμμής εντολών είναι διαθέσιμα και σε περιπτώσεις μειωμένης λειτουργικότητας, (ασφαλής λειτουργία με γραμμή εντολών, μη εκκίνηση γραφικού περιβάλλοντος) και πιο βολική και γρήγορη η χρήση τους για τον έμπειρο διαχειριστή. Επίσης, διαχρονικά συνοδεύοντας το λειτουργικό σύστημα υπόκεινται σε λιγότερες αλλαγές. Στα περισσότερα αντίστοιχα γραφικά εργαλεία υπάρχει διαφοροποίηση από έκδοση σε έκδοση με αποτέλεσμα την πολυμορφία η οποία μπορεί να κουράσει τον διαχειριστή που κινείται σε διάφορα περιβάλλοντα και εκδόσεις του ίδιου Λ.Σ. Εμφάνιση δικτυακών ρυθμίσεων Σε έναν υπολογιστή που τρέχει Windows3 η εμφάνιση των δικτυακών ρυθμίσεων από τη γραμμή εντολών γίνεται ως εξής: Microsoft Windows XP [Έκδοση 5..26] (C) Πνευματικά δικαιώματα 985-2 Microsoft Corporation C:\>ipconfig Ρύθμιση παραμέτρων IP των Windows Προσαρμογέας Ethernet Τοπική σύνδεση: Επίθημα DNS συγκεκρ. σύνδεσης Διεύθυνση IP......... Μάσκα υποδικτύου....... Προεπιλεγμένη πύλη.......... : :..2.5 : 255.255.255. :..2.2 C:\> 3 Με τον όρο Windows εννοείται γενικά η έκδοση XP τουλάχιστον SP2. Όπου υπάρχει διαφοροποίηση σε άλλες εκδόσεις θα επισημαίνεται. Δικτύωση με TCP/IP by SV2DOF, Σελ. 26 / 67

Εάν προστεθεί και ο διακόπτης /all τότε εμφανίζονται εκτενέστερες πληροφορίες και για όλες τις υπάρχουσες δικτυακές διασυνδέσεις του συγκεκριμένου υπολογιστή. Σ' έναν υπολογιστή με linux, η εμφάνιση των δικτυακών ρυθμίσεων γίνεται ως εξής: /sbin/ifconfig eth Link encap:ethernet HWaddr :9:d:6:cb:f8 inet addr:92.68.. Bcast:92.68..255 Mask:255.255.255. inet6 addr: fe8::29:dff:fe6:cbf8/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:5 Metric: RX packets:327643 errors: dropped: overruns: frame: TX packets:32395459 errors: dropped: overruns: carrier: collisions: txqueuelen: RX bytes:4224498 (422. MB) TX bytes:254553 (254.5 MB) Memory:e83-e832 lo Link encap:local Loopback inet addr:27... Mask:255... inet6 addr: ::/28 Scope:Host UP LOOPBACK RUNNING MTU:6436 Metric: RX packets:8936875 errors: dropped: overruns: frame: TX packets:8936875 errors: dropped: overruns: carrier: collisions: txqueuelen: RX bytes:42284258 (4.2 GB) TX bytes:42284258 (4.2 GB) Στο linux η ίδια εντολή (ifconfig) μπορεί να χρησιμοποιηθεί και για την αλλαγή των ρυθμίσεων. Η προεπιλεγμένη πύλη (default gateway) και οι διακομιστές DNS εμφανίζονται με τη χρήση άλλων εντολών. Για την προεπιλεγμένη πύλη4 netstat -r Kernel IP routing table Destination Gateway 92.68.. * link-local * default 92.68.. Genmask 255.255.255. 255.255..... Flags U U UG MSS Window irtt Iface eth eth eth 4 η netstat -r λειτουργεί με τον ίδιο τρόπο και στα windows Δικτύωση με TCP/IP by SV2DOF, Σελ. 27 / 67

και για τους διακομιστές DNS cat /etc/resolv.conf # Generated by NetworkManager nameserver 93.92.5.3 nameserver 94.29.227. Αλλαγή δικτυακών ρυθμίσεων Σε πολλές περιπτώσεις οι αρχικές ρυθμίσεις δικτύου γίνονται αυτόματα, κατά την εκκίνηση του Η/Υ, εφόσον έχει γίνει τέτοια ρύθμιση από το διαχειριστή του υπολογιστή και υπάρχει διακομιστής DHCP5 ο οποίος αποδίδει τέτοιες ρυθμίσεις στους υπολογιστές που είναι συνδεδεμένοι στο φυσικό δίκτυο που εξυπηρετεί. Εάν, στο τοπικό δίκτυο, υπάρχει δρομολογητής (router) που διασυνδέει το τοπικό δίκτυο με άλλα δίκτυα ή συνήθως με το Internet, τότε είναι συνηθισμένο να λειτουργεί και ως διακομιστής DHCP, αποδίδοντας αυτόματα ρυθμίσεις στους υπολογιστές του δικτύου που τις ζητούν. Εικόνα : Λεπτομέρεια ρυθμίσεων DHCP σε router Linksys WAG354G Εάν δεν υπάρχει διακομιστής DHCP τότε οι ρυθμίσεις θα πρέπει να γίνουν χειροκίνητα από τον χρήστη του υπολογιστή ο οποίος για να το κάνει θα πρέπει να έχει δικαιώματα διαχειριστή (Administrator για τα Windows και root ή να του επιτρέπεται η χρήση διαχειριστικών εντολών μέσω της sudo στο linux) Ρυθμίσεις δικτύου. Ποιες και γιατί; Για τη βασική επικοινωνία με τους άλλους υπολογιστές του ίδιου τοπικού δικτύου απαιτείται. Διεύθυνση IP ( IP Address, inet addr) 5 DHCP: Dynamic Host Configuration Protocol. Δείτε και στο http://el.wikipedia.org/wiki/dhcp Δικτύωση με TCP/IP by SV2DOF, Σελ. 28 / 67

2. Μάσκα (υπο-)δικτύου (network mask, Mask) Για την επικοινωνία με υπολογιστές εκτός δικτύου (που ανήκουν σε άλλα δίκτυα) απαιτείται επιπλέον και προεπιλεγμένη πύλη (default gateway). Διεύθυνση IP (IP Address, inet addr) 2. Μάσκα (υπο-)δικτύου (network mask, Mask) 3. Προεπιλεγμένη πύλη (default gateway) Για την πλήρη δυνατότητα επικοινωνίας με υπολογιστές άλλων δικτύων χρησιμοποιώντας εκτός των αριθμητικών διευθύνσεών τους (IP) και τα ονόματά τους (FQDN6) όπως π.χ. www.sch.gr απαιτείται και η ρύθμιση ενός τουλάχιστον πρωτεύοντος διακομιστή DNS και προαιρετικά ενός ή περισσοτέρων δευτερευόντων διακομιστών DNS για την ανάλυση των ονομάτων (name resolution).. Διεύθυνση IP (IP Address, inet addr) 2. Μάσκα (υπο-)δικτύου (network mask, Mask) 3. Προεπιλεγμένη πύλη (default gateway) 4. Διακομιστής DNS, [DNS2] (DNS server) MS Windows (XP SP2+) Στα Windows οι ρυθμίσεις γίνονται με γραφικό τρόπο. Ο τρόπος που υποδεικνύεται δεν είναι μοναδικός και στο ίδιο αποτέλεσμα μπορεί να φτάσει κανείς και με εναλλακτικούς τρόπους. Επιλέγεται Έναρξη > Πίνακας Ελέγχου, διπλό κλικ στο εικονίδιο Συνδέσεις δικτύου, δεξί κλικ στο Τοπική σύνδεση και επιλογή Ιδιότητες 6 FQDN: Fully Qualified Domain Name. Δείτε http://en.wikipedia.org/wiki/fqdn Δικτύωση με TCP/IP by SV2DOF, Σελ. 29 / 67

Επιλογή Πρωτόκολλο Internet (TCP/IP) και κλικ στις Ιδιότητες Δικτύωση με TCP/IP by SV2DOF, Σελ. 3 / 67

Στο παράθυρο που εμφανίζεται υπάρχουν όλα τα πεδία για να δοθούν οι ρυθμίσεις που κρίνει ο διαχειριστής ανάλογα με τον επιδιωκόμενο σκοπό. Ο διαχειριστής πρέπει να ξέρει τι κάνει!!! Μετά το ΟΚ, ΟΚ, ισχύουν οι νέες ρυθμίσεις. Οι νέες ρυθμίσεις μπορούν να επιβεβαιωθούν και από τη Γραμμή εντολών με την ipconfig /all Linux (unix, xxxxbsd, Mac OS X,...) Στο linux υπάρχει μια μεγάλη ποικιλία σε γραφικά εργαλεία για τη ρύθμιση των δικτυακών διασυνδέσεων (Network Interfaces) ανάλογα με το γραφικό περιβάλλον που χρησιμοποιείται (GNOME, KDE κτλ) ή και τη διανομή (SUSE, Ubuntu, Red Hat/Fedora/CENTOS, Mandriva κτλ) Διαφοροποίηση υπάρχει και στον τρόπο εκκίνησης (init scripts) και μόνιμων ρυθμίσεων των δικτυακών υπηρεσιών και πρωτοκόλλων ανάλογα με τη διανομή. Για λεπτομέρειες μονίμων ρυθμίσεων (που θα ισχύουν ακόμη και μετά από επανεκκίνηση) θα πρέπει να γίνει χρήση της τεκμηρίωσης της εκάστοτε διανομής. Π.χ. για το Slackware Linux και τη ρύθμιση του TCP/IP γίνεται λόγος στο Slackware Book Project στον δικτυακό τόπο http://www.slackbook.org/html/network-configuration-tcpip.html ενώ για το Ubuntu έκδοση 9. στο https://help.ubuntu.com/9./internet/c/connecting-wired.html Ρύθμιση δικτύου (ενσύρματου) σε Ubuntu 9. με χρήση εργαλείων (NetworkManager) σε γραφικό περιβάλλον GNOME Στον πίνακα εφαρμογών (άνω μέρος της επιφάνειας εργασίας) κάνουμε δεξί κλικ στο εικονίδιο του NetworkManager και επιλέγουμε Επεξεργασία συνδέσεων... Δικτύωση με TCP/IP by SV2DOF, Σελ. 3 / 67

Επιλέγουμε την καρτέλα Ενσύρματη και κάνουμε κλικ στο κουμπί Επεξεργασία για τη σύνδεση Auto eth7 Στην καρτέλα Ρυθμίσεις IPv4 επιλέγουμε Μέθοδος: Χειροκίνητα και δίνουμε τις ρυθμίσεις που επιθυμούμε. Τέλος, για να ισχύσουν οι αλλαγές θα πρέπει να πιστοποιηθεί ο χρήστης, δίνοντας τον κωδικό του. Εφόσον έχει διαχειριστικά δικαιώματα, πραγματοποιούνται και ισχύουν οι νέες ρυθμίσεις του. 7 Auto eth είναι η σύνδεση δικτύου eth η οποία ενεργοποιείται αυτόματα (Auto) κατά την εκκίνηση του συστήματος. Δικτύωση με TCP/IP by SV2DOF, Σελ. 32 / 67

Ρύθμιση δικτύου (ενσύρματου) σε Ubuntu 9. χωρίς γραφικό περιβάλλον (απουσία NetworkManager) Οι ρυθμίσεις των δικτυακών διασυνδέσεων, απουσία γραφικών εργαλείων ή GUI, γίνονται στο αρχείο ρυθμίσεων /etc/network/interfaces Πρόκειται για ένα απλό αρχείο κειμένου το οποίο ανοίγουμε με έναν συντάκτη κειμένου (editor) όπως ο vi και επειδή απαιτούνται διαχειριστικά δικαιώματα για να γράψουμε στο αρχείο αυτό, το ανοίγουμε με την εντολή sudo vi /etc/network/interfaces george@2epalx:~$ cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth iface eth inet static address 92.68..6 netmask 255.255.255. gateway 92.68.. # This PC has a second Ethernet NIC auto eth iface eth inet dhcp george@2epalx:~$ Μετά την ολοκλήρωση των αλλαγών και αποθήκευση του τροποποιημένου αρχείου, για να ισχύσουν οι αλλαγές, εκτελούμε την εντολή sudo /etc/init.d/networking restart Παρατηρήσεις Τα ονόματα των δικτυακών διασυνδέσεων (iface) είναι lo (loopback- ο ίδιος ο υπολογιστής), eth (η κάρτα ethernet), eth (2η κάρτα ethernet) κ.ο.κ. Το πρόθεμα auto ορίζει ότι η διασύνδεση ενεργοποιείται κατά την εκκίνηση του Η/Υ, η λέξη inet ότι υποστηρίζει το πρωτόκολλο IPv4, dhcp ότι παίρνει αυτόματες ρυθμίσεις από διακομιστή DHCP, static ότι δίνεται στατική διεύθυνση IP και address, netmask, gateway, η διεύθυνση IP, μάσκα δικτύου και προεπιλεγμένη πύλη αντίστοιχα. Περισσότερες πληροφορίες για τη σύνταξη του αρχείου interfaces μπορείτε να βρείτε στις αντίστοιχες Δικτύωση με TCP/IP by SV2DOF, Σελ. 33 / 67

σελίδες του εγχειριδίου του συστήματος man interfaces Οι ρυθμίσεις για τους διακομιστές DNS γίνονται με αντίστοιχο τρόπο στο αρχείο /etc/resolv.conf με το πρόθεμα nameserver ακολουθούμενο από τη διεύθυνση IP του διακομιστή DNS george@2epalx:~$ cat /etc/resolv.conf domain domain_not_set.invalid search domain_not_set.invalid nameserver 93.92.5.3 nameserver 93.92.3. nameserver 92.68.. george@2epalx:~$ ifconfig Η ifconfig είναι η εντολή η οποία καλείται να ρυθμίσει κατά την εκκίνηση όλες τις δικτυακές διασυνδέσεις ενός συστήματος της ευρύτερης οικογένειας του unix (linux, FreeBSD, Mac OS X, Solaris, κτλ). Μετά την εκκίνηση του συστήματος χρησιμοποιείται μόνο περιστασιακά για εκσφαλμάτωση και προσωρινή αλλαγή των ρυθμίσεων των δικτυακών διασυνδέσεων (για δοκιμές). Όταν δίνεται χωρίς όρισμα εμφανίζει τις τρέχουσες ρυθμίσεις όλων των δικτυακών διασυνδέσεων του υπολογιστικού συστήματος. Όταν συνοδεύεται από ορίσματα εφαρμόζει τις ανάλογες ρυθμίσεις στη συγκεκριμένη δικτυακή διασύνδεση και για το σκοπό αυτό απαιτούνται δικαιώματα διαχειριστή (χρήστης root ή δικαίωμα εκτέλεσης μέσω της sudo) Για τη σύνταξη της εντολής ifconfig δείτε τις αντίστοιχες σελίδες του εγχειριδίου του συστήματος man ifconfig Συνήθεις χρήσεις της ifconfig Εμφάνιση των ρυθμίσεων όλων των ενεργών (UP) δικτυακών διασυνδέσεων /sbin/ifconfig Εμφάνιση των ρυθμίσεων όλων των δικτυακών διασυνδέσεων, ακόμη κι αυτών που είναι ανενεργές (DOWN) /sbin/ifconfig -a Εμφάνιση των ρυθμίσεων της διασύνδεσης eth /sbin/ifconfig eth Αλλαγή της διεύθυνσης IP της διασύνδεσης eth σε 92.68..4 /sbin/ifconfig eth 92.68..4 Αλλαγή της μάσκας δικτύου της διασύνδεσης eth σε 255.255.255.92 /sbin/ifconfig eth netmask 255.255.255.92 Απενεργοποίηση της διασύνδεσης eth /sbin/ifconfig eth down Ενεργοποίηση της διασύνδεσης eth /sbin/ifconfig eth up Δικτύωση με TCP/IP by SV2DOF, Σελ. 34 / 67

Παρακάτω φαίνεται το αποτέλεσμα της εκτέλεσης της ifconfig σε υπολογιστή Apple Macintosh με Mac OS X.3.9 (σύστημα βασισμένο στο FreeBSD) Εικόνα 2: Εκτέλεση της ifconfig σε Mac OS X.3.9 Επεξηγήσεις en: δικτυακή διασύνδεση mtu, μέγιστο μέγεθος πλαισίου (μονάδας εκπομπής) 5 bytes inet, διεύθυνση internet (IP, λογική-3ο επίπεδο) 92.68..67, netmask, μάσκα δικτύου xffffff (=255.255.255.) σε δεκαεξαδική μορφή broadcast, διεύθυνση εκπομπής 92.68..255 ether, διεύθυνση ethernet (φυσική-2ο επίπεδο) :d:93:89:8:ca Παράδειγμα χρήσης της ifconfig για την εμφάνιση των ρυθμίσεων της δικτυακής διασύνδεσης eth σε σύστημα ubuntu 9. /sbin/ifconfig eth eth Link encap:ethernet HWaddr :9:d:6:cb:f8 inet addr:92.68.. Bcast:92.68..255 Mask:255.255.255. inet6 addr: fe8::29:dff:fe6:cbf8/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:5 Metric: RX packets:49966 errors: dropped: overruns: frame: TX packets:44857768 errors: dropped: overruns: carrier: collisions: txqueuelen: RX bytes:264483578 (264.4 MB) TX bytes:3262722 (.3 GB) Memory:e83-e832 Επεξηγήσεις eth, δικτυακή διασύνδεση eth Link encap: ενθυλάκωση 2ου επιπέδου (data link) ethernet HWaddr: διεύθυνση υλικού (φυσική-2ου επιπέδου) ethernet :9:d:6:cb:f8 Δικτύωση με TCP/IP by SV2DOF, Σελ. 35 / 67

inet addr: διεύθυνση internet (IP, λογική-3ου επιπέδου) 92.68.. Bcast: διεύθυνση εκπομπής 92.68..255 Mask: μάσκα δικτύου 255.255.255. MTU: μέγιστο μέγεθος πλαισίου (μονάδας εκπομπής) 5 bytes Metric: κόστος διασύνδεσης κατά τον υπολογισμό δρομολογίων: Ασκήσεις. Στον υπολογιστή που εργάζεστε, i. αναγνωρίστε εάν υπάρχει εγκατεστημένη κάρτα δικτύου Ethernet, είναι συνδεδεμένη σε hub ή switch επίσης ii. ποια διεύθυνση IP, μάσκα δικτύου και προεπιλεγμένη πύλη έχει. (Υπόδειξη: Εξετάστε οπτικά το πίσω μέρος του υπολογιστή και προσπαθήστε να εντοπίσετε μια υποδοχή τύπου RJ-45 (modular jack/plug 8p8c) είτε στο πίσω μέρος της μητρικής (ενσωματωμένη στο Μ/Β) είτε στην πίσω όψη των υποδοχών επέκτασης (πρόσθετη εκ των υστέρων). Δείτε εάν υπάρχει κατάλληλο καλώδιο τύπου UTP/FTP με τους αντίστοιχους ακροδέκτες που να καταλήγει σε hub ή switch. Ελέγξτε αν είναι σε λειτουργία. Εάν ο υπολογιστής σας τρέχει windows εκτελέστε ipconfig /all Εάν τρέχει linux, εκτελέστε /sbin/ifconfig) Σημειώστε τα αποτελέσματα. 2. Στον υπολογιστή που εργάζεστε, i. αλλάξτε τη διεύθυνση IP σε 92.68.7.2 (ή ό,τι άλλο σας ζητηθεί) ii. αλλάξτε τη μάσκα δικτύου σε 255.255.255.92 iii. αλλάξτε την προεπιλεγμένη πύλη σε 92.68..3 (Εργαστείτε ανάλογα με το Λ.Σ. που τρέχει ο υπολογιστής σας, σύμφωνα με τα προηγούμενα) Δικτύωση με TCP/IP by SV2DOF, Σελ. 36 / 67

Έλεγχος επικοινωνίας και λειτουργίας υπηρεσιών ping Η επαλήθευση της ορθότητας των ρυθμίσεων που έχουν γίνει σε μια δικτυακή διασύνδεση (network interface) ενός υπολογιστή, γίνεται ελέγχοντας την επικοινωνία του με έναν άλλο γνωστό υπολογιστή του δικτύου κάνοντας χρήση της εντολής ping. Γνωστό, εννοούμε έναν υπολογιστή του οποίου γνωρίζουμε τη διεύθυνση IP και ότι λειτουργεί κανονικά. Σε πρώτη φάση καλό είναι να ανήκει και στο ίδιο φυσικό (τοπικό) δίκτυο. Η ping δέχεται ως παράμετρο τη διεύθυνση του απομακρυσμένου υπολογιστή (με τον οποίον θέλουμε να ελέγξουμε την επικοινωνία) και του στέλνει πακέτα ICMP τύπου ECHO_REQUEST και περιμένει απαντήσεις τύπου ECHO_REPLY. Εφόσον ο απομακρυσμένος υπολογιστής απαντά στην ping, εξάγεται το συμπέρασμα ότι οι ρυθμίσεις που έγιναν είναι σωστές και η λειτουργικότητα του δικτύου είναι επιβεβαιωμένη μέχρι και το επίπεδο του δικτύου (3ο επίπεδο του μοντέλου OSI) Παράδειγμα χρήσης της ping σε Λ.Σ. linux /bin/ping 92.68..65 PING 92.68..65 (92.68..65) 56(84) bytes of data. 64 bytes from 92.68..65: icmp_seq= ttl=254 time=7.68 ms 64 bytes from 92.68..65: icmp_seq=2 ttl=254 time=.648 ms 64 bytes from 92.68..65: icmp_seq=3 ttl=254 time=.686 ms 64 bytes from 92.68..65: icmp_seq=4 ttl=254 time=.657 ms 64 bytes from 92.68..65: icmp_seq=5 ttl=254 time=.677 ms 64 bytes from 92.68..65: icmp_seq=6 ttl=254 time=.642 ms 64 bytes from 92.68..65: icmp_seq=7 ttl=254 time=.7 ms ^C --- 92.68..65 ping statistics --7 packets transmitted, 7 received, % packet loss, time 5998ms rtt min/avg/max/mdev =.642/.67/7.684/2.455 ms Επεξηγήσεις Λαμβάνονται απαντήσεις των 64 byte από τον υπολογιστή με διεύθυνση IP 92.68..65 Το icmp_seq=3 δηλώνει το τρίτο πακέτο κ.ο.κ., ttl είναι ο χρόνος ζωής του πακέτου (Time To Live) σε αναπηδήσεις από κόμβο σε κόμβο (hop) και time ο χρόνος από την αποστολή του αιτήματος μέχρι τη λήψη της απάντησης (σε ms) ή αλλιώς χρόνος περιφοράς (round trip time). Τέλος εμφανίζονται τα στατιστικά της ping. Στάλθηκαν 7 πακέτα, λήφθηκαν 7, % απώλεια πακέτων, σε συνολική διάρκεια περίπου 6 δευτερολέπτων (5998 ms). Χρόνοι περιφοράς (rtt σε ms): ελάχιστος.642, μέγιστος 7.684 με μέση τιμή τα.67 και τυπική απόκλιση 2.455 Στο linux (και τα άλλα Λ.Σ. της οικογένειας του unix) η ping <προορισμός>, χωρίς άλλες παραμέτρους και ορίσματα, στέλνει συνεχώς πακέτα μέχρι να διακοπεί από το χρήστη με <Ctrl>+<C> ενώ στα windows μόνο τέσσερα8 και σταματά. Παράδειγμα χρήσης της ping σε Λ.Σ. windows 8 Για να έχει ίδια συμπεριφορά, όπως στο linux, θα πρέπει να εκτελεστεί ως C:\>ping -t <προορισμός> Δικτύωση με TCP/IP by SV2DOF, Σελ. 37 / 67

C:\>ping 92.68..65 Γίνεται Ping στο 92.68..65 με 32 bytes δεδομένων: Απάντηση Απάντηση Απάντηση Απάντηση από: από: από: από: 92.68..65: 92.68..65: 92.68..65: 92.68..65: bytes=32 bytes=32 bytes=32 bytes=32 χρόνος=58ms TTL=27 χρόνος=36ms TTL=27 χρόνος=56ms TTL=27 χρόνος=5ms TTL=27 Στατιστικά στοιχεία Ping για 92.68..65: Πακέτα: Απεσταλμένα = 4, Ληφθέντα = 4, Απολεσθέντα = (απώλεια %), Πλήθος διαδρομών αποστολής και επιστροφής κατά προσέγγιση σε χιλιοστά του δευτερ ολέπτου: Ελάχιστο = 5ms, Μέγιστο = 58ms, Μέσος όρος = 27ms C:\> Εφόσον η υπηρεσία DNS είναι ρυθμισμένη και λειτουργεί η ανάλυση ονομάτων, μπορεί ως <προορισμός> να χρησιμοποιηθεί όνομα (FQDN) αντί διευθύνσεως IP, π.χ. /bin/ping www.sch.gr PING www.sch.gr (94.63.238.4) 56(84) bytes of data. 64 bytes from www.sch.gr (94.63.238.4): icmp_seq= ttl=49 time=2.6 ms 64 bytes from www.sch.gr (94.63.238.4): icmp_seq=2 ttl=49 time=2.4 ms 64 bytes from www.sch.gr (94.63.238.4): icmp_seq=3 ttl=49 time=2. ms ^C --- www.sch.gr ping statistics --3 packets transmitted, 3 received, % packet loss, time 23ms rtt min/avg/max/mdev = 2.98/2.43/2.699/.246 ms ^C Άλλες επιλογές κατά τη χρήση της ping *** Αποστολή μόνο πακέτων μεγέθους 28 byte σε linux /bin/ping -c -s 28 92.68..65 Γιατί οι απαντήσεις που παίρνουμε αναφέρουν 36 bytes 36 bytes from 92.68..65: icmp_seq=2 ttl=254 time=.678 ms αντί 28 που ορίσαμε; Συμβουλευτείτε το εγχειρίδιο. και σε windows C:\>ping -n -l 28 92.68..65 *** Αποστολή μόνο 2 πακέτων με ttl=79 στο www.sch.gr σε linux ping -t 7 -c 2 www.sch.gr PING www.sch.gr (94.63.238.4) 56(84) bytes of data. From clientrouter.sch.koletti.access-link.grnet.gr (95.25.24.53) icmp_seq= Time to live exceeded From clientrouter.sch.koletti.access-link.grnet.gr (95.25.24.53) icmp_seq=2 Time to live exceeded --- www.sch.gr ping statistics --9 Χρησιμοποιείται για διαγνωστικούς λόγους. Στην ίδια αρχή (διαφορετικό TTL) στηρίζεται η λειτουργία της traceroute Δικτύωση με TCP/IP by SV2DOF, Σελ. 38 / 67

2 packets transmitted, received, +2 errors, % packet loss, time ms και σε windows C:\>ping -i 7 -n 2 www.sch.gr Γίνεται Ping στο www.sch.gr [94.63.238.4] με 32 bytes δεδομένων: Απάντηση από: 95.25.24.53: Το TTL έληξε κατά τη μεταφορά. Απάντηση από: 95.25.24.53: Το TTL έληξε κατά τη μεταφορά. Στατιστικά στοιχεία Ping για 94.63.238.4: Πακέτα: Απεσταλμένα = 2, Ληφθέντα = 2, Απολεσθέντα = (απώλεια %), Πλήθος διαδρομών αποστολής και επιστροφής κατά προσέγγιση σε χιλιοστά του δευτερ ολέπτου: Ελάχιστο = ms, Μέγιστο = ms, Μέσος όρος = ms C:\> Παρατηρούμε ότι μέχρι τον www.sch.gr [94.63.238.4] μεσολαβούν περισσότεροι από 7 κόμβοιδρομολογητές. Κάθε δρομολογητής που παραλαμβάνει ένα πακέτο μειώνει το TTL κατά ένα και το προωθεί στον επόμενο. Ο δρομολογητής στον οποίο η τιμή TTL μηδενίζεται, απορρίπτει το πακέτο και εάν δεν του έχει οριστεί διαφορετικά, το αναφέρει στον αποστολέα του πακέτου. Η σύνταξη της εντολής διαφοροποιείται σημαντικά μεταξύ linux και windows. Διαφορές, μικρότερες όμως, παρατηρούνται και μεταξύ των διαφόρων Λ.Σ. της οικογένειας του unix όπως και από έκδοση σε έκδοση των windows. Οδηγός για τον χρήστη είναι πάντα η τεκμηρίωση του συστήματος και σε πρώτο βαθμό η ενσωματωμένη βοήθεια. για το linux, το online εγχειρίδιο man ping με την πρώτη σελίδα όπως φαίνεται παρακάτω PING(8) System Manager's Manual: iputils PING(8) NAME ping, ping6 - send ICMP ECHO_REQUEST to network hosts SYNOPSIS ping [-LRUbdfnqrvVaAB] [-c count] [-i interval] [-l preload] [-p pat tern] [-s packetsize] [-t ttl] [-w deadline] [-F flowlabel] [-I inter face] [-M hint] [-Q tos] [-S sndbuf] [-T timestamp option] [-W timeout] [hop...] destination DESCRIPTION ping uses the ICMP protocol's mandatory ECHO_REQUEST datagram to elicit an ICMP ECHO_RESPONSE from a host or gateway. ECHO_REQUEST datagrams (``pings'') have an IP and ICMP header, followed by a struct timeval and then an arbitrary number of ``pad'' bytes used to fill out the packet. OPTIONS -a Audible ping. -A Adaptive ping. Interpacket interval adapts to round-trip time, so that effectively not more than one (or more, if preload is Manual page ping(8) line Δικτύωση με TCP/IP by SV2DOF, Σελ. 39 / 67

και για τα windows, η ενσωματωμένη βοήθεια C:\>ping /? όπως φαίνεται στη συνέχεια Χρήση: ping [-t] [-a] [-n πλήθος] [-l μέγεθος] [-f] [-i TTL] [-v TOS] [-r πλήθος] [-s πλήθος] [[-j λίστα] [-k λίστα]] [-w όριο-χρόνου] λίστα-προορισμού Επιλογές: -t -a -n -l -f -i -v -r -s -j -k -w Εκτελεί το Ping έως ότου διακοπεί από το χρήστη. Για να δείτε τα στατιστικά στοιχεία και να συνεχίσετε πιέστε Control-Break. Για να σταματήσετε πιέστε Control-C. Επιλύει τις διευθύνσεις σε ονόματα υπολογιστών. πλήθος Πλήθος των αιτήσεων που θα σταλούν. μέγεθος Στέλνει το μέγεθος του buffer. Αποτρέπει τη διαίρεση (fragment) του πακέτου. TTL Διάρκεια ζωής (Time To Live). TOS Τύπος υπηρεσίας (Type Of Service). πλήθος Καταγραφή διαδρομής το πλήθος των αναπηδήσεων. πλήθος Σημείωση χρόνου το πλήθος των αναπηδήσεων. λίστα Ελεύθερη διαδρομή προέλευσης μέσα από τη λίστα υπολογιστών. λίστα Αυστηρή διαδρομή προέλευσης μέσα από τη λίστα υπολογιστών. όριο-χρόνου Χρονικό όριο αναμονής για κάθε απάντηση σε millisecond. C:\> traceroute2 Η traceroute (tracert στα windows) δέχεται ως όρισμα τη διεύθυνση ή το όνομα ενός υπολογιστή και εμφανίζει τη διαδρομή (αλληλουχία κόμβων) μέχρι τον υπολογιστή προορισμού. Στηρίζει τη λειτουργία της στην αποστολή διαδοχικών πακέτων αυξανόμενου χρόνου ζωής από ttl=, ttl=2,... μέχρι max σε linux traceroute www.raag.org traceroute to www.raag.org (69..57.5), 3 hops max, 6 byte packets 92.68.. (92.68..).2 ms.352 ms.76 ms 2 * * * 3 core-ath-3-po.forthnet.gr (22.25.6.62) 27.3 ms 28.59 ms 3.565 ms 4 core-kln--gi4--.forthnet.gr (22.25.94.62) 4.328 ms 4.7 ms 44.629 ms 5 core-lsf-3g3--.forthnet.gr (22.25.94.8) 46.62 ms 48.48 ms 5.46 ms 6 xe-8--.fra23.ip4.tinet.net (77.67.74.73) 92.58 ms 63.945 ms 89.4 ms 7 xe-6--.sea.ip4.tinet.net (89.49.87.22) 262.48 ms 265.43 ms 264.53 ms 8 rackforce-networks-gw.ip4.tinet.net (77.67.7.22) 275.48 ms 278.299 ms 282.785 ms 9 e--cr.g2.kelowna.rackforce.net (64.46.6.8) 285.55 ms 284.74 ms 289.36 ms e7-8-cr.g2.kelowna.rackforce.net (64.46.6.66) 297.98 ms 299.58 ms 3.526 ms quad.lighthouse.gr (69..57.5) 3.632 ms 34.27 ms 38.87 ms 2 Στο Ubuntu δεν είναι προεγκατεστημένη. Εγκαθίσταται εκ των υστέρων με sudo apt-get install traceroute Δικτύωση με TCP/IP by SV2DOF, Σελ. 4 / 67

και σε windows C:\>tracert www.raag.org Παρακολούθηση της διαδρομής προς: quad-web.lighthouse.gr [69..57.5] με μέγιστο πλήθος αναπηδήσεων 3: ] 2 3 4 5 2 5 * 496 499 ms ms ms ms ms ms 9 2 * 22 93 6 7 8 9 55 53 593 497 ms ms ms ms < 4 * 45 24 ms ms..2.2 92.68.. Εξαντλήθηκε το χρονικό όριο της αίτησης. core-ath-3-po.forthnet.gr [22.25.6.62] core-kln--gi4--.forthnet.gr [22.25.94.62] ms ms ms ms 363 76 24 248 ms ms ms ms 5 42 237 24 ms ms ms ms core-lsf-3g3--.forthnet.gr [22.25.94.8] xe-8--.fra23.ip4.tinet.net [77.67.74.73] xe-6--.sea.ip4.tinet.net [89.49.87.22] rackforce-networks-gw.ip4.tinet.net [77.67.7.22 588 ms 245 ms 25 ms e--cr.g2.kelowna.rackforce.net [64.46.6.8] 5 ms 5 ms 427 ms e7-8-cr.g2.kelowna.rackforce.net [64.46.6.66] 2 5 ms 26 ms 254 ms quad.lighthouse.gr [69..57.5] Η παρακολούθηση ολοκληρώθηκε. C:\> Παρατηρήσεις 3 hops max, σημαίνει ότι θα γίνει προσπάθεια να διερευνηθεί η διαδρομή μέχρι τον υπολογιστή προορισμού υπό την προϋπόθεση ότι αυτός βρίσκεται το πολύ 3 κόμβους (αναπηδήσεις-hops) μακριά. Εάν βρίσκεται μακρύτερα θα πρέπει να προσδιοριστεί μεγαλύτερο TTL με την παράμετρο -m π.χ traceroute -m 6 www.sch.gr Η εκτύπωση αστερίσκων δηλώνει ότι ο συγκεκριμένος κόμβος δεν ενημερώνει τον αποστολέα για πακέτα των οποίων ο χρόνος ζωής (TTL) έχει μηδενιστεί (ICMP TIME_EXCEEDED) ή ότι βρίσκεται πίσω από τείχος προστασίας (firewall). Σ' αυτές τις περιπτώσεις μπορεί να ακολουθηθούν εναλλακτικοί τρόποι διερεύνησης της διαδρομής όπως χρήση TCP ή UDP (προσδιορίζοντας και τον αριθμό θύρας) αντί του ICMP π.χ. sudo traceroute -T -p 8 www.sch.gr ή χρήση της ping -R <προορισμός> λαμβάνοντας υπόψη ότι στην τελευταία περίπτωση υπάρχει περιορισμός στο μήκος διαδρομής στις εννιά αναπηδήσεις. ping -R -c www.sch.gr Αρκετές επιλογές της traceroute απαιτούν διαχειριστικά δικαιώματα και γιαυτό ορισμένες διανομές, όπως το Ubuntu, έχουν ως προεπιλογή στη θέση της, την tracepath. Η tracert στα windows είναι εξαιρετικά απλή στη σύνταξή της και φτωχή στις επιλογές. Εναλλακτικά διατίθεται η pathping η οποία διαθέτει κατά τι περισσότερες επιλογές. Δικτύωση με TCP/IP by SV2DOF, Σελ. 4 / 67

nslookup Η nslookup είναι ένα πρόγραμμα-εντολή που χρησιμοποιείται για την υποβολή ερωτημάτων στους διακομιστές της υπηρεσίας ονοματοδοσίας περιοχών (Domain Name servers) του Internet. Με την nslookup, ερωτάται ο διακομιστής DNS ο οποίος έχει οριστεί (με τις ρυθμίσεις) να εξυπηρετεί τον υπολογιστή μας, για το ποια είναι η διεύθυνση IP που αντιστοιχεί στο όνομα του υπολογιστή (FQDN) που μας ενδιαφέρει. Με την nslookup διαπιστώνεται η σωστή ρύθμιση (DNS servers) και καλή λειτουργία της υπηρεσίας ανάλυσης ονομάτων. Η πιο συνηθισμένη χρήση της είναι σε interactive mode (αλληλεπιδραστικός τρόπος) πληκτρολογώντας το όνομά της χωρίς ορίσματα. Στη συνέχεια δίνουμε το όνομα του υπολογιστή του οποίου τη διεύθυνση IP ζητάμε, μας επιστρέφει τη ζητούμενη IP και είναι σε ετοιμότητα για νέο ερώτημα. Η εκτέλεσή της σταματά πληκτρολογώντας τη λέξη exit. π.χ ζητάμε τη διεύθυνση IP του υπολογιστή www.sch.gr nslookup > www.sch.gr Server: 93.92.5.3 Address: 93.92.5.3#53 Non-authoritative answer: Name: www.sch.gr Address: 94.63.238.4 > > exit Μας απαντά ο διακομιστής DNS 93.92.5.3 με ερώτημα που του απευθύνθηκε στη θύρα 53 ότι η διεύθυνση IP του υπολογιστή www.sch.gr είναι 94.63.238.4 Η παρατήρηση Non-authoritative answer σημαίνει ότι ο διακομιστής DNS που ρωτήθηκε (αυτός του παρόχου μας) δεν είναι υπεύθυνος για την περιοχή (domain) sch.gr κι ως εκ τούτου η απάντησή του δεν είναι επίσημη/αυθεντική αλλά τη γνωρίζει έμμεσα μέσω τρίτων. Με το ερώτημα nslookup -querytype=ns sch.gr μπορούμε να πληροφορηθούμε τον επίσημο ( authoritative) διακομιστή DNS (NS) της περιοχής sch.gr και να υποβάλλουμε απευθείας σ' αυτόν το ερώτημα. nslookup -querytype=ns sch.gr Server: 93.92.5.3 Address: 93.92.5.3#53 Non-authoritative answer: sch.gr nameserver = nic.grnet.gr. sch.gr nameserver = nic.sch.gr. sch.gr nameserver = nic.thess.sch.gr. sch.gr nameserver = nic.att.sch.gr. Authoritative answers can be found nic.grnet.gr internet address nic.att.sch.gr internet address nic.thess.sch.gr internet address from: = 94.77.2.2 = 94.63.239.64 = 94.63.237.4 επιλέγουμε τον nic.grnet.gr και τον ρωτάμε Δικτύωση με TCP/IP by SV2DOF, Σελ. 42 / 67

nslookup www.sch.gr nic.grnet.gr Server: nic.grnet.gr Address: 94.77.2.2#53 Name: www.sch.gr Address: 94.63.238.4 Αυτή τη φορά δεν υπάρχει η παρατήρηση Non-authoritative answer που σημαίνει ότι η απάντησή που παίρνουμε είναι επίσημη. Παράδειγμα εκτέλεσης της nslookup σε σύστημα windows (XP / 7) C:\>nslookup Προεπιλεγμένος διακομιστής: Address: 93.92.5.3 calchas.forthnet.gr > www.sch.gr Διακομιστής: calchas.forthnet.gr Address: 93.92.5.3 Απόκριση από αναξιόπιστο διακομιστή: Όνομα: www.sch.gr Address: 94.63.238.4 > exit C:\> Εναλλακτικά της nslookup, σε συστήματα της οικογένειας του unix, υπάρχει και η dig (domain information groper) με καλύτερη λειτουργικότητα, μεγαλύτερη ευελιξία και δυνατότητα εκτέλεσης σε batch mode. Προτιμάται από τους διαχειριστές διακομιστών DNS. route Χρησιμοποιείται για την εμφάνιση και διαχείριση του πίνακα δρομολόγησης σε έναν υπολογιστή και κυρίως για τον ορισμό στατικών δρομολογίων προς συγκεκριμένα δίκτυα και υπολογιστές μέσω μιας δικτυακής διασύνδεσης (κάρτας δικτύου) αμέσως μετά τη ρύθμιση και ενεργοποίησή της. Στο linux, χωρίς όρισμα, εμφανίζει τον πίνακα δρομολόγησης. route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 92.68.. * 255.255.255. U eth 92.68.. * 255.255.255. U eth link-local * 255.255.. U eth default 92.68..... UG eth Ανάλογα με το δίκτυο προορισμού (Destination) χρησιμοποιείται η αντίστοιχη δικτυακή διασύνδεση (Iface) και μάσκα δικτύου (Genmask). U σημαίνει ότι η διαδρομή είναι ενεργή (UP), G ότι γίνεται χρήση της πύλης (Gateway) και Metric είναι το κόστος απόστασης προς τον προορισμό για τον υπολογισμό των δρομολογίων από τα πρωτόκολλα δρομολόγησης. Προεπιλεγμένη Πύλη (default gateway) είναι η 92.68.. Στα windows η εμφάνιση του πίνακα δρομολόγησης γίνεται με τη συνοδεία της διαταγής PRINT. Δικτύωση με TCP/IP by SV2DOF, Σελ. 43 / 67

π.χ. σε windows 7 ultimate C:\>route PRINT -4 =========================================================================== Λίστα διασυνδέσεων...8 27 8 82 96...Προσαρμογέας Intel(R) PRO/ MT Desktop...Software Loopback Interface 2... e Προσαρμογέας Microsoft ISATAP 3... e Teredo Tunneling Pseudo-Interface =========================================================================== IPv4 Πίνακας διαδρομών =========================================================================== Ενεργές διαδρομές: Διεύθυνση δικτύου Μάσκα δικτύου Πύλη Διασύνδεση Μέτρο........2.2..2.5..2. 255.255.255. Με σύνδεση..2.5 266..2.5 255.255.255.255 Με σύνδεση..2.5 266..2.255 255.255.255.255 Με σύνδεση..2.5 266 27... 255... Με σύνδεση 27... 36 27... 255.255.255.255 Με σύνδεση 27... 36 27.255.255.255 255.255.255.255 Με σύνδεση 27... 36 224... 24... Με σύνδεση 27... 36 224... 24... Με σύνδεση..2.5 266 255.255.255.255 255.255.255.255 Με σύνδεση 27... 36 255.255.255.255 255.255.255.255 Με σύνδεση..2.5 266 =========================================================================== Συνεχείς διαδρομές: Καμία C:\> Παρατήρηση Επειδή στα Windows 7 ultimate υποστηρίζεται εγγενώς το IPv6, με την παράμετρο -4 δηλώνουμε ότι ζητάμε την εμφάνιση του πίνακα δρομολόγησης του IPv4. Η παράμετρος αυτή είναι άγνωστη στα XP στα οποία η ίδια εντολή δίνεται ως C:\>route PRINT Για τη διαχείριση του πίνακα δρομολόγησης απαιτούνται δικαιώματα διαχειριστή *** Διαγραφή της προεπιλεγμένης πύλης route del default SIOCDELRT: Operation not permitted sudo route del default [sudo] password for george: *** Προσθήκη προεπιλεγμένης πύλης sudo route add default gateway 92.68.. Δικτύωση με TCP/IP by SV2DOF, Σελ. 44 / 67

netstat Η netstat είναι ένα χρήσιμο εργαλείο ελέγχου της δικτυακής δραστηριότητας σε έναν υπολογιστή και όχι μόνο. Μπορεί να εμφανίσει την κατάσταση των συνδέσεων (sockets) τοπικών ή διαδικτυακών, τους πίνακες δρομολόγησης (netstat -r) και άλλα ενδιαφέροντα στατιστικά στοιχεία για τις δικτυακές διασυνδέσεις (network interfaces). Εκτελούμενη χωρίς ορίσματα σε ένα σύστημα unix, με ιδιαίτερη δικτυακή δραστηριότητα, εμφανίζει μια πληθώρα πληροφοριών που μπορεί να τρομάξουν τον απλό χρήστη. Το παρακάτω είναι απόσπασμα από τις 684 γραμμές αποτελεσμάτων της εκτέλεσή της σε ένα σύστημα linux στο οποίο υπάρχει γραφικό περιβάλλον με αρκετές ανοιχτές εφαρμογές και έναν torrent client με αρκετά sockets ενεργά. /bin/netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 69 perseus.local:454 pool-96-247-99-:543 LAST_ACK tcp perseus.local:52642 dsl-hkibrasgw3-ffd:688 TIME_WAIT tcp 2 perseus.local:3624 cpe-24-24-72-26.st:34 LAST_ACK. tcp 97 perseus.local:49738 bl9-99-6.dsl.tel:494 FIN_WAIT. tcp 2 perseus.local:42279 d54-5-38-5.bch:34793 ESTABLISHED. udp perseus.local:4277 calchas.forthnet:domain ESTABLISHED Active UNIX domain sockets (w/o servers) Proto RefCnt Flags Type State I-Node Path unix 2 [ ] DGRAM 3383 @/org/kernel/udev/udevd unix 6 [ ] DGRAM 4976 /dev/log unix 2 [ ] DGRAM 5545 @/org/freedesktop/hal/udev_event unix 2 [ ] STREAM CONNECTED 746963... unix 3 [ ] STREAM CONNECTED 3367 @/com/ubuntu/upstart unix 3 [ ] STREAM CONNECTED 3364 Στην η στήλη (Proto) αναφέρεται το πρωτόκολλο, στην 4η και 5η η διεύθυνση και θύρα αφετηρίας και προορισμού και στην 6η (State) η κατάσταση της σύνδεσης (socket). Συνήθως συνδυάζεται με αρκετές παραμέτρους για την εμφάνιση πιο συγκεκριμένων πληροφοριών καθώς και με άλλα εργαλεία της γραμμής εντολών για την εξαγωγή συμπερασμάτων. π.χ. εμφάνιση όλων των συνδέσεων (σε ακρόαση ή όχι) -a, χωρίς ανάλυση ονομάτων διευθύνσεων και θυρών -n, πρωτοκόλλου tcp -t netstat -ant εμφάνιση μόνο των συνδέσεων στην θύρα 8 του πρωτοκόλλου tcp (συνδέσεις σε διακομιστές web) netstat -ant grep \:8 και πιο προχωρημένα, εμφάνιση του αριθμού των συνδέσεων στην θύρα 8 του πρωτοκόλλου tcp ανά κατάσταση σύνδεσης. (μέτρηση των μοναδικών γραμμών 6ης στήλης ταξινομημένων και μετρημένων) Δικτύωση με TCP/IP by SV2DOF, Σελ. 45 / 67

netstat -ant grep \:8 awk '{print $6}' sort uniq -c sort -n FIN_WAIT 7 TIME_WAIT 3 ESTABLISHED Παρόμοια είναι η χρήση της netstat και στα windows, ωστόσο για ορισμένες επιλογές πρέπει να αλλάξετε τις ρυθμίσεις του User Account Control (UAC) στα vista και στα 7. Παρακάτω φαίνεται η χρήση της netstat σε windows 7 ultimate με την επιλογή εμφάνισης του PID (ταυτότητα διαδικασίας) του προγράμματος που χρησιμοποιεί τη συγκεκριμένη σύνδεση (socket). Σε συνδυασμό με την tasklist μπορεί να αναγνωριστεί το πρόγραμμα που χρησιμοποιεί το συγκεκριμένο socket. π.χ. για τη σύνδεση TCP από τον τοπικό υπολογιστή, θύρα 492, στον 94.77.2.22, θύρα 8, υπεύθυνη είναι η διαδικασία με PID 328 και πρόκειται για το πρόγραμμα firefox.exe δηλαδή το γνωστό πρόγραμμα πλοήγησης στο Internet, Firefox. C:\>netstat -ano Ενεργές συνδέσεις Πρωτ. Τοπική διεύθυνση Εξωτερική διεύθυνση TCP...:35...: TCP...:445...:. TCP..2.5:497 29.85.29.47:8 TCP..2.5:4979 27.63.2.35:8 TCP..2.5:492 94.77.2.22:8. UDP [::]:9 *:* UDP [::]:52628 *:* UDP [fe8::e9cd:db8c:9fd:48f%]:9 *:* 344 UDP [fe8::e9cd:db8c:9fd:48f%]:52627 *:* 344 Κατάσταση LISTENING LISTENING PID 692 4 ESTABLISHED TIME_WAIT ESTABLISHED 328 328 344 344 C:\>tasklist /svc Όνομα εικόνας PΙD Υπηρεσίες ========================= ======== ============================================ System Idle Process Δ/Υ System 4 Δ/Υ smss.exe 268 Δ/Υ csrss.exe 344 Δ/Υ wininit.exe 38 Δ/Υ. svchost.exe 344 FDResPub, SSDPSRV taskhost.exe 888 Δ/Υ taskeng.exe 928 Δ/Υ. firefox.exe 328 Δ/Υ wmpnetwk.exe 828 WMPNetworkSvc. tasklist.exe 2772 Δ/Υ WmiPrvSE.exe 2832 Δ/Υ C:\> Με αυτόν τον τρόπο ο προσεκτικός διαχειριστής μπορεί να ελέγξει ύποπτη δικτυακή δραστηριότητα (spyware κ.τ.λ.) και να πράξει αναλόγως. Δικτύωση με TCP/IP by SV2DOF, Σελ. 46 / 67

arp Εμφανίζει ή τροποποιεί τις καταχωρήσεις στον προσωρινό πίνακα ARP2 των αντιστοιχιών διευθύνσεων IP σε φυσικές διευθύνσεις Ethernet (MAC) Το πρωτόκολλο ARP/(RARP) είναι το πρωτόκολλο που πληροφορεί το IPv4 για το πίσω από ποια κάρτα ethernet βρίσκεται η διεύθυνση IP με την οποία θέλει να επικοινωνήσει και το αντίστροφο. Όλες οι αντιστοιχίες λογικών διευθύνσεων IP (layer 3) με φυσικές διευθύνσεις ethernet (MAC) (layer 2) διερευνώνται από τα πρωτόκολλα ARP/RARP και αποθηκεύονται σε προσωρινό (cache) πίνακα. Αυτό σημαίνει ότι αν δεν υπάρξει δικτυακή κίνηση για αρκετό χρονικό διάστημα (μερικών λεπτών) ο πίνακας είναι κενός και η εκτέλεση της arp δεν θα εμφανίσει τίποτα. /usr/sbin/arp -n Address HWtype HWaddress Flags Mask 92.68.. ether :4:bf:eb:bb:9 C 92.68..65 ether :4::ed:f9:68 C Η παράμετρος -n ορίζει στην arp να μην επιχειρήσει ανάλυση ονομάτων DNS Iface eth eth εκτέλεση της arp σε windows 7 ultimate C:\>arp -a Διασύνδεση:..2.5 --- xb Διεύθυνση Internet Φυσική διεύθυνση..2.2 52-54--2-35-2..2.255 ff-ff-ff-ff-ff-ff 224...22 --5e---6 224...252 --5e---fc 239.255.255.25 --5e-7f-ff-fa 255.255.255.255 ff-ff-ff-ff-ff-ff Τύπος δυναμικό στατικό στατικό στατικό στατικό στατικό C:\> Παράδειγμα τροποποίησης arp cache σε windows 7 ultimate: > arp -s 57.55.85.22 -aa--62-c6-9... Προσθέτει στατική καταχώρηση. Παρατήρηση Ας σημειωθεί ότι από τα τρία πρώτα byte της φυσικής διεύθυνσης ethernet (MAC) μπορεί να προσδιοριστεί ο κατασκευαστής του υλικού (κάρτας δικτύου). Για το σκοπό αυτό ανατρέχουμε στην λίστα με τους αριθμούς OUI (Organizationally Unique Identifier) και τους κατασκευαστές που αντιστοιχούν, στο http://standards.ieee.org/regauth/oui/oui.txt Έτσι βλέπουμε ότι ο κατασκευαστής του υλικού με IP 92.68.. και HWaddress :4:bf:eb:bb:9 (OUI=-4-bf) είναι Cisco-Linksys LLC και του υλικού με IP 92.68..65 και HWaddress :4::ed:f9:68 (OUI=-4-) είναι LEXMARK INTERNATIONAL, INC. 2 ARP, Address Resolution Protocol. RARP, Reverse Address Resolution Protocol Δικτύωση με TCP/IP by SV2DOF, Σελ. 47 / 67

Οι σελίδες του εγχειριδίου (man pages) του unix... φυσικά Με μια πληθώρα εντολών-διαταγών, κλήσεων συστήματος, συναρτήσεων κ.τ.λ. είναι φυσικό ο χρήστης (ακόμη κι ο root) να μη θυμάται, πλην των συχνά χρησιμοποιούμενων, πώς ακριβώς συντάσσεται η εντολή που πρόκειται να χρησιμοποιήσει, τί ορίσματα και παραμέτρους δέχεται, ποιά αρχεία χρησιμοποιεί ή επηρεάζει κ.α. Ευτυχώς έχει στη διάθεσή του, ανά πάσα στιγμή, την ενσωματωμένη βοήθεια του Λ.Σ. και στην περίπτωση του unix (linux, FreeBSD, Mac OS X, Solaris,...) είναι το εγχειρίδιο και οι σελίδες του (manual pages) Καλείται ως $ man Όνομα_εντολής Οι σελίδες έχουν τυποποιημένη δομή και περιλαμβάνουν τουλάχιστον τα τμήματα NAME Το όνομα της εντολής και μια περιγραφή της σε μια γραμμή SYNOPSIS Μια τυπική περιγραφή του τρόπου εκτέλεσής της, τα ορίσματα και τις παραμέτρους που δέχεται DESCRIPTION Αναλυτική περιγραφή της λειτουργίας της EXAMPLES Παραδείγματα συνήθους χρήσης της SEE ALSO Μια λίστα από σχετικές εντολές Πλοήγηση στις σελίδες του εγχειριδίου space επόμενη σελίδα b προηγούμενη σελίδα /κείμενο αναζήτηση προς τα μπρος?κείμενο αναζήτηση προς τα πίσω q έξοδος κάτω_βέλος ή j μια γραμμή παρακάτω άνω_βέλος ή k μια γραμμή πίσω n επανάληψη αναζήτησης προς τα μπρος N επανάληψη αναζήτησης προς τα πίσω h βοήθεια g αρχή κειμένου G τέλος κειμένου Βοήθεια στη γραμμή εντολών των Windows Στα Windows, στη γραμμή εντολών, παρέχεται στοιχειώδης βοήθεια για τις περισσότερες διαθέσιμες εντολές (και ειδικά τις εντολές δικτύωσης TCP/IP που προαναφέρθηκαν) πληκτρολογώντας το όνομα της εντολής ακολουθούμενο από πλάγια κάθετο (slash) και ερωτηματικό. C:\>Όνομα_εντολής /? Για άλλες εντολές παρέχεται βοήθεια με τη χρήση της help C:\>help Όνομα_εντολής ενώ από τα windows 7 υπάρχει διαθέσιμο το Windows PowerShell και το Cmdlet Get-Help που μοιάζει με τις man pages του unix. Παρ' όλα αυτά, για τις εντολές δικτύωσης TCP/IP, η βοήθεια παραμένει /? Δικτύωση με TCP/IP by SV2DOF, Σελ. 48 / 67

Δικτύωση με TCP/IP by SV2DOF, Σελ. 49 / 67

Έλεγχος Ακεραιότητας αρχείων. Συχνά, είναι βολικό να γνωρίζουμε εάν ένα αρχείο έχει τροποποιηθεί, είτε εξ' αιτίας νεότερης επεξεργασίας του, εσφαλμένης μεταφοράς ή αντιγραφής του, είτε κακόβουλα,εν αγνοία μας. Για το σκοπό αυτό θα πρέπει να ληφθεί ένα άθροισμα ελέγχου του αρχείου με γνωστή μέθοδο και σε χρόνο κατά τον οποίο είμαστε σίγουροι για το αρχείο. Το άθροισμα αυτό αποθηκεύεται ξεχωριστά από το αρχείο. Όταν σε μεταγενέστερο χρόνο θέλουμε να ελέγξουμε την ακεραιότητα του αρχείου επανυπολογίζουμε το άθροισμα ελέγχου (με τη γνωστή μέθοδο) και το συγκρίνουμε με το αποθηκευμένο. Εάν συμφωνούν τα δυο αθροίσματα (υπολογισμένο και αποθηκευμένο) τότε το αρχείο δεν έχει τροποποιηθεί, εάν είναι διαφορετικά τότε το αρχείο δεν είναι ίδιο με το αρχικό, έχει "πειραχτεί" ή αλλιώς έχει παραβιασθεί η ακεραιότητά του. Η μέθοδος που χρησιμοποιείται ονομάζεται συνάρτηση (ή αλγόριθμος) κατακερματισμού (hash function) και το άθροισμα ελέγχου σύνοψη μηνύματος (message digest). Μια συνάρτηση κατακερματισμού: δέχεται ως είσοδο ένα αρχείο ή ομάδα δεδομένων οποιουδήποτε μεγέθους και επιστρέφει (υπολογίζει) τη σύνοψη μηνύματος, σταθερού μεγέθους π.χ. 28bit είναι εξαιρετικά ευαίσθητη στις αλλαγές, π.χ. εάν σε ένα αρχείο απλού κειμένου αλλάξουμε έστω και ένα γράμμα (χαρακτήρα) η νέα σύνοψη είναι τελείως διαφορετική από την προηγούμενη και είναι μονόδρομη, δηλαδή από τη σύνοψη μηνύματος δε μπορούμε να ξέρουμε ποιο αρχείο ή συμβολοσειρά, χρησιμοποιήθηκε ως είσοδος στη συνάρτηση κατακερματισμού. Αρχείο The quick brown fox jumps over the lazy dog Συνάρτηση κατακερματισμού MD5 Σύνοψη Μηνύματος 37c4b87e dffc5d9 8ff5a85 cee7ee9 MD5 Μια τέτοια ευρέως χρησιμοποιούμενη συνάρτηση/αλγόριθμος είναι η MD522 η οποία παράγει σύνοψη μηνύματος μεγέθους 28 bit. Σε συστήματα linux υπάρχει διαθέσιμη με τη μορφή της εντολής md5sum. Με την ίδια μορφή ή συναφή π.χ. md5 υπάρχει και σε όλα σχεδόν τα Λ.Σ. της οικογένειας του unix. Στα windows δεν υπάρχει εξ' 22 RFC32 - The MD5 Message-Digest Algorithm, http://www.faqs.org/rfcs/rfc32.html Δικτύωση με TCP/IP by SV2DOF, Σελ. 5 / 67

αρχής αλλά θα πρέπει να εγκατασταθεί εκ των υστέρων. Η Microsoft διαθέτει ένα εργαλείο το οποίο ονομάζει File Checksum Integrity Verifier (FCIV) utility (δες http://support.microsoft.com/kb/8429 ) και το παρέχει χωρίς υποστήριξη. Ευτυχώς η md5sum υπάρχει διαθέσιμη και για τα windows (σε εκτελέσιμη μορφή και σε πηγαίο κώδικα) στην τοποθεσία ftp://ftp.gnupg.org/gcrypt/binary/ md5sum Η md5sum δέχεται ως όρισμα ένα αρχείο και υπολογίζει τη σύνοψη μηνύματος (Message Digest) μεγέθους 28 bit, σύμφωνα με τον αλγόριθμο MD5. george@perseus:~/dload$ md5sum lucid-dvd-amd64.iso f5ef6cb9eb2d2c7437b477ae47 lucid-dvd-amd64.iso george@perseus:~/dload$ Με την επιλογή -c δέχεται ως όρισμα ένα αρχείο που περιέχει τα ονόματα των προς έλεγχο αρχείων και τα αντίστοιχα αθροίσματα ελέγχου (message digests), υπολογίζει με βάση τον αλγόριθμο MD5 τα αθροίσματα, τα συγκρίνει με τα αποθηκευμένα και μας ενημερώνει για το αποτέλεσμα του ελέγχου. george@perseus:~/dload$ md5sum -c MD5SUMS lucid-dvd-amd64.iso: ΕΝΤΑΞΕΙ lucid-dvd-i386.iso: ΑΝΕΠΙΤΥΧΕΣ md5sum: WARNING: of 2 computed checksums did NOT match george@perseus:~/dload$ Τα προς έλεγχο αρχεία θα πρέπει να βρίσκονται στον ίδιο φάκελο/κατάλογο με το αρχείο που περιέχει τα αποθηκευμένα αθροίσματα. Ο υπολογισμός της σύνοψης μηνύματος για ένα μεγάλο σε μέγεθος αρχείο και ανάλογα με την επεξεργαστική ισχύ του Η/Υ μπορεί να διαρκέσει αρκετά π.χ. ο υπολογισμός για το αρχείο εικόνας DVD, lucid-dvd-amd64.iso μεγέθους 4.48.44.256 byte, σε ένα σύστημα P4/3.GHz, διήρκεσε περίπου 5 δλπ. Για το παραπάνω παράδειγμα το αρχείο MD5SUMS περιέχει τα ακόλουθα: george@perseus:~/dload$ cat MD5SUMS f5ef6cb9eb2d2c7437b477ae47 *lucid-dvd-amd64.iso 4bc682798b3b3825edb5cb256eeece *lucid-dvd-i386.iso george@perseus:~/dload$ Στα windows, για να χρησιμοποιήσετε την md5sum, θα πρέπει να κατεβάσετε το αρχείο md5sumw32.zip από την τοποθεσία ftp://ftp.gnupg.org/gcrypt/binary/ 23 και να αποσυμπιέσετε το md5sum.exe σε έναν φάκελο των windows που βρίσκεται στο Path του συστήματος π.χ. %SystemRoot%\system32; ή %SystemRoot%; Μπορείτε εναλλακτικά να χρησιμοποιήσετε ένα δικό σας φάκελο π.χ. C:\myutils\ αρκεί να τον δηλώσετε στη μεταβλητή συστήματος Path (Ο Υπολογιστής μου, δεξί κλικ, Ιδιότητες > Για προχωρημένους > Μεταβλητές περιβάλλοντος > Μεταβλητές συστήματος, Επιλογή Path, Επεξεργασία > Τιμή μεταβλητής και προσθήκη στο τέλος ;C:\myutils\ ) 23 Στην ίδια τοποθεσία θα βρείτε και την shasum.exe Δικτύωση με TCP/IP by SV2DOF, Σελ. 5 / 67

παράδειγμα χρήσης της md5sum σε windows XP Ασκήσεις. Σε ένα συντάκτη κειμένου (editor) της αρεσκείας σας (π.χ.... vi) πληκτρολογήστε το παρακάτω κείμενο: The quick brown fox jumps over the lazy dog και αποθηκεύστε το με το όνομα fox.txt i. Χρησιμοποιώντας την md5sum υπολογίστε το άθροισμα ελέγχου ή σύνοψη μηνύματος (message digest) του αρχείου fox.txt ii. Δεδομένου ότι η σύνοψη μηνύματος δίνεται σε δεκαεξαδική μορφή (hex) και κάθε δεκαεξαδικό ψηφίο αντιστοιχεί σε 4 bit, μετρήστε πόσα bit είναι η σύνοψη μηνύματος MD5. Σημειώστε κάπου τη σύνοψη μηνύματος. iii. Ανοίξτε το αρχείο fox.txt με το συντάκτη κειμένου και τροποποιήστε τη λέξη dog αλλάζοντας μόνο το τελευταίο γράμμα της από g σε c, δηλαδή dog doc. Αποθηκεύσετε το αρχείο. iv. Υπολογίστε ξανά το άθροισμα ελέγχου και συγκρίνετέ το με το προηγούμενο. v. Άλλαξε ή όχι; Σε τι βαθμό; Τι συμπέρασμα βγάζετε για την ευαισθησία της συνάρτησης MD5; 2. Εάν εργάζεστε σε σύστημα με Λ.Σ. τύπου unix (π.χ. Linux, FreeBSD κτλ) δοκιμάστε στη θέση της md5sum την shasum ή και την sha256sum i. Σε τι διαφέρουν από την md5sum; ii. Τι μεγέθους σύνοψη μηνύματος επιστρέφει η κάθε μια; Δικτύωση με TCP/IP by SV2DOF, Σελ. 52 / 67

Δραστηριότητες. Εάν δυο διαφορετικά αρχεία ή συμβολοσειρές (string) έχουν την ίδια σύνοψη μηνύματος τότε αυτό περιγράφεται ως σύγκρουση (collision). Αναζητήστε πληροφορίες για την περίπτωση αυτή και το πόσο πιθανόν είναι να συμβεί χρησιμοποιώντας κάποιον από τους προαναφερθέντες αλγορίθμους κατακερματισμού. 2. Πως μπορεί να χρησιμοποιηθεί ένας αλγόριθμος κατακερματισμού για την ασφαλή αναγνώριση των χρηστών σε ένα Λ.Σ. και να διασφαλιστεί ότι ούτε και ο διαχειριστής του συστήματος μπορεί να δει τον κωδικό ενός απλού χρήστη; Αναζητήστε πληροφορίες για το πώς υλοποιείται ένας τέτοιος μηχανισμός σε ένα Λ.Σ. τύπου unix. Δικτύωση με TCP/IP by SV2DOF, Σελ. 53 / 67

Κρυπτογραφία Μυστικού Κλειδιού (συμμετρική). Η λέξη κρυπτογραφία προέρχεται από τα συνθετικά "κρυπτός" + "γράφω" και είναι ένας επιστημονικός κλάδος που ασχολείται με την μελέτη, την ανάπτυξη και την χρήση τεχνικών κρυπτογράφησης και αποκρυπτογράφησης με σκοπό την απόκρυψη του περιεχομένου των μηνυμάτων24. Σκοπός της είναι η εξασφάλιση του απορρήτου δεδομένων και πληροφοριών. Χρησιμοποιεί το ίδιο κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση (συμμετρική κρυπτογραφία). Το κλειδί αποστέλλεται στον αποδέκτη με ασφαλή τρόπο ξεχωριστά από το κρυπτογραφημένο μήνυμα. Βασικό της μειονέκτημα είναι η ανάγκη αποστολής του μυστικού κλειδιού στον αποδέκτη του μηνύματος διασφαλίζοντας ότι δεν θα πέσει σε χέρια τρίτων. crypt (mcrypt, mdecrypt) Η mcrypt χρησιμοποιείται για την κρυπτογράφηση αρχείων μηνυμάτων κάνοντας χρήση συμμετρικών κρυπτογραφικών αλγορίθμων. Το μυστικό κλειδί κρυπτογράφησης παράγεται (με τρόπο που προσδιορίζεται από την επιλογή.--keymode και μήκος.--keysize) από μια συνθηματική φράση που δίνει ο χρήστης κατά την εκτέλεση της εντολής. Ο χρήστης μπορεί να προσδιορίσει και τον τρόπο (--mode) και τον αλγόριθμο κρυπτογράφησης (--algorithm) που θα χρησιμοποιηθεί. Επιπλέον παράμετροι οι οποίοι περιγράφονται στις σελίδες του εγχειριδίου για την mcrypt μπορούν να δοθούν κατά την εκτέλεση της εντολής. Την ίδια συνθηματική φράση και παραμέτρους πρέπει να δώσει ο άλλος ανταποκριτής για να αποκρυπτογραφήσει το κρυπτογραφημένο μήνυμα. 24 http://el.wikipedia.org/wiki/κρυπτογραφία Δικτύωση με TCP/IP by SV2DOF, Σελ. 54 / 67

Αλγόριθμοι και τρόποι κρυπτογράφησης Εμφάνιση των υποστηριζόμενων αλγορίθμων και τρόπων (block/stream) κρυπτογράφησης mcrypt --list Εμφάνιση υποστηριζόμενων τρόπων δημιουργίας κλειδιού από την συνθηματική φράση (passphrase) mcrypt --list-keymodes Εμφάνιση υποστηριζόμενων αλγορίθμων κατακερματισμού για τον έλεγχο ακεραιότητας του του προς κρυπτογράφηση κειμένου. mcrypt --list-hash Σε ένα τερματικό υπολογιστή που έχει εγκατεστημένη την mcrypt εκτελέστε τις προαναφερόμενες εντολές και αναγνωρίστε μερικούς αλγορίθμους κρυπτογράφησης και συναρτήσεις κατακερματισμού. Ποια έκδοση της mcrypt είναι εγκατεστημένη στον υπολογιστή που εργάζεστε; Ποιος είναι ο συγγραφέας της; (Υπόδειξη: Εκτελέστε mcrypt --version ή συμβουλευτείτε το εγχειρίδιο man mcrypt) Κρυπτογράφηση Κρυπτογράφηση του αρχείου test.txt με προεπιλεγμένες (default) ρυθμίσεις: mcrypt test.txt Enter the passphrase (maximum of 52 characters) Please use a combination of upper and lower case letters and numbers. Enter passphrase: Enter passphrase: File test.txt was encrypted. μετά την εκτέλεση των παραπάνω δημιουργείται το κρυπτογραφημένο αρχείο test.txt.nc (encrypted). Κρυπτογράφηση του αρχείου test.txt χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης DES, τρόπο δημιουργίας κλειδιού τον pkdes και συνάρτηση κατακερματισμού για τον έλεγχο ακεραιότητας του αρχείου απλού κειμένου την MD5: mcrypt -a des --keymode pkdes --hash md5 test.txt Με την επιλογή -V (κεφαλαίο) εμφανίζει μετά το πέρας της εργασίας μια σύνοψη πληροφοριών για τους χρησιμοποιηθέντες αλγορίθμους (κρυπτογράφησης, κατακερματισμού κτλ), μέγεθος κλειδιού κτλ Με την επιλογή -g (--openpgp) το κρυπτογράφημα αποθηκεύεται σε μορφή OpenPGP (rfc488)25. Έτσι είναι συμβατό με την gpg (GnuPG) για την οποία γίνεται λόγος παρακάτω στη σελ. 65. Αποκρυπτογράφηση mdecrypt test.txt.nc Enter passphrase: File test.txt.nc was decrypted. εναλλακτικά μπορεί να χρησιμοποιηθεί η σύνταξη: mcrypt -d test.txt.nc Η mcrypt υποστηρίζει εγγενώς (από την έκδοση 2.6.) αρχεία μορφής openpgp 25 http://tools.ietf.org/html/rfc488 (αντικαθιστά το αρχικό rfc244) Δικτύωση με TCP/IP by SV2DOF, Σελ. 55 / 67

Άσκηση Σε ένα συντάκτη κειμένου (editor) της αρεσκείας σας (π.χ.... vi) πληκτρολογήστε το παρακάτω κείμενο: The quick brown fox jumps over the lazy dog και αποθηκεύστε το με το όνομα fox.txt i. Χρησιμοποιήστε τον αλγόριθμο κρυπτογράφησης 3DES (tripledes), τον τρόπο δημιουργίας κλειδιού pkdes και συνάρτηση κατακερματισμού SHA (sha) και κρυπτογραφήστε το αρχείο fox.txt ii. Χρησιμοποιήστε έναν δεκαεξαδικό συντάκτη (hex editor) ή εάν στο σύστημά σας είναι εγκατεστημένο το πακέτο bsdmainutils την εντολή hexdump (hd) για να εμφανίσετε τα περιεχόμενα του κρυπτογραφημένου αρχείου fox.txt.nc iii. Σχολιάστε τη μορφή που έχει το κρυπτογραφημένο αρχείο σε σχέση με το αρχικό και εάν μπορείτε βλέποντάς το να συμπεράνετε ποιοι αλγόριθμοι χρησιμοποιήθηκαν. iv. Επαναλάβετε την κρυπτογράφηση όπως στο βήμα (i) συμπεριλαμβάνοντας την επιλογή --bare Επαναλάβετε το βήμα (ii). Μπορείτε να συμπεράνετε ποιοι αλγόριθμοι χρησιμοποιήθηκαν; Δικτύωση με TCP/IP by SV2DOF, Σελ. 56 / 67

Υποδείξεις: Το εργαλείο xxd μπορεί να χρησιμοποιηθεί για την εμφάνιση (δυαδικών) αρχείων σε δεκαεξαδική μορφή (hexdump) ως εξής: xxd fox.txt.nc Ο συντάκτης κειμένου vi (vim), επίσης, μπορεί να χειριστεί δυαδικά αρχεία (σε συνδυασμό με την xxd) και να υποστηρίξει την επεξεργασία και την εμφάνιση του περιεχομένου τους σε δεκαεξαδική μορφή. Για το σκοπό αυτό ανοίγεται το αρχείο με vi -b fox.txt.nc μετάβαση σε δεκαεξαδικό τρόπο λειτουργίας με <ESC> :%!xxd όπως παρακάτω: : 6d 34 6465 73 8 6362 63 76b.m.@des...cbc.pk : 6465 73 584 8ef d752 5a2 5fa 276c des...rq...'l 2: c273 b88d ce9 e6d5 5a6d 6435 f5 bed.s...zmd5... 3: c7a 43b7 95 aa6 624 a6e c769 c5..c..q..ba.n.i.. 4: 29a6 d27e a79b 68f 36f a462 64f9 6cf2 )..~..a.o.bd.l. 5: aa9f 9d26 fad afd8 e24b ccdc d589 ab45...&...k...e 6: 482e c8e 9c7b d59d c526 453 b282 552 H...{...&.S..U! 7: 5d8f 65d7 bf ].e.. ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ :%!xxd, Έξοδος από το δεκαεξαδικό τρόπο λειτουργίας με <ESC> :%!xxd -r All Εάν υπάρχει εγκατεστημένο το πακέτο bsdmainutils που περιλαμβάνει την hexdump ή hd μπορείτε να εμφανίσετε τα περιεχόμενα του αρχείου σε δεκαεξαδική μορφή με hd fox.txt.nc 6d 3 4 64 65 73 64 65 73 5 84 8 ef 2 c2 73 b8 8d c e9 e6 d5 3 c7 a 43 b7 9 5 a a6 4 29 a6 d2 7e a7 9b 6 8f 5 aa 9f 9d 26 f ad af d8 6 48 2e c 8e 9c 7b d5 9d 7 5d 8f 65 d7 bf 75 8 d7 5a 62 3 e2 c5 52 6d 4 6f 4b 26 63 5 64 a a4 cc 4 62 a2 35 6e 62 dc 53 63 5 c7 64 d5 b2 fa f5 69 f9 89 82 7 27 b c 6c ab 55 6b 6c ed 5 f2 45 2.m.@des...cbc.pk des...rq...'l.s...zmd5.....c..q..ba.n.i.. )..~..a.o.bd.l....&...k...e H...{...&.S..U! ].e.. Η hexdump ή hd βρίσκεται στο πακέτο bsdmainutils (στα αποθετήρια λογισμικού του Ubuntu) και εάν δεν υπάρχει εγκατεστημένο μπορεί να εγκατασταθεί με sudo apt-get install bsdmainutils Δικτύωση με TCP/IP by SV2DOF, Σελ. 57 / 67

Κρυπτογραφία Δημόσιου/Ιδιωτικού Κλειδιού (ασύμμετρη). Σκοπός της είναι η εξασφάλιση του απορρήτου δεδομένων και πληροφοριών. Χρησιμοποιεί διαφορετικό κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση (ασύμμετρη κρυπτογραφία). Τα κλειδιά δημιουργούνται σε ζεύγος ως ένα Δημόσιο και ένα Ιδιωτικό (προσωπικό) Κλειδί. Το Ιδιωτικό κλειδί φυλάσσεται από τον ιδιοκτήτη και το Δημόσιο κοινοποιείται προς όλους όσους ενδιαφέρονται να επικοινωνήσουν με ασφάλεια μαζί του, αποστέλλοντάς το με ηλεκτρονικό ταχυδρομείο, αναρτώντας το σε μια ιστοσελίδα είτε κοινοποιώντας το σε έναν Διακομιστή Υποδομής Δημόσιων Κλειδιών (PKI server, όπωςπ.χ. ο http://pgp.mit.edu/ ). Βασικό πλεονέκτημα έναντι της συμμετρικής κρυπτογραφίας είναι η ευκολία διαχείρισης των κλειδιών καθώς ο χρήστης απαλλάσσεται από τη μέριμνα της ασφαλούς διακίνησης του ενός και μοναδικού κοινού κλειδιού της συμμετρικής κρυπτογράφησης. GnuPG (GNU Privacy Guard Φρουρός Απορρήτου GNU [GnuPG-]) Το πρόγραμμα GnuPG είναι μια ελεύθερη υλοποίηση-εφαρμογή της κρυπτογραφίας Δημόσιου / Ιδιωτικού Κλειδιού PGP (Pretty Good Privacy) όπως προτάθηκε από τον αρχικό δημιουργό της Phil Zimmerman26 και τυποποιήθηκε στο RFC48827. Διατίθεται σε όλες τις διανομές linux (FreeBSD, κτλ.) είτε συμπεριλαμβανόμενο στην αρχική εγκατάσταση είτε ως πακέτο για την εκ των υστέρων εγκατάσταση. Στο δικτυακό τόπο http://www.gnupg.org/download/ μπορεί κανείς να βρει τον πηγαίο κώδικα αλλά και εκτελέσιμες εκδόσεις για τις πιο συνηθισμένες αρχιτεκτονικές υπολογιστών καθώς και για τα Windows28 Στον προαναφερθέντα δικτυακό τόπο, ο προσεκτικός επισκέπτης θα διαπιστώσει ότι για λόγους ελέγχου της ακεραιότητας των διαθέσιμων προς μεταφόρτωση ( κατέβασμα ) αρχείων υπάρχουν και τα αθροίσματα ελέγχου (συνόψεις μηνύματος) με βάση τον αλγόριθμο SHA-. 26 http://www.mit.edu/~prz/el/essays/ 27 http://www.ietf.org/rfc/rfc488.txt OpenPGP Message Format 28 ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-.4.b.exe Δικτύωση με TCP/IP by SV2DOF, Σελ. 58 / 67

gpg Δέχεται πολλαπλά ορίσματα και παραμέτρους και μπορεί να χρησιμοποιηθεί για Δημιουργία, εξαγωγή και εισαγωγή κλειδιών Κρυπτογράφηση Αποκρυπτογράφηση Ψηφιακή Υπογραφή ψηφ. εγγράφων (αρχείων) Επαλήθευση ψηφιακά υπογεγραμμένων εγγράφων, πιστοποίηση εκδότη Υπολογισμό σύνοψης μηνύματος άλλες βοηθητικές εργασίες (υπογραφή κλειδιών κ.α.) Για περαιτέρω χρήση της gpg πρέπει αρχικά να δημιουργηθεί ένα ζεύγος Δημόσιου/Ιδιωτικού κλειδιού. Δημιουργία ζεύγους κλειδιών (Δημόσιου/Ιδιωτικού) gpg --gen-key Στη συνέχεια ζητείται από το χρήστη να κάνει ορισμένες επιλογές που αφορούν το προς δημιουργία ζεύγος κλειδιών gpg (GnuPG).4.9; Copyright (C) 28 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Παρακαλώ επιλέξτε τον τύπο του κλειδιού που θέλετε: () DSA and Elgamal (default) (2) DSA (για υπογραφή μόνο) (5) RSA (για υπογραφή μόνο) Η επιλογή σας; Η πίεση του πλήκτρου Enter ή Return επιλέγει τις προκαθορισμένες (default) επιλογές. DSA keypair will have 24 bits. ELG-E keys may be between 24 and 496 bits long. What keysize do you want? (248) Enter ή Return Το μέγεθος κλειδιού που ζητήθηκε είναι 248 bits Παρακαλώ ορίστε για πόσο καιρό το κλειδί θα είναι έγκυρο. = το κλειδί δεν λήγει ποτέ <n> = το κλειδί λήγει σε n μέρες <n>w = το κλειδί λήγει σε n εβδομάδες <n>m = το κλειδί λήγει σε n μήνες <n>y = το κλειδί λήγει σε n έτη Το κλειδί είναι έγκυρο για; () Enter ή Return Key does not expire at all Is this correct? (y/n) y You need a user ID to identify your key; the software constructs the user ID from the Real Name, Comment and Email Address in this form: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" Δίνονται τα στοιχεία του χρήστη-ιδιοκτήτη των κλειδιών Αληθινό Όνομα: Αχιλλέας Πηλείδης Διεύθυνση Email: a.peleides@iliad.net Σχόλιο: Key for personal use Χρησιμοποιείτε το `utf-8' σετ χαρακτήρων. Επιλέξατε το USER-ID: "Αχιλλέας Πηλείδης (Key for personal use) <a.peleides@iliad.net>" Δικτύωση με TCP/IP by SV2DOF, Σελ. 59 / 67

Αλλαγή (N)όνομα, (C)σχόλιο, (E)mail ή (O)εντάξει/(Q)τερματισμός; O Χρειάζεστε μια Φράση κλειδί για να προστατεύσετε το μυστικό κλειδί. gpg: ο gpg-agent δεν είναι διαθέσιμος σε αυτή τη συνεδρία Πληκτρολογήστε τη φράση κλειδί: Δίνεται η συνθηματική φράση (passphrase) για προστασία του χειρισμού του ιδιωτικού κλειδιού Επαναλάβετε τη φράση κλειδί: Επιβεβαιώνεται η συνθηματική φράση και ξεκινά η δημιουργία του ζεύγους των κλειδιών. Πρέπει να δημιουργηθούν πολλά τυχαία bytes. Είναι καλή ιδέα να κάνετε κάποια εργασία (πληκτρολογήστε, μετακινήστε το ποντίκι, χρησιμοποιήστε τους δίσκους) κατα τη διάρκεια υπολογισμού πρώτων αριθμών. Αυτό δίνει στη γεννήτρια τυχαίων αριθμών μια ευκαιρία να μαζέψει αρκετή εντροπία. +++++++++++++++++++++++++.++++++++++.+++++++++++++++++++++++++.+++++++ +++++++++++++.++++++++++++++++++++.+++++.++++++++++..+++++++++++++++>+ ++++..+++++...<+++++...+++++ Δεν υπάρχουν αρκετά διαθέσιμα τυχαία bytes. Προτείνεται να αναμείνετε ή να απασχολείτε το λειτουργικό σύστημα μέχρι αυτό να συγκεντρώσει περισσότερη εντροπία! (Χρειάζονται 283 περισσότερα bytes) Πρέπει να δημιουργηθούν πολλά τυχαία bytes. Είναι καλή ιδέα να κάνετε κάποια εργασία (πληκτρολογήστε, μετακινήστε το ποντίκι, χρησιμοποιήστε τους δίσκους) κατα τη διάρκεια υπολογισμού πρώτων αριθμών. Αυτό δίνει στη γεννήτρια τυχαίων αριθμών μια ευκαιρία να μαζέψει αρκετή εντροπία..++++++++++.++++++++++.+++++.+++++++++++++++..+++++++++++++++++++++++++. +++++.++++++++++.++++++++++++++++++++++++++++++.+++++.++++++++++++++++++ +++++++.+++++>++++++++++>+++++...+++++^^^ gpg: key F78B7E53 marked as ultimately trusted το δημόσιο και το μυστικό κλειδί δημιουργήθηκαν και υπογράφηκαν. gpg: έλεγχος της trustdb gpg: 3 marginal(s) needed, complete(s) needed, PGP trust model gpg: depth: valid: signed: trust: -, q, n, m, f, u pub 24D/F78B7E53 2-5-23 Key fingerprint = 7C85 D46E 7FCC 236A F746 9EE2 DA54 343 F78B 7E53 uid Αχιλλέας Πηλείδης (Key for personal use) <a.peleides@iliad.net> sub 248g/36CBAF 2-5-23 Με την ολοκλήρωση της διαδικασίας δημιουργίας κλειδιών, στον οικείο κατάλογο του χρήστη έχει δημιουργηθεί ο κατάλογος/φάκελος.gnupg, ο οποίος περιέχει τις κλειδοθήκες (keyrings) ιδιωτικών (secret) και δημόσιων (public) κλειδιών του χρήστη. σύνολο 4 drwx------ 2 test drwxr-xr-x 3 test -rw------- test -rw------- test -rw------- test -rw------- test -rw------- test -rw------- test ls -la.gnupg test test test test test test test test 496 496 9364 99 99 6 57 28 2-5-24 2-5-24 2-5-24 2-5-24 2-5-24 2-5-24 2-5-24 2-5-24 5:52 6:5 5:5 5:52 5:52 5:52 5:52 5:52... gpg.conf pubring.gpg pubring.gpg~ random_seed secring.gpg trustdb.gpg Δικτύωση με TCP/IP by SV2DOF, Σελ. 6 / 67

Εξαγωγή Δημόσιου Κλειδιού Για την εξαγωγή σε μορφή απλού κειμένου (ascii29, --armor) και αποθήκευση στο αρχείο my_public_key.txt (--output my_public_key.txt) του Δημόσιου Κλειδιού του χρήστη με e-mail: a.peleides@iliad.net (--export a.peleides@iliad.net) εκτελούμε: gpg --armor --output my_public_key.txt --export a.peleides@iliad.net Οι λεκτικές παράμετροι π.χ. --armor και --output έχουν και σύντομες ισοδύναμες εκδοχές -a και -o ενώ για τον προσδιορισμό του χρήστη του οποίου το κλειδί θέλουμε να εξάγουμε (εφόσον υπάρχουν περισσότεροι του ενός) μπορεί να χρησιμοποιηθεί εναλλακτικά το όνομά του π.χ. gpg -a -o my_public_key.txt --export Αχιλλέας\ Πηλείδης Εάν πρόκειται για ένα μοναδικό Ιδιωτικό Κλειδί, μπορεί να παραλειφθεί το όνομα. π.χ. gpg -a --export -o my_public_key.txt Μια γρήγορη εικόνα για το πως μοιάζει ένα δημόσιο κλειδί (24 bit) μπορούμε να πάρουμε στην οθόνη του τερματικού (standard output) ως εξής: george@perseus:/home/george$ gpg -a --export -----BEGIN PGP PUBLIC KEY BLOCK----Version: GnuPG v.4.9 (GNU/Linux) mqgibev6dgrbac+womdxj3taqwtzm4jahj3c/jlxigok/aybav2npjgkdz/o jzndvigobhympgolmhqc5cu/qenusecomvatefkmnrxwmef+pjdfhb5utwvxgoum KNt84bmulu+PpLSOLAgaeXJLkJdSxV8/HwxU9eeiAQVBD4yJ85pdNliFwCg3LZM pqhbasrewekuqxksvgfk4+md/2+wftzujhhracibaw9csnnchppwegbtqtuzf2d 4QjQYls25l8fYHlYATsWu6ucNxTYLzDV4Cy2RSqVEJJayqBTyveVnrhIQ7HhrOv PcAKkxfhzTp/Dy6/NuXstgAgvlmaUIPCh4xBYa/m7KyWvnmRNmLGD9W6iJ7I ompda/wk+8hslhenjerqsyd8ffddcnhkj/c3/2obtsj72vvloilghyjg84du pz4fiiiqu2pdxrdjfigfqevfqlinofyw+wubrfgdjp5nixhujhmwneklpfcf UoogBBVy/ba+FVPsBp5Lqdlqjh7z9s7mQg/ssRH4/XaxsciuLQram9obiBzbWl acaozgvtbybrzxkgcgfpcikgphntaxroqhrlc3qubmvpohgbbmragagbqjl+nyn AhsDBgsJCAcDAgQVAggDBBYCAwECHgECF4AACgkQutuEl5TtcnAYgCggSStiFb9 tbcohifylrk/zrneaoix/neivp6vlpizpbtglqu7ub2buqenbev6dgqbacq K2SyJuZPfvMIsfCtTVqK5EQ+kfxSldRz5aydZDOZBRVXS5GuAuFpKZZxNb/kSh2 wkt8oj/2excvbb4pph2imyx5vg/fgmwvv7pp8bpxio7g/zuqap4awylhgvw 4CblYsiLT/LPzRlcCsW3aa9hDAl2Oc7ST3dSLg6liwADBQP/cWUC9GGXcm5bydX n6ey7sls3/3lyvtl3o/kcev38+tbegbmjl5opktbgnpzvixm9dcweizg3wrmmigm zkln+4njkxfck6hjgfegdd3eikeuv4qytl7wlbbgh9besbxealstjftait5g7y JPOCjI+NRwn4dZVyA696+4Gl2ISQQYEQIACQUCS/p2DQIbDAAKCRC627USXlO ycmaakdwtsqmw29b+oyyo6gydrsnfn3wfqcbbbv9r6apg4i9p5+zlmvr+yxile= =RoNZ -----END PGP PUBLIC KEY BLOCK----george@perseus:/home/george$ Εισαγωγή Δημόσιου Κλειδιού Για να μπορεί κάποιος να στείλει κρυπτογραφημένο μήνυμα/αρχείο σε άλλον παραλήπτη θα πρέπει να έχει στη διάθεσή του το Δημόσιο Κλειδί του εν λόγω παραλήπτη το οποίο κι εκείνος εξήγαγε με τον ίδιο τρόπο 29 Κανονικά, τα κλειδιά και τα κρυπτογραφήματα είναι σε δυαδική μορφή (bin). Όμως για λόγους συμβατότητας διακίνησης, μέσω e-mail κυρίως, κατά τα πρώιμα χρόνια του internet, έχουν την επιλογή εξαγωγής τους σε μορφή ASCII, κωδικοποιημένη κατά base64 Δικτύωση με TCP/IP by SV2DOF, Σελ. 6 / 67

και το κοινοποίησε σε κάθε ενδιαφερόμενο όπως αναφέρεται στην εισαγωγική παράγραφο. Το Δημόσιο Κλειδί του παραλήπτη θα πρέπει να έχει εισαχθεί στην κλειδοθήκη δημοσίων κλειδιών (~/.gnupg/pubring.gpg) του αποστολέα ώστε να μπορεί να χρησιμοποιηθεί για κρυπτογράφηση από το gpg Έστω ότι το Δημόσιο Κλειδί του χρήστη orpheus είναι στο αρχείο orpheus_pkey.txt. Η εισαγωγή του γίνεται ως εξής: gpg --import orpheus_pkey.txt gpg: key 27E9E4: public key "orpheus (demo key) <orpheus@pieria.net>" imported gpg: Συνολικός αριθμός που επεξεργάστηκαν: gpg: εισαχθέντα: Κρυπτογράφηση Για την κρυπτογράφηση του αρχείου fox.txt έτσι ώστε μόνο ο χρήστης orpheus να μπορεί να το αποκρυπτογραφήσει χρησιμοποιείται το Δημόσιο Κλειδί του orpheus το οποίο έχει προηγουμένως εισαχθεί. gpg --armor --encrypt --recipient orpheus fox.txt gpg: E5D25436: There is no assurance this key belongs to the named user pub 24g/E5D25436 2-9- orpheus (demo key) <orpheus@pieria.net> Αποτύπωμα πρωτεύων κλειδιού: 32A2 DB2B 96AC 3ACA 89C9 2D38 2F95 674A 27E 9E4 Αποτύπωμα υποκλειδιού: 924B 486 B25D 69FA 6C7 957 5A37 CAAB E5D2 5436 It is NOT certain that the key belongs to the person named in the user ID. If you *really* know what you are doing, you may answer the next question with yes. Use this key anyway? (y/n) y Εφόσον υπάρχει η επιλογή --armor το αρχείο fox.txt κρυπτογραφείται (--encrypt) για τον παραλήπτη (--recipient) orpheus (το orpheus θα πρέπει να είναι το πραγματικό όνομα, όνομα χρήστη ή μέρος του e-mail του παραλήπτη) και αποθηκεύεται αυτόματα στο αρχείο fox.txt.asc (σε μορφή ASCII). Εάν παραλειφθεί η επιλογή --armor το κρυπτογράφημα αποθηκεύεται σε δυαδική μορφή στο αρχείο fox.txt.gpg Το αρχείο fox.txt.asc ή fox.txt.gpg αποστέλλεται στη συνέχεια με κανονικό απλό ηλεκτρονικό ταχυδρομείο στον χρήστη orpheus. Κανένας εκτός από τον χρήστη orpheus δε μπορεί να το αποκρυπτογραφήσει παρά μόνον ο ίδιος με το Ιδιωτικό του Κλειδί Αποκρυπτογράφηση Το αρχείο fox.txt.asc (κρυπτογράφημα) που στάλθηκε στον orpheus έχει το περιεχόμενο: cat fox.txt.asc -----BEGIN PGP MESSAGE----Version: GnuPG v.4.9 (GNU/Linux) hqeoao3yqvllq2eaqao85/iptmzxs8hxjb+ahw792tpiyjgydmlp9xcn89k9wz rfjqfomkohfxggczwdacnftum529hdzv8/hhkfro5zk9zmnzbufpu4rbdaj II2EZ9UTotr6lkmxutBRFVNk24WldZPNV9E+kyIRBYlsIeVJsSX2XFWDUdoYI4E AKGRIUqPSsTmPXg5SYYbK39gbuGYYjmpe5zqcYeD9iTfVpHzeTDGPNxmTFhTx ez72ci56odciemfbqqmpye3gqgruq9ht+ukyhb5xkapkglrzydjmde6ajk3mb5w Δικτύωση με TCP/IP by SV2DOF, Σελ. 62 / 67

IdBrhCNjBAr3ymIiEuI6ymcFQGpNycg7uXauEDExtymwBgPTMP6KKQ3SVYmDE XtBUcUkH2aQe4XukZb7jBu/RGXetEKPqmK8c67CKvSqBsrFYmp/QNKqQn+xq7 /3ozrAGd986P68b6uqTNu6Rq5zitrU+S7DEuLmlUaeFwyZjfNg2H7IkQwXFuXQ= =HOeY -----END PGP MESSAGE---- Η αποκρυπτογράφηση (--decrypt) του fox.txt.asc και αποθήκευση (-o) στο fox.txt γίνεται ως εξής: orpheus@perseus:~$ gpg --decrypt -o fox.txt fox.txt.asc You need a passphrase to unlock the secret key for user: "orpheus (demo key) <orpheus@pieria.net>" 24-bit ELG-E key, ID E5D25436, created 2-9- (main key ID 27E9E4) gpg: ο gpg-agent δεν είναι διαθέσιμος σε αυτή τη συνεδρία Πληκτρολογήστε τη φράση κλειδί: gpg: encrypted with 24-bit ELG-E key, ID E5D25436, created 2-9- "orpheus (demo key) <orpheus@pieria.net>" orpheus@perseus:~$ και το αποκρυπτογραφημένο περιεχόμενο του fox.txt : orpheus@perseus:~$ cat fox.txt The quick brown fox jumps over the lazy dog orpheus@perseus:~$ Ψηφιακή υπογραφή ηλ. εγγράφων Η κρυπτογραφία Δημόσιου/Ιδιωτικού Κλειδιού μπορεί να χρησιμοποιηθεί για την ψηφιακή υπογραφή ηλεκτρονικών εγγράφων (αρχείων) με αποτέλεσμα να είναι εφικτή η πιστοποίηση της ταυτότητας του εκδότη του εγγράφου καθώς και ο έλεγχος της ακεραιότητας του αρχείου Δικτύωση με TCP/IP by SV2DOF, Σελ. 63 / 67