sarja 1 45318d, 45356d 1. Käsitteitä a) Internet- eli IP-osoitteissa on kolme eri luokkaa: A, B ja C. A-luokan osoitteessa on 7 bittiä verkko-osoitteelle ja loput 24 hostille, B-luokassa 15 verkolle ja 16 hostille, C-luokassa 21 verkolle ja 8 hostille. b) Broadcast -osoite on sellainen IP-osoite jossa kaikki hostille varatut bitit ovat ykkösiä. Broadcast-osoite viittaa kaikkiin verkon hosteihin. c) 127.x.x.x -osoitteet (yleensä käytetään 127.0.0.1) ovat loopback-osoitteita johon lähetetyt paketit osoittavat lähettäjään itseensä. d) ARP cache on käyttöjärjestelmän muistissa oleva varasto pareja (paikallinen IP-osoite, fyysinen osoite). ARP cachea pidetään jotta ei tarvitsisi aina lähetettäessä dataa tehdä uutta ARP-kyselyä kohdekoneen fyysisestä osoitteesta. 2. Lyhenteitä a) CIDR = Classless Inter-Domain Routing. CIDR on osoitus- ja reititysjärjestelmä joka mahdollistaa peräkkäisten C-luokan osoitteiden yhdistämisen yhdeksi verkoksi. b) ARP = Address Resolution Protocol. TCP/IP -protokolla jota käytetään IP-osoitteiden muuttamiseen fyysisiksi osoitteiksi. ARPia voi käyttää vain yhden verkon sisällä. c) RARP = Reverse ARP. ARPia vastaava käänteinen protokolla jolla fyysinen osoite muutetaan IP-osoitteeksi. Tällä on käyttöä esim. diskless -koneissa. d) ICMP = Internet Control Message Protocol. IP:n protokolla virhe- ja kontrollitietojen välittämiseen. Esim. reititin voi lähettää ICMP-viestin hostille joka yrittää lähettää paketin koneelle johon ei saada yhteyttä. 3. Osoitteita a) Osoite alkaa bittikuviolla "10" eli se on B-luokan osoite. b) net ID = 130.233 host ID = 46.138 c) 158.128.46.15 on binäärinä: 10011110 10000000 00101110 00001111, joten kyseessä on B-luokan osoite. d) Netmask on binäärinä: 11111111 11111111 11100000 00000000, joten alimmat 13 bittiä on varattu koneiden osoitteisiin. Koneella ei kuitenkaan voi olla osoitetta jossa on kaikki bitit ykkösiä tai nollia, joten koneita voi olla 2^13 - 2 = 8190 (joista ainakin yksi on käytännössä reititin) e) 198.192.32.0/32 tarkoittaa "yhden koneen verkkoa" eli konetta jonka IP-osoite on 198.192.32.0. Koska verkosssa ei ole bittejä hosteille (ja netmask on siis 255.255.255.255), ei sillä ole broadcast-osoitetta (eikä sitä tarvittaisikaan). 4. ARP ja RARP a) Ilman ARPia ei voitaisi tietää mikä IP-osoite vastaa paikallisessa verkossa mitäkin fyysistä osoitetta. Esimerkiksi osoitteesta 130.233.16.3 selvitetään ARP:ia käyttäen että koneen ethernet-osoite paikallisessa verkossa on 00:90:27:12:DE:AC ja niinpä ko. IP:hen lähetettävät ethernet-paketit (joiden päällä siis IP-paketit kulkevat) osoitetaan tuohon osoitteeseen. b) Yleensä kone muistaa itse mikä sen IP on (talletetaan levylle tms). Jos kuitenkin halutaan pitää levyttömät päätteet ROM:eineen samanlaisina ilman jonnekin talletettuja IP:itä, tehdään niin että kone bootatessaan kysyy RARP:lla IP:tä joka vastaa sen fyysistä osoitetta. RARP-kutsuun vastaa RARP-serveri. c) Oletetaan, että jokin kone A haluaa käyttää jotain toisen koneen B palvelua johon ei liity konessa B oleva salainen salausavain tms. (esim sähköposti tai nntp-palvelu). Palvelun käyttämistä varten A kysyy ARP:lla B:n fyysistä osoitetta. Ennen kuin B ehtii vastaamaan (tai jos B on kiinni) ilkeä kone C lähettää tekaistun vastauksen väittäen että sillä on kysytty IP. A luulee tästä eteenpäin että C:n fyysinen osoite vastaa B:n osoitetta ja lähettää C:lle kaiken mitä sen pitäisi lähettää B:lle. Jos C:ssä on sopivasti samanlaiselta näyttävä palvelu kuin B:ssä ei A:n käyttäjä välttämättä huomaa että jotain outoa on tapahtunut. 5. ICMP Ping lähettää ICMP ECHO_REQUEST paketteja ja odottaa vastaukseksi ICMP ECHO_RESPONSE -paketteja. Pingin avulla voidaan esim. selvittää onko joku kone käynnissä ja kunnossa (voi olla, että kone on konfiguroitu olemaan vastaamatta echo requesteihin, mutta sille ei voi mitään) tai tutkia verkkoyhteyden toimintaa lähettämällä suuri määrä paketteja ja keräämällä statistiikkaa vastausviiveistä ja kadonneiden pakettien määristä. Traceroute lähettää paketteja joilla on "liian pieni" TTL-kentän (time-to-live) arvo, ja saa sen takia vastaukseksi reitittimiltä ja silloilta ICMP TIME_EXCEEDED -viestejä. Näin voidaan selvittää mitä reittiä paketit kulkevat johonkin kohteeseen. Lisäksi on olemassa monia hämäräperäisempiin tarkoituksiin kyhättyjä ohjelmia. Esim. smurf lähettää suurelle konejoukolle ECHO_RESPONSE -viestejä väärennetyllä IP:llä. Tämä suuri konejoukko toki vastaa, muttei lähetä vastauksia oikealle lähettäjälle vaan ym. väärennetyn IP:n omistavalle koneelle. Jos homma onnistuu hyvin, vastauksia tulee niin paljon että hyökkäyksen kohteen verkkoyhteys tukkeutuu hetkeksi (tcp-yhteyden katkeavat jne). Tätä voi käyttää monenmoiseen ilkeään toimintaan.