LinuxPratico - Teoria by Daniele Borghi

Teoria: impariamo a conoscere le reti Di questi tempi le reti sono dovunque: ogni dispositivo è connesso.

Qual è il meccanismo che permette alle nostre macchine di comunica re? E come può avvenire una connessione?

Carlo Manuali <c.manuali@linuxpratico.com>

ispositivi dalle più diverse caratteristiche, basati su hardware differenti, come palmari o computer nel senso più esteso del termi ne (dai server Unix ai portatili Windows, dalla

al quale inviare i dati, tale modo di procedere, in

nostra stazione grafica Mac ai cluster di PC per il

caso di interruzione della trasmissione (dovuta, ad

supercalcolo). collegati tra loro con le più svariate

esempio, alla rottura del cavo), isolerebbe i due

tecnologie, dal cavo in rame al doppino telefonico,

sistemi, cosa che invece non avviene per le reti "a

alle onde radio, possono comunicare tra loro attra

commutazione di pacchetto".

verso una serie di regole e protocolli: la suite TCP/IP.

Una volta suddivisa l'informazione in più piccole entità, è necessario specificare un criterio con cui

Tutta interconnesso

ricostruire l'informazione iniziale una volta raggiun

Questa estrema versatilità è da ricercare nella

ta la destinazione: i pacchetti, quindi, dovranno

bontà del progetto iniziale del sistema di comunica

essere marcati in un modo che permetta di rico

zione e dalla struttura estremamente modulare dei

struire l'ordine preciso, così come lo vedeva il mit

procolli utilizzati; essi, infatti, si sviluppano a livelli,

tente. Nel caso della suite TCP/IP questa suddivisio

o layer e sono congegnati in modo tale che quelli

ne viene eseguita aggiungendo alla parte di

superiori possono "ignorare", in parte o del tutto, i

informazione vera e propria, detta payload (nel

dettagli di realizzazione dei livelli inferiori.

nostro esempio il testo della lettera) una prima

Un po' come quando viene spedita fisicamente una

parte, detta header, (nel nostro esempio la data di

lettera in una busta: il livello più alto, il mittente,

spedizione) che contiene tutta una serie di campi

deve soio controllare alcune informazioni, come l'in

ed informazioni che consentiranno la gestione di

dirizzo di destinazione e l'affrancatura, mentre può

ogni specifica porzione di dati.

- e deve - ignorare come vengano implementati (cioè messi in pratica) i livelli inferiori, ad esempio il trasporto: il mittente ignorerà il mezzo di trasporto

fisico della busta, che potrà essere treno, aereo o bicicletta... l'importante è che venga consegnata a destinazione.

Affinchè una applicazione possa interagire con altri computer collegati in rete deve poter inviare "dati", organizzandoli in modo che possano essere "spediti":

tornando all'esempio precedente, la lettera è il dato

INFORMAZIONI

lo sapevate che... Le reti "a commutazione di pacchetto" sono nate per scopi militari: era infatti necessario sviluppare un protocolio che permettesse, anche in caso di guerra, di stabilire la comuni

cazione tra due impianti militari. Grazie all'accorgimento di scomporre le informazioni e lasciarle viaggiare tra host diffe renti lo scopo è stato raggiunto pienamente...

da spedire, la busta è la struttura che il dato deve

avere per poter essere inviato. Nella suite TCP/IP, avremo che la veicolazione delle

A grandi linee, questo è esattamente ciò di cui si

informazioni sarà a carico di due protocolli, detti

occupano questi due protocolli: TCP infatti imple

appunto procolli di trasporto, il TCP (Trasmission

menta un canale per la trasmissione dei dati, si

Contrai Protocol) e UDP (User Datagram Protocol).

preoccupa di suddividere i dati (detti TCP segmenti

Prima di proseguire, è bene approfondire alcuni

passatigli dalle applicazioni e gestisce l'eventuale

concetti fondamentali della moderna comunicazio

ri-trasmissione dei pacchetti necessaria per quelli

ne: ogni volta che si vogliono scambiare dati con un

non correttamente arrivati a destinazione (se un

host remoto, ad esempio un file di grandi dimensio

pacchetto si perde, il protocollo provvede autono

ni piuttosto che una E-Mail con le ultime previsioni

mamente a rispedire il pacchetto); UDP invece,

di Borsa, essi vengono, ogni volta, suddivisi in parti

offre un servizio molto più semplice: esso invia pac

più piccole {chiamate pacchetti) ed organizzati in

chetti di dati (detti UDP datagram) da un host ad un

modo tale che sia possibile, per il ricevente, rico

altro senza preoccuparsi del fatto che essi giungano

struire l'informazione originaria.

effettivamente a destinazione.

Non sempre la comunicazione segue questo proces

Attraverso questo protocollo (UDP) quindi non viene

so di "pacchettizzazione": per quanto sia possibile,

stabilita una connessione preventiva tra i computer

in alcuni casi, un collegamento diretto con il computer

coinvolti nella comunicazione (per questo è detto

Un esempia reale di funzionamento Consideriamo due host sulla stessa rete locale Ethernet che vogliono comunicare attraverso il pro tocollo HTTP; non a caso abbiamo chiamato un host

HTTP client ed un altro HTTP server: la maggior parte delle applicazioni di rete sono disegnate in modo tale che una parte sia considerata il client dell'applicazione, mentre l'altra si preoccupa di assolvere le funzioni di server, ovvero offre un ser

vizio specifico ai client (tale architettura prende il nome di modello client-server). In questo caso, visto che si parla del servizio HTTP, si intende la

possibilità di consultare una pagina web resa dispo nibile da un qualsiasi server web remoto (ad esem pio Apache). In figura 1 vengono specificati quattro protocolli:

HTTP, TCP, IP ed Ethernet; la suite TCP/IP è quindi client A richiede una pagina web al server B: ecco i diversi protocolli implicati nella connessione

una combinazione di diversi protocolli che prende il nome dai due protocolli più significativi quali il TCP e l'IR.

Mentre il livello Ethernet, il più basso, gestisce i det tagli per la comunicazione con il mezzo fisico, ed il livello applicazione, il più elevato, si preoccupa della gestione di una specifica applicazione che supporta il protocollo HTTP (nel nostro caso un qual

siasi browser), c'è da chiedersi cosa avviene nei Frame

IP datagram

Bthemef Ethernet Header

Heoder

TCP Header

Dati (payload)

TCP segment Ethernet

TCP

Application

piani intermedi. Il comportamento dei vari livelli si ricollega al fatto

che essi permettono una astrazione di quelli supe riori rispetto a quelli inferiori: questa astrazione, in pratica, si attua aggiungendo, al dato iniziale (che ricordo viene detto payload) creato dal livello appli cazione, una serie di informazioni (header) prima

del dato stesso, come visibile in figura 2. Potremmo quindi dire che, ogni pacchetto TCP [TCP Un pacchetto spedito utilizzando il

protocollo Ethernet: ogni livello aggiunge un header con alcune informazioni

segment) prodotto dal nostro client, viene inserito

in un pacchetto IP (IP datagram), che a sua volta viene incapsulato nella frame Ethernet e spedito sulla rete. Quando esso giungerà a destinazione, il server estrarrà il pacchetto IP dal frame Ethernet

connectionless) e qualsiasi meccanismo di sicurez

ricevuto, per poi ricavare il pacchetto TCP contenu

za della trasmissione o della connessione dovrà

to in esso e quindi il dato.

essere implementato, se necessario, dalle applica zioni di livello superiore.

Il formato dei pacchetti e

Tale protocollo, anche se molto più inaffidabile, risulta di fondamentale importanza per quei servizi di rete (ad esempio per ogni query o risposta del

E' arrivato il momento di dare uno sguardo più da

DNS) che necessitino di una elevata velocità anche

vicino al formato dei pacchetti TCP e IP, in modo da

a discapito della sicurezza: infatti, in tali casi, può

capire dove e come vengono memorizzate le princi

essere accettabile dover semplicemente procedere

pali informazioni. Il pacchetto IP (visibile in figura 3),

con una nuova richiesta nei caso di una perdita di

è formato da un Header (di 5 o 6 parole da 32 bit)

qualche pacchetto.

più un Body, che contiene il payload (ovvero i dati

Una volta che questo canale trasmissivo è stato

incapsulati) del messaggio.

definito (mediante TCP o UDP). occorre organizzare

Nel campo Protocol viene inserito il protocollo utiliz

il movimento dei pacchetti sulla rete, ovvero occor

zato {sostanzialmente TCP o UDP, ma anche ICMP)

re determinare il percorso che questi diversi miliardi

mentre nei campi Source Address e Destination

di pacchetti dovranno seguire, istante per istante,

Address gli indirizzi IP rispettivamente del mittente

per giungere a destinazione.

e del destinatario.

Questa funzione viene svolta da diversi protocolli,

Il pacchetto TCP (mostrato in figura 3), è anch'esso

ma fecalizzeremo la nostra attenzione sul solo pro

formato da un Header di 20 byte più il Payload che

tocollo IP {Internet Protocol).

contiene i dati nel segmento. In questo pacchetto si notino i campi Source Port e

INFORMAZIONI

La Three-Way

(15:28:41.231816) è possibile notare i due host coinvolti nella

Handshake

comunicazione (nautilus.unipg.it. 1803 > seti.unipg.it.telnet) ad ognuno dei quali viene associata la relativa porta (ovvero viene creato un socket): ephemeral per il client (la 1803) e

II TCP è un protocollo connection-oriented: prima che uno degli interlocutori possa comunicare deve essere stabilita una connessione tra le parti. I passi fondamentali perché questo avvenga sono tre:

well-known per il server (la 23, indicata con il .telnet, essendo una porta nota). Dopo ciò, è presente una S che sta ad indicare che la flag di

SYN nell'header del pacchetto TCP è settata (ciò indica che una connessione sta iniziando): segue quindi l'ISN del client

> II client invia un pacchetto con la flag di SYN settata specificando il numero di porta del server al quale vuole connettersi ed il proprio numero di sequenza iniziale ISN (Initial Sequence Number); > II server risponde con un pacchetto contenente di nuovo la

flag di SYN settata, l'ISN del server e quello del client

(3579088597) e la finestra TCP (window) di trasmissione in byte (win 64240). Nel secondo pacchetto, molto simile al primo, è presente l'ISN

del server (1881957154) e l'acknowledgement dell'ISN del client (ack 3579088598). Nel terzo ed ultimo pacchetto, che conclude la 3-Way

precedentemente ricevuto, incrementato di uno

Handshake. è possibile notare subito un punto ■

(acknowledgement);

(che sta ad

indicare che nessuna flag TCP è settata) seguito da un ack 1

> A sua volta il client rispedisce al server il suo ISN

(detto relative sequence number acknowledgement) che in

incrementato di uno. effettuando il secondo

questo caso corrisponde all'ack dell'ISN del server, ovvero

acknowledgement e stabilendo così la connessione.

1881957155.

L'intero processo prende il nome di Three-Way Handshake

Si noti come gli ISN di client e server siano diversi; questo è

(letteralmente "stretta di mano a tre fasi").

ciò che ci si aspettava in quanto, essendo in presenza di una

Come esempio pratico, nel riquadro seguente si mostra, attra

rete a commutazione di pacchetto, dove ogni pacchetto è

verso uno sniffer di rete - un programma che permette di

indipendente dagli altri in fase di trasmissione, ognuno di essi

mostrare il contenuto dei dati circolanti sulla rete - quali pac

conterrà un valore numerico diverso, via via incrementato,

chetti vengono spediti e ricevuti quando si vuole instaurare

che lo distingue in relazione ad ogni singola connessione.

una connessione fra due host, Nel caso in esame i due client

Da questo momento in poi, la connessione risulta stabilita ed

saranno nautilus (il client) e seti (il server); nautilus cer

il ciient ed il server possono realmente iniziare a comunicare

cherà di collegarsi tramite telnet a seti.

ed a scambiarsi dati; al termine della [oro comunicazione il

Quelli mostrati sopra sono gli header dei primi tre pacchetti

client indicherà di aver terminato l'invio delle proprie richieste

che permetteranno l'avvio della comunicazione, ovvero i tre

(ovvero vorrà terminare la connessione) mediante un pacchet

pacchetti che realizzano la Three-Way Handshake.

to TCP contenente la flag di FIN (FINal acknowledgement) e la

Sul primo pacchetto possiamo notare alcune informazioni

connessione sarà chiusa dal server attraverso un pacchetto

molto interessanti: dopo il cosiddetto timestamp

TCP contente la flag di RST (ReSeT connection}.

15:28:41.231816

nautilus.urilpg.lt.

1803

seti.unipg.lt

.teLuet

: S

3579088597:3579088597(0)

win

6424G

15:2B:41.231970

seti.iinipg.it.

telnet

nautilus.unipg. 11

.1803

: S

1881957154:1801957154(0)

ack

3579G88598 win 5B40

15:28:41.232111

nautUus.unipg.it.

1803

seti,unlpg.lt

.lelnel

ack

1 win

642-10

Destination Port, che conterranno rispettivamente i numeri di porta del mittente e del destinatario (vedremo nel paragrafo successivo di capire cosa

sono ed a che cosa servono), i campi relativi ai Sequence Number ed Acknowledgement Number

Vers

TOS

HLen

Flags

Identification

TTL

ed il campo Window, che contiene il numero massi

Length

mo di byte che il ricevente è in grado di accettare.

Offset

Il mittente potrà quindi continuare a spedire senza

CRC

Protocol

aver avuto conferma della ricezione dei dati inviati

Source Address

fino al limite impostato nella Window: se poi non

Destination Address

arriverà una conferma (acknowledgement) per tali

Options (w/ Padding)

dati, essi stessi verranno ritrasmessi in seguito allo

Payload

Destination port

Source port

Sequence number

Rat.

>■

checksum

considerata un buffer temporaneo in scrittura per il mittente e in lettura per il ricevente. Nel commentare ciò che contiene il pacchetto TCP

Acknowledgement number Offset

scadere del time-out; la Window può di fatto essere

ci siamo volutamente dimenticati delle flag TCP;

window

esse consistono di sei bit (i quali possono essere

Urgent pointer

"accesi" anche contemporaneamente a seconda

Payload

del particolare significato) che specificano una serie di azioni da intraprendere (ad esempio iniziare o

chiudere una connessione, come vedremo più avan In alto, il formato di un pacchetto IP. In basso, quello di un pacchetto TCP

ti} e riportano informazioni sullo stato della connes sione stessa, in particolare quelli di interesse sono:

^ SYN

INFORMAZIONI

sincronizza i sequence number per iniziare una connessione;

ACK

convalida l'acknowledgement number;

FIN

indica che il mittente ha finito di inviare i propri dati;

RST

resetta e chiude al connessione;

tasì

una connessione

Ogni connessione completa prevede i seguenti passi: 0 11 client ed il server sono inizialmente in stato di closed: 1 II server crea un socket ed entra in stato di listen {apertura passiva);

Pori Humber e SocRet Ogni applicazione viene identificata, dai livelli di tra sporto TCP e UDP, attraverso numeri di 16 bit chia

mati port number.

2 II client crea anch'esso un socket, invia un segmento TCP con ii flag 5YN settato ed entra in stato di SYN Sent (aper tura attiva); 3 Avviene la Three-Way Handshake: il client ed il server sta biliscono la connessione ed entrano in stato di established;

Ogni servizio è identificato da un preciso numero di

4 Avviene il trasferimento dei dati;

porta, in un intervallo compreso fra 0 e 1023 (tali

5 II client rilascia la connessione inviando un segmento con

porte vengono dette well-known port number); ad

esempio ogni Telnet Server è associato alla porta 23 {TCP), ogni HTTP Server è definito sulla porta 80 (TCP) mentre i'implementazione del TFTP (Trivial File Transfer Protocol) è mappato sulla porta 69 UDP: potete darne uno sguardo alle porte presenti nel file /etc/services.

Per ogni host, la coppia "indirizzo IP/porta" prende il

tenente la flag FIN settata ed entra in stato di FIN Wait 1:

6 II server lo riceve e invia un ACK entrando in stato di dose wait:

7 II client, ricevuto l'ACK. entra in stato di FIN Wait 2, che è caratterizzato dalla chiusura della connessione dal client al server:

8 II server chiude anch'esso la connessione inviando un pac chetto con la fiag di FIN settata e si porta in stato di Last ACK:

nome di socket. Ogni comunicazione in Internet tra

9 II client riceve il pacchetto di FIN ed invia un ACK attivando

due socket viene di fatto resa univoca: tipicamente

un timer al termine del quale potrà effettivamente termi

potrà esistere, in ogni istante, un solo indirizzo IP

nare la comunicazione: questo tempo di attesa è necessa

(client) che, attraverso una applicazione, "apre una porta" (compresa tra 1024 e 65535) e comunica con un altro indirizzo IP (server) che ascolta su una porta

standard (80) relativa al servizio in essere (server

rio per aspettare che, nel caso in cui l'ultimo ACK vada perso, il server possa rispedire un nuovo pacchetto di FIN;

IO II server riceve l'ACK finale del client e chiude la comunica zione con un pacchetto contenente la flag di RST settata.

HTTP). Un client, di solito, non deve prestare attenzione a

APPROFONDIRE

quale numero di porta utilizzare dalla propria parte:

tutto ciò di cui ha bisogno è di essere sicuro che esso sia unico all'interno dell'host. I port number iato client sono chiamati ephemeral port number. questo

perché, tipicamente, un client esiste solo mentre l'u

Riferimenti ulteriori Tantissimi sono i link web che parlano di reti, vi segnalo in particolare: http://en.wikipedia.org/wiki/TCP/IP

tente, attraverso un'applicazione, utilizza uno speci

Tra i libri un must è la serie di Richard Stevens "TCP/IP

fico servizio. Un server invece è sempre in esecuzio

Iliustrated", pubblicato da Addison-Wesley.

ne fino a che l'host risulta acceso. Ad esempio il servizio di Domain Name System (DNS) utilizza entrambi i protocolli TCP e UDP sulla

Quindi, per il corretto funzionamento di una rete,

porta 53, il servizio di Telnet utilizza la porta 23 su

ogni host deve saper compiere questa distinzione:

TCP e HTTP l'80, sempre su TCP.

ciò avviene grazie all'ausilio delle subnet mask (let

Inoltre, ogni sistema Unix utilizza il concetto di porte

teralmente, maschere di sottorete), dette anche net-

riservate: infatti, solo attraverso i privilegi di superu-

mask, che indicano quale parte è riservata all'indiriz

tente (root) è possibile utilizzare le porte inferiori alla

za m ento della rete e quale è invece riservata

1024, mentre le restanti sono di solito utilizzate, da

all'indirizzamento dei singoli host.

ogni implementazione TCP/IP, per le ephemeral pori.

In particolare abbiamo:

L'indirizzamento

classe A da 0.0.0.0 a 127.255.255.255 (netmask 255.0.0.0); c/asse B da 128.0.0.0 a 191.255.255.255 {netmask 255.255.0.0); ctesse Cda 192.0.0.0 a 223.255.255.255 (netmask 255-255.255.0).

Ogni computer, ma più precisamente ogni interfaccia

di rete, per comunicare deve avere un unico indirizzo

Alcuni di questi indirizzi IP, però, non sono disponibili

Internet, chiamato indirizzo IP.

su Internet, ma sono riservati all'uso all'interno delle

Questi indirizzi sono normalmente scritti attraverso

reti locali: vi sono indirizzi privati appartenenti a cia

quattro numeri decimali, uno per ogni byte di indiriz

scuna classe, A, B e C. In particolare, tutti gli indirizzi

zo (notazione chiamata dotted-decimai); essi sono

della classe A lO.x.y.z, sono liberi per usi locali, con

inoltre organizzati in classi (sostanzialmente tre se

ben 16 milioni di indirizzi IP. Anche gli indirizzi da

tralasciamo le classi particolari o quelle riservate per

172.16.x.y a 172.31.x.y sono disponibili per usi loca

usi futuri) e si differenziano per il fatto che viene

li: si tratta di 16 classi B da circa 65.000 indirizzi cia

riservato un numero diverso di byte per specificare la

scuna. Infine, gli indirizzi privati nelle classi C appar

rete di riferimento piuttosto che l'indirizzo IP dell'host

tengono al range 192.168.x.y, ossia 254 classi C da

all'interno della rete stessa.

254 indirizzi IP ciascuna.

Teoria: una introduzione

al protocollo HTTP L'Hi/pcr-Tcxt Transfer Protocol è alla base della comunicazione che

sottende tiliti struttura del World Wide Web: scopriamo insieme come funziona, i suoi limiti e le sue potenzialità.

Carlo Manuali <c.manifaU@Unuxpratico.com>

III protocollo HTTP,

acronimo di Hyper-Text

Transfer Protocol, è un insieme di regole che stabilisce "come" le risorse su internet (file

la transazione HTTP

html, immagini, documenti di diverso tipo} debbano essere scambiate tra un server ed un client.

Come detto,

Esso definisce, insieme al più sicuro HTTPs, il

client/server: un client HTTP apre una connessione

anche HTTP

utilizza il

modello

celebre World Wide Web, o, più semplicemente

ed invia un messaggio di richiesta ad un server

web, almeno per come questo ultimo è general

HTTP; questo ultimo restituisce al client un messag

mente inteso.

gio di risposta che. di solito, contiene la risorsa che

Questo protocollo, come molti altri, segue il modello

è stata richiesta. Dopo aver ricevuto risposta, il

client/server: esiste un client HTTP, rappresentato

server chiude la connessione (questo nella versione

da un quasiasi browser (ad esempio Mozilla o

1.0 del protocollo; nella versione 1.1 il server può

Internel Explorer), che invia richieste ad un server

rispondere a più richieste prima di chiudere): per

http (ad esempio Apache, Microsoft IIS), che si

questo modo di operare il protocollo viene definito

preoccupa di restituire le opportune risposte.

stateless, ovvero non mantiene alcuna informazione

HTTP lavora sopra lo stack TCP/IP, rispondendo

di stato tra connessioni successive.

generalmente alle richieste effettuate alla porta 80

L'esempio di richiesta HTTP inviata da un browser

(sebbene sia possibile specificare qualsiasi altra

potrebbe essere la seguente;

porta, come vedremo più avanti negli esempi pro posti in questo articolo) e si colloca a livello applica

GET

/index.html

HTTP/1.0

zione, ovvero all'ultimo livello che interagisce con lo spazio utente.

La seguente è un esempio tipico di risposta

Come mostrato in figura 1. ogni richiesta HTTP (o parte di essa) verrà incapsulata in un pacchetto

Header-Hame:

valore

TCP, a sua volta passato al livello IP che verrà infine

Header.Naroe:

valore

spedito sulla rete tramite l'interfaccia fisica, gene

taltri

ralmente una scheda Ethernet; ogni passaggio di

livello comporterà quindi l'aggiunta degli opportuni

<corpo del messaggio

header]

(opzionale)?

header specifici del particolare protocollo. Analizziamo in dettaglio cosa è avvenuto: è stata utilizzata la parola chiave GET, che è uno dei meto

di più comuni utilizzati con il protocollo HTTP; esso, sostanzialmente, serve a richiedere una risorsa, nel nostro caso il file index.html della root.

Uteri*

Il percorso specificato come secondo parametro (/index.html) è relativo alla risorsa locale che viene richiesta ai server web con il quale è stato

Doti (lichi est a htlpj

instaurato il collegamento.

Elhernei Hcoder

TCP

Doli (mhieslD htlp) s: ■., ■■"*.:■

Heodof

o livello TCP (TCP segmenl)

TCP

Doli (richiesta http) iiccpWal;

Headei

Header

a livello IP {IP dorogrom)

IP Header

ICP Header

Doli ( richieda http) incapiti lai i

L'ultimo valore è la versione del protocollo HTTP uti lizzata, che può essere la 1.0 o la 1.1, più recente e ormai standard tra i browser più moderni.

Una tipica linea iniziale di risposta potrebbe essere:

a livella Ethernet (Elhernet Fiume)

HTTP/1.1 2G0 OK

Date: i

) Uno schema dell'incapsulamento di una richiesta HTTP in una connessione

Wed.

Server:

14 Apr 2G04

Apache/2.8.47

13:21:14 GMT (Debian GNU/Linux)

La prima riga è un controllo sullo stato della richie sta: in dettaglio, viene specificato la versione del

INFORMAZIONI

y) Altri metodi: HCftP, POST

una form HTML) sia con il metodo GET che con il metodo POST; diventa però indispensabile utilizzare quest'ultimo quando i dati trasmessi risultano essere dati sensibili che

A fianco del metodo GET. il più utilizzato per effettuare una

devono essere mantenuti segreti e protetti da sguardi indi

semplice richiesta, esistono almeno altri due metodi di uso

screti, come ad esempio informazioni di autenticazione o

comune: HEAD e POST

numeri di carta di credito.

Una richiesta effettuata con il metodo HEAD. è identica ad

In particolare, l'invio di informazioni attraverso form HTML o

una qualsiasi richiesta effettuata con il metodo GET, eccetto

tecniche simili (come l'utiìizzo di campi HIDDEN) è uno dei

che HEAD richiede al server di restituire solamente gli header

metodi die permettono di implementare la persistenza delle

della risorsa specificata e non l'eventuale risorsa stessa; per

connessioni (o la loro illusione...) sul protocollo HTTP. ovvero

esempio, tale metodo è utile per determinare le caratteristi

la possibilità di mantenere le informazioni su quello che si è

che di una risorsa senza effettuarne il download.

fatto in precedenza senza perdere quindi il proprio stato.

Il metodo PO5T invece è utilizzato per inviare dati da un client

Tipicamente il server, ricevute le opportune informazioni, può

al server; tipicamente viene utilizzato all'interno di script CGI

manipolarle, aggiornarle e restituire il nuovo stato al client;

o simili per trasmettere informazioni quali ad esempio login e

ciò è reso possibile attraverso l'utilizzo dei cosiddetti cookies

password per l'accesso ad una risorsa protetta. Esso differisce

(letteralmente "biscotti"), ovvero semplici file di testo memo

dal metodo GET per i seguenti caratteri:

rizzati temporanea

> esiste sempre un blocco dati nel corpo del messaggio che

contengono una

mente sul client che segue gli header della richiesta;

serie di informazioni

> i dati passati non sono visibili sulla URL inviata al server (e

persistenti, definite

quindi ad esempio non vengono memorizzati sui file di log

dal server, che

del server web), ma contenuti all'interno della richiesta

identificano univo

stessa:

camente l'utente

> la risorsa richiesta è di solito un programma per manipolare

web permettendo

i dati inviati e non una risorsa da restituire;

quindi al server

> la risposta HTTP è normalmente l'output del programma e

stesso di capire a

non un file o simili.

che punto era arri vata la transazione

E: quindi possibile effettuare l'invio di dati (ad esempio attraverso

INFORMAZIONI

I codici di stato

e di proseguirla.

protocollo HTTP utilizzato (riprende, in questo senso, l'ultimo campo della richiesta formulata dal browser. come visto poco sopra), viene riportato un codice di ritorno che, nel caso specifico. 200 OK.

Ecco i più comuni codici di stato restituiti dal server: lxx indica un messaggio informativo; 2xx

indica una richiesta che ha avuto successo;

3xx indica una redirezione della richiesta su un'altra locazione; 4xx

indica un errore nella richiesta da parte del client;

5xx indica un errore nella risposta da parte del server.

Alcuni esempi tra i più frequenti: 200 OK

la richiesta ha avuto successo e la risorsa viene restituita nel corpo del messaggio: 301 Moved Permanently

la risorsa richiesta è stata assegnata permanentemente ad

indica che la risorsa richiesta è stata restituita correttamente.

Seguono alcune linee di intestazione che riportano

informazioni circa le richieste, le risposte e gli oggetti presenti nel corpo del messaggio; ad esem

pio possono essere presenti informazioni sulle auto rizzazioni, sul tipo di contenuto, sulla data dell'ulti

ma modifica della risorsa, sulla data di scadenza, la lista dei metodi consentiti, il tipo di browser o se la pagina può essere o meno posta nella cache del browser.

Come ulteriore esempio di risposta si riportano gli header di una pagina web (index.php) di un server

un'altra URL. il client dovrebbe utilizzare la nuova URL per

web Apache con il supporto al linguaggio PHP; si

accedere alla risorsa;

noti che dopo un'ora la risorsa non sarà più valida

302 Moved Temporarily

ed il client dovrà effettuare una nuova richiesta per

la risorsa richiesta risiede temporaneamente su un'altra

URL, il client dovrebbe continuare ad utilizzare l'URL originaria:

401 Unauthorized

la consultazione della pagina. Date:

Sun,

08 Feti

2004

17:54:58 GHT

la risorsa richiesta richiede l'autenticazione da parte del

Server: Apache/1.3.20 {Unix)

client: tipicamente è necessario disporre di login e password per accedere a risorse di questo tipo;

X-Powered-By:

PHP/4.0.6

Eipires:

403 Forbidden

Sun.

Content-Tyoe:

Feb 2894

PHP/4.9.6

18:24:58 GHT

text/html

il server ha interpretato la richiesta, ma non si dispongono

i giusti permessi per accedere alla risorsa: tipicamente si parla di directory il cui accesso è consentito solo ad alcune reti o indirizzi IP o, ancora, problemi di permessi: 404 Not Found

il server non ha trovato la risorsa richiesta; 500 Internai Server Error

il server ha generato un errore interno che non ha permesso l'elaborazione della richiesta.

L'ultima parte, opzionale, di un qualsiasi messaggio HTTP è il Message Body; comunemente, si trovano qua gli eventuali dati che il client invia al server (come ad esempio i parametri per effettuare una

ricerca) piuttosto che la risorsa che il server invia, su richiesta, al client, come ad esempio un file testuale, un'immagine o un archivio.

Wirtual Host e HTTP/1.1

si desidera connettersi nell'apposita barra del browser

Come si è potuto osservare è sufficiente utilizzare

e premere Invio. Ma cosa accade dopo?

un browser per effettuare richieste HTTP: per "sco

Il browser risolve l'indirizzo recuperando il relativo

prire" il protocollo, è possibile utilizzare il comando

IP, ed effettua, se non viene specificata nessun'al-

telnet collegandosi alla porta 80 del server web, in

tra informazione a parte il dominio, una richiesta di

questo modo

tipo GET sulla root del dominio richiesto. Non si incontrano problemi fino a quando un server

telnet

indirizzo server web

Web è configurato per fornire risorse di un solo

dominio (ad esempio, http://wvw.alfa.org). E' molto semplice: basta digitare l'indirizzo al quale

Ma se io stesso server Web potesse fornire anche le risorse (pagine, immagini) di un aftro sito, ad esem

INFORMAZIONI

lo standard CGl Con CGl (acronimo di Common Gateway Interface) si fa riferi

pio www.beta.org oppure www.gamma.org? La richiesta che è stata effettuata inizialmente

GET

HTTP/1.6

mento ad un protocollo standard che specifica una serie di

in nessun modo specifica quale siano le risorse

variabili d'ambiente e di regole per la gestione della comuni

desiderate.

cazioni tra un client e un server mediate il protocollo HTTP.

Questo è uno dei limiti della versione 1.0 del proto

I cosiddetti script CGl sono quindi dei programmi che vengo

collo HTTP: ad ogni coppia (Indirizzo

no eseguiti sul server web per intraprendere una serie di azioni a seconda degli input forniti in ingresso: tipicamente raccolgono una serie di parametri provenienti dal client. li

IP,

porta),

può corrispondere un solo dominio. Questo, quando gli indirizzi IP sembravano veramente tanti e si

elaborano localmente, e producono l'opportuna risposta,

potevano associare vari indirizzi al server web {uno

adeguatamente formattata. Tali programmi possono essere

per ogni dominio ospitato), non era un problema.

scritti utilizzando diversi linguaggi come C, C++, Peri, Shell

Quando gli indirizzi IP si sono dimostrati assai limi

Unix, TCL, JAVA ed altri ancora.

tati in numero, si è dovuto correre ai ripari: la solu

Le variabili CGl - come ad esempio la "celebre" QUERY STRING, che contiene tutte le informazioni presenti dopo il ? in una URL oppure le variabili CONTEWTTYPE o CONTEA LENGTH utilizza

zione si chiama HTTP l.l, la nuova versione del pro tocollo. Fino alla 1.0, infatti, l'unico modo di avere

te rispettivamente per specificare il tipo e la lunghezza di un

più domini forniti dal solito server web era di asso

messaggio HTTP - possono essere manipolate attraverso pro

ciarli a diverse coppie IP:porta.

grammi che vengono eseguiti sul client, scritti attraverso lin

Spesso TIP era unico e l'unico modo possibile di

guaggi come Javascript o VBscript.

procedere consisteva nell'assegnazione di porte diverse ai vari URL, in questo modo:

INFORMAZIONI

ubi, ubi Una URL (acronimo di Uniform Resource Locator) è l'indirizzo

di una risorsa che è recuperabile attraverso uno dei protocolli (chiamati schemi) distribuiti su Internet. Nel caso del protocollo HTTP, una URL è definita dalla sintassi: ctipo schema>;//<http server host>:<http server oort> </percorso alla_ri5orsa>?=parametri delta query>

ad esempio: http://www. alt relinux. coni :8G/index.php

o più semplicemente: http://www.olt relinux. corti

Una URI (acronimo di Uniform Resource Identifier) è la defini zione più astratta per l'accesso alle risorse in maniera univer sale; in particolare, una URL è semplicemente un sottoinsieme

delle URI che fa utilizzo del concetto di "locazione di rete" per la definizione dì una risorsa, mentre una URN utilizza il concet to di "nome persistente". Le URI di uso più comune sono: ftp://ftp.is.co.za/rfc/rfclS08.txt Schema (ftp) per il servizio di trasferimento file;

http://www.kernel.Org/pub/linux/kerneT/v2.6/patch-2.6.3.bz2 Schema (http) per il servizio di trasferimento di ipertesti;

mai!to:c,manuali@oltrelinux.cam

Porta

http://www.alfa.org

Porta 8089

http://wwvi.beta.org

Porta eaei

http://hww.gamna.crg

Più che una soluzione, si trattava di una toppa, visto che. a parte www.alfa.org, gli altri indirizzi dovevano essere raggiunti con un URL di questo tipo, assai scomodo e poco immediato http://www.beta.org:8080 http://wvw.gamma.org:8081

Perché, digitando solo http://www.beta.org sul browser, senza specificare alcunché, si sarebbe raggiunto rURLwww.alfa.org e non quelio richiesto. Con HTTP l.l la soluzione diventa elegante; anziché effettuare una semplice GET, la richiesta diventa un minimo più complessa: GET

Host:

HTTP/1.1 wrto,alfa.org:80

Adesso, anche se più URL vengono tradotti in un

solo indirizzo IP, la direttiva Host non permette equìvoci di sorta.

GET

Host:

HTTP/1.1

www.alfa,org:80

Schema (maìlto) per il servizio di posta elettronica: news:comp.infosystems.www.servers.unix Schema (news) per il servizio di newsgroups.

HTTP/1.1

2GG

Date: Wed,

14 Apr 2064

14:16:29 GMT

Server: Apache/2.0.47 (Debian GNU/Linux)

Last-Modified: ETag:

Wed,

14 Apr 28B4

Date;

14:QS:58 GMT

Accept-Ranges:

Content-Type:

X-Pad:

ETag:

text/html;

Apr

Wed,

Content-Type: X-Pad:

In grassetto si può osservare la richiesta, poi gli

sei

14 Apr 2G94 14:96:17 GHT

bytes

Content-Length:

sei nel dominio dì ALFA

14:17:16 GMT (Debian GNU/Linux)

"638dl-18-7b69484GM

Accept-Ranges:

charset=IS0-BB59-l

avoid browser bug

2B64

Apache/2.Q.-17

Last-Hadified:

bytes

Content-Length:

Wed.

Server:

-Iff31-18-7a475d8e-

text/html;

charset=I50-8859-1

avoid browser bug

nel dominio

BETA

header di risposta e, in rosso, il corpo del messag

gio. Ecco come cambia richiesta e risposta per il

L'output "sei nel dominio di Alfa" e "sei nei domìnio

dominio http://www.beta.org

di BETA" sono il contenuto di due file index.html

GET

sul web server (Apache in questo caso).

posti nella directory radice relative ai virtual host /

Host:

HTTP/l.l www.beta.org:BB

HTTP/l.l

Estensioni al protocollo HTTP: WebPIIV

200 OK

HTTP. come si è potuto verificare. è un protocollo in continua evoluzione. Sono molte le caratteristiche via via aggiunte degne di nota: tra queste, una in particolare risulta estremamente utile. WebDAV, acronimo di Web-based Distributed Authoring and Versioning.

L'uso più semplice che si può fare di WebDAV è la Windows

Mia

(sopra) e Linux (sotto,

f* System: FAT

S»» dsporAfc: 1,ro GB

ij' Parato A t&tialiQ

Wnasm lutai: 24,4 GB

creazione di "dischi virtuali" (figura 2) sul web. interrogabili utilizzando semplicemente dei web browser (quelli di nuova generazione supportano

konqueror):

nativamente le estensioni WebDAV).

una

Tali dischi virtuali possono essere "mappati" sul

condivisione

webbsv può

sistema utilizzato come fossero, a tutti gli effetti,

essere vista

delle unità fisiche, la cui velocità di collegamento,

come un

normale device

ovviamente, dipenderà dalla connessione. Ecco le fondamentali caratteristiche di WebDAV: > la possibilità di creare, eliminare, coilegare ed

1 7«Ei«uaBleF*e MUMUnHprin.

interrogare ie diverse pagine web, per recuperare informazioni come la data di creazione o l'autore della risorsa (properties);

> la possibilità di creare insiemi di documenti orga

INFORMAZIONI

nizzati gerarchicamente, come in un filesystem

(collections);

Bilerimenti e BfCs HTTP: Thè Definitive Guide Autori: D. Gourley, B. Totty - Editore: O'Reilly HTTP Made Really Easy http-7/j marshall.com/easy/http/

:-- la possibilità di mantenere e permettere a più persone di lavorare su una stessa risorsa contem poraneamente, evitando collisioni (locking);

> la possibilità di muovere (ad esempio copiare o spostare) risorse web fra locazioni remote (namespace operation).

What is SSL? http://www.r5asecurity.com/rsalabs/faq/5-l-2.html

R5A-based Cryptographìc Schemes http://www.rsasecurity.com/rsalabs/rsaalgorithm/ WebDAV Homepage http://www.webdav.org/

Thè Common Gateway Interface (CGl) Specification http://hoohoo.ocsa.uiuc.edu/cgi/interface.html

HTTP/1.0 (RFC 1945) http://www.faqs.org/rfcs/rfcl945.html

HTTP/l.l (RFC 2616) http://www.faqs.org/rfcs/rfc2616.html

Uniform Resource Identifiers - URI (RFC 2396) http://www.faqs.org/rfcs/rfc2396.html

HTTP Extensions for Distributed Authoring - WebDAV (RFC2518) http://www.faqs.org/rfcs/rfc251S.htmi

Attraverso le estensioni WebDAV è quindi possibile

avere un unico servizio, l'HTTP. che comprende le stesse funzionalità che di solito vengono offerte da

servizi quali ad esempio FTP (File Transfer Protocol) per il trasferimento di file remoti o CVS (Concurrent

Versions System) per la gestione delle versioni nello

sviluppo di software da parte di una comunità di utenti Internet.

Conclusioni II protocollo HTTP, pur nella sua semplicità, non fini sce certo qua: sono ancora molti gli aspetti da trat

tare (uno per tutti, le connessioni sicure, HTTPs), che verranno analizzate nelle prossime pagine.

Comprendere il DNS: accenni di teoria Capire a fondo il DNS è fondamentale non solo per un utente Umi.x

ma per chiunque abbia a die fare con le reti: siamo di fronte ad un protocollo atipico, utilizzato da tutti gli altri sennzi...

Carlo Manuali <c.manuali@linuxpratico.comj

Ogni persona può essere identificata attra verso una serie di strumenti come la carta d'identità, la patente di guida, un certificato

di nascita o dalle proprie impronte digitali; più o

127.0.e.1

localhost

meno nello stesso modo anche ogni singolo host.

80.17.149.253

karma

collegato ad Internet, può essere identificato con

varie tecniche. Ogni computer, come noto, deve

Tale file deve essere presente per tutti gli host che

essere dotato di un proprio indirizzo IP per poter

vogliono utilizzare tali nomi, un sorta di copia della

comunicare attraverso una rete basata sul protocol

stessa agenda con gli indirizzi.

lo TCP/IP; si parla (per il momento) di 4 byte, solita

E' ancora una soluzione molto utilizzata in ambito

mente espressi in una notazione decimale x.y.w.z.

locale: se avete pochi computer a casa o in ufficio,

Tutte le tecniche di identificazione sono ugualmente

anziché configurare un DNS potrebbe essere una

utilizzate? Certo che no.

prima soluzione utilizzare un tale elenco su

Cosi ogni mattina accogliamo nostra sorella con un

/etc/hosts.

semplice "Buongiorno Claudia", e non attraverso i

I limiti di un simile approccio sono ben noti: pensate

suoi identificativi propri (e univoci) come ad esem

che ogni volta che deve essere effettuata una modi

pio "Buongiorno CI. AE12345678": nello stesso

fica (anche la semplice variazione del nome del

modo, ci si è preoccupati di rendere più semplici,

computer, da Shinji a Ataru ad esempio) costringe

intuitive e mnemoniche tutte le operazioni necessa-

tutti i computer che dispongono di tale file ad

rie in una rete di computer, identificando i singoli

aggiornarlo con le modifiche effettuate, altrimenti ii

computer su Internet con un nome e non con i! pro

nuovo nome del computer. Ataru. sarebbe scono

prio indirizzo IP (www.oltrelinux.com, ad esem

sciuto alia rete.

pio, e non 80.17.149.253)

Se i nomi dei computer da cambiare fossero più di

Raggiungere questo obiettivo, però, non è stato né

uno, addirittura in due centri differenti, andrebbe

semplice né tantomeno immediato. Inizialmente, la

analizzato ii file hosts voce per voce per trovare le

soluzione più semplice che fu trovata riguardò la

modifiche, e creare un nuovo file con le registrazio

scrittura di un file all'interno del quale fossero elen

ni tutte aggiornate...

cati tutti gli host. come in una agenda.

Insomma. c'è proprio bisogno di una centralizzazio

Ad oggi sembrerebbe follia, visto i milioni di host

ne delle competenze!

sparsi per il mondo, ma all'epoca, quando i computer nella rete Internet erano veramente pochi

Arriua il DNS

(qualche decina al massimo), la cosa funzionava e

Per risolvere i problemi appena visti si pensò di pro

anche piuttosto bene.

gettare un protocollo che garantisse scalabilità (non

II file /etc/hosts possiamo considerarlo un retaggio

doveva soffrire più di tanto l'aumento degli host

di quegli anni: in esso, infatti, sono elencati indirizzi

collegati), che organizzasse le informazioni in

IP e nomi dei computer, in questo modo:

maniera gerarchica ma che, allo stesso tempo, ren desse automatica e consistente ogni

INFORMAZIONI

hosts anche su Windows li file hosts è presente anche sulle vari versioni di Windows,

modifica

rispetto all'intera rete Internet (per evitare le sovrapposizioni di nomi e indirizzi IP). La scommessa non era delle più facili: quello che sarebbe nato si configurava come uno dei più grossi

database distribuiti all'interno della grande rete. Né

e mantiene lo stesso formato di quelli presenti nei vari

si poteva centralizzare tutto in maniera totale, solu

Unix. E' possibile rintracciare tale file al percorso:

zione forse facile da implementare, ma sicuramente

\WINDOWS\system32\dnvers\etc\tiOStS

non ottima perché avrebbe sofferto di grossi proble mi di crescita e di gestione.

Considerate che \WIND0WS può cambiare a seconda delle versioni di tale sistema (in alcune installazioni la directory e\WINNT).

l'idea del DHS L'idea di base è semplice, ma è quanto di più inge gnoso sia stato progettato: non potendo sapere

mediante una gerarchla di server dei nomi, sia il

"tutto", si è scelto un approccio diverso, che possia mo identificare con "saper sempre a chi chiedere".

protocollo di livello applicativo che permette agli

Un esempio estremamente banale (e estremamen

host di comunicare con i server dei nomi in modo

te semplificativo, serve comprendere l'idea) chiarirà

da fornire il servizio di traduzione.

l'approccio: gli oggetti di casa hanno una loro collo

Esso utilizza la porta 53 generalmente su UDP (ma

cazione che gli altri membri della famiglia poco

anche TCP) ed è comunque un protocollo applicati

conoscono; la madre saprà tutto della cucina, il

vo leggermente atipico rispetto agli altri servizi; in

padre del garage, voi della stanza dei computer.

effetti gli altri protocolli fanno utilizzo del servizio di

L'approccio "file /etc/hosts" prevede una unica lista

DNS stesso come base circa il proprio funzionamen

che presenta l'indicazione di ogni singolo oggetto di

to, come ad esempio per l'HTTP: in ogni transazione

tutte le stanze, una tecnica di gestione scomoda

di questo tipo, il browser prima di tutto si preoccu

come si è visto: l'acquisto di un nuovo mouse o di

perà di recuperare l'indirizzo IP del server web da

un nuovo trapano obbligherebbe l'aggiornamento

consultare, e solo allora potrà finalmente procedere

della lista per tutti i membri.

all'instauramento della connessione HTTP.

L'approccio nuovo "alla DNS" prevede un "respon

Tale fase di traduzione preventiva viene quindi

sabile" che gestisca la collocazione degli oggetti

effettuata tramite un server DNS che risponde alla

nella propria zona di "controllo": quando qualcuno

richiesta del browser.

vuoi conoscere la collocazione dei DVD vergini,

il DNS fornisce, oltre alla traduzione degli hostname

chiede al responsabile della stanza computer, che

in indirizzi IP, altre importanti funzionalità come ad

gli indicherà la collocazione esatta dove andarli a

esempio l'aliasing degli host: un host con un

prendere.

hostname

Ogni volta deve avvenire questa richiesta? Non

Hostname, può avere uno o più alias (letteralmente,

complesso,

chiamato

nome; ad

Canonical

sempre: ad esempio, se avete appena effettuata

pseudonimi) del

una richiesta dei DVD vergini, e il DVD masterizzato

zeu5-pub.kernel.org corrispondono due alias quali

esempio al

nome

si è rovinato, non sarà necessaria domandare nuo

kernel.org ewww.kernel.org.

vamente riguardo la locazione dei supporti da inci

Se si dovesse cambiare per qualche motivo l'indiriz

dere: è passato un tempo "ragionevole" (poi si

zo IP o l'hostname di uno dei server conosciuto da

vedrà questi termini come vengono formalizzati), e

amici o società e magari registrato su diversi motori

si darà per buono che la locazione precedentemen

di ricerca, ciò risulterà totalmente trasparente

te comunicata sia ancora valida.

attraverso la modifica di poche righe di configura zione: il sito sarà sempre raggiungibile attraverso

Un po' di rigore

l'indirizzo solito (www.kernel.org), anche se in real

Esempi a parte, cerchiamo un minimo di rigore

tà esso corrisponderà ad un diverso hostname con

nelle definizioni: con DNS (Domain Name System) si

un differente indirizzo IP.

identifica sia il database distribuito, organizzato

INFORMAZIONI

I Messaggi DHS

diversi indirizzi IP; quindi od esempio potrà specificare tutti gli indirizzi IP che sono associati al serverwww.kernel.org.

I messaggi di richiesta e di risposta del protocollo DNS pre

authority section: contenuta in un messaggio di risposta,

sentano il formato visibile in figura.

comprende i record di risorsa RR relativi ad altri server elei

I primi 12 byte costituiscono l'header del messaggio, costi

nomi assoluti, ad esempio nella risposta di un root name

tuito da sei campi: il campo ident if ication (2 byte) è un

server che specifica chi sia il server dei nomi autoritativo di

numero che identifica la richiesta; esso viene copiato nel

un particolare dominio.

messaggio di risposta, in modo tale da permettere al client di associare la risposta ricevuta alla richiesta inviata. II campo flags (2 byte) contiene invece diversi indicatori che specificano informazioni quali, ad esempio, se il mes

saggio è una richiesta o una risposta, se un server dei nomi è un server autoritativo per il nome richiesto, se la richiesta è ricorsiva o se il server in questione supporta la ricorsione. l successivi quattro campi (di 2 byte ciascuno) indicano il numero di occorrenze di ogni tipologia di dati presente nello specifico messaggio DNS, in particolare: questions section: contiene informazioni sulla richiesta

(query) che è stata inoltrata: questa sezione comprende il nome che è stato richiesto e il tipo di richiesta relativa al nome: ad esempio se si sta richiedendo l'indirizzo IP di un hostname si parla di query di tipo A, oppure se si stanno

rnUh.ioii.i! information section: contenuta in un messag

gio di risposta, comprende altri record di risorsa RR utili; ad esempio, in una risposta ad una query di tipo MX, conterrà un RR di tipo A che specificherà anche l'indirizzo IP del server di posta, il cui hostnome è già specificato nella sezio ne answers.

idonlificolion

(lag*

numbor of questioni

numhci o( nniv erRRi

number o( outhority RRi

nurnbof ot odo Hi :nol RR&

questioni section (DNS query) answers section

(numero variabile di RR)

ricercando informazioni sul server di posta di un dominio si parla di query di tipo MX.

answers section: contenuta in un messaggio di risposta, comprende i record di risorsa RR per il nome che era stato richiesto in origine: ogni risposta potrà quindi contenere RR multipli, poiché ad un hostname possono corrispondere

121

authority section (numero variabile di RR) odditionol imormalion section (numero variabile di RR)

variabile

INFORMAZIONI

lina zona DNS

zione: se questo non può soddisfare la richiesta - cerca nella propria "memoria", ma non trova la

registrazione - il server locale diventa a tutti gli

Prendiamo spunto da come il più popolare tra i DNS Server.

effetti un ciient che vuole portare in fondo la richie

Bind, gestisce i parametri di configurazione delle zone per

sta per conto del ciient iniziale.

mostrare una loro rappresentazione.

Interroga quindi il server dei nomi radice che, se ha la registrazione richiesta invia la risposta a destina

STTL 3h

casauia.lan. IH SOA

dns.casamia.lan.

2D04D61501

tiostmaster.dns.casamia.tan.

zione, se non ce l'ha gira la richiesta al server DNS

;

Serial

;

Refresh

autoritativo, quello che ha "sicuramente" la risposta

Ìli

;

Retry

alla richiesta posta.

;

Expire

Ih]

;

Negative cache

Il ciient iniziale (il browser) non ha visibilità di tutta questa serie di passaggi effettuati tra vari server

casamia.tan.

tìns

catiera. casamia. lari.

192 .168. ie. tee

cucina.casanua.lan.

192 .168. 1D. BO

sorella.casamia.lan.

192 .168. ie. 90

dns.tasamia.lan.

192 .168. 1Q. 200

.casa mia

. lan.

router.casamia.lan.

192 .168. 10. 1

ns.casamla.lan.

CNAHE

dns

gateway.essamia.lan.

CNAHE

.casa

ila . lan.

DNS: tutto avviene in maniera trasparente. Proprio per migliorare le performance rispetto al

ritardo e per ridurre il numero di messaggi DNS nella rete esiste il cosiddetto meccanismo di caching del DNS. Quando un server dei nomi riceve una correlazione DN5 per qualche hostname, esso la deposita nella sua memoria locale (disco o RAM)

Questa è la struttura di una zona locale di una casa tecnologica. Viene fissato un TTL di 3 ore: tale valore indica la validità della

mentre il messaggio attraversa la catena dei server dei nomi. Data una correlazione hostname/indirizzo

cache relativa alle informazioni della zona stessa: trascorso il

IP depositata nella cache (di solito valida per non

periodo indicato con TTL, sarà necessario effettuare una nuova

più di due giorni), se al server dei nomi arriva un'al

richiesta.

tra richiesta per lo stesso hostname, esso potrà

La direttiva SOA (Start of Autorityì sta a significare che questo DNS è autoritativo per la zona casamia.lan. Il serial è un valore progressivo, che deve essere aumentato ogni volta che viene aggiornata la zona, per far capire altri altri server che sono state effettuate modifiche. Da notare alcuni parametri:

> il campo NS identifica il nameserver per la zona (dns.casamia.lan):

> il campo A indica l'associazione diretta tra hostname e indi rizzo \P (carnera.casamia. lan risolverà l'indirizzo 192.168.10.100);

> il campo CNAME identifica un alias:

router.casamia.T.an e

quindi fornire l'indirizzo IP desiderato anche se esso non rappresenta il server dei nomi autoritativo per

quell'hostname.

Io spazio dei nomi: Domini e Zone Lo spazio dei nomi DNS è organizzato gerarchica mente, sullo stile di un classico filesystem Unix (figura 2) con una radice comune e una serie di

gateway.casalina.lan identificano lo stesso hostname. In questo esempio manca il campo MX. che identifica il server

di posta (che può essere più di uno), il campo PTR, che viene utilizzato per la risoluzione inversa (da un 1P si risale all'hostname), il campo HINFO, che fornisce informazioni

aggiuntive di diverso tipo, ad esempio l'ubicazione delle

macchine o il nome dell'amministratore. Server dei Nomi Radice (Root Name Server]

k.root-servers.net

Come funziona il ONS II DNS è, di fatto, uno degli esempi più riusciti di 'Chiesta /7\

come implementare un database distribuito attra

ncorsiva V+J

verso Internet; esso è difatti strutturato mediante

diversi server dei nomi, organizzati in modo gerar chico e distribuiti in tutto il mondo. Nessun server dei nomi ha tutte le informazioni relative a tutti gli

host in Internet, che sono invece ripartite attraver

Server dei Nomi Locale

Server dei Nomi Intermedio

(Locai Nane Server)

dns.unipg.it

dns.olt relinux. coni

so ogni server DNS, ma gode di una completa auto nomia amministrativa e gestionale per la propria organizzazione di competenza. Quando un server DNS ha un record DNS (una voce nel file di configurazione della zona) che traduce il

Server dei Nomi Assoluto

nome host con il suo rispettivo IP. si dice che quel server DNS è autoritativo per quell'host (ricordate il responsabile dell'esempio iniziale?).

PC Ciient

pc -linux.oltrelinux.com

(Absolule Name Server] dns.mg.unipg.it

Quando vi è una richiesta di risoluzione DNS, ad esempio dal browser, il primo server ad essere

interrogato è quello locale (locai name server), nor

I vari passaggi che possono entrare in gioco nella risoluzione di un indirizzo IP

malmente inserito all'interno della stessa organizza-•■'"■"■-.

foglie; a differenza del filesystem gli indirizzi devo no essere letti al contrario: www.oltrelinux.com. si

leggerà con (.)

{com)

(oltrelinux)

(www): il

caratterizzati dal fatto che essi sono riservati ad organizzazioni degli Stati Uniti;

> arpa domain: dominio speciale utilizzato per

punto in fondo all'indirizzo non è punteggiatura, ma

ottenere la cosiddetta "risoluzione inversa",

indica il termine dello stesso (l'indirizzo è quindi

quando, dato un indirizzo IP, si vuole ricercare il

completamente specificato).

nome DNS ad esso relativo.

I nomi di dominio (o semplicemente domini) di livel

lo più alto sono chiamati Top-Level Domain (TLD); essi si suddividono in tre categorie principali:

Ogni TLD viene gestito da una entità chiamata Registration Authority (www.nic.it per l'Italia), la quale, tra l'altro, definisce ed armonizza le procedu

> country domains: domini di due caratteri che

re di registrazione per i domini di secondo livello

tipicamente indicano reti appartenenti al relativo

{Second Level Domain) del TLD, assegnandone agii

paese (identificato dai country code presenti

intestatari del dominio appena registrato la respon

nelle specifiche 150 3166); ad esempio .it per

sabilità tecnica ed amministrativa.

l'Italia o .de per la Germania;

Ogni porzione dell'albero DNS gestita a livello

> generic domains: domini di tre caratteri che

amministrativo da una diversa organizzazione pren

tipicamente indicano reti commerciali (.com), reti

de il nome di zona: potremmo quindi dire che

internazionali (.int), reti educational (.edu), reti

l'Università di Perugia possiede l'autorità ammini

genenche (.net e .org) e reti militari o reti gover

strativa di gestione per la zona unipg.it.

native (.mil e .gov); questi ultimi due domini sono

A sua volta, qualsiasi gestore di una determinata

zona può prevedere una ulteriore suddivisione interna della zona stessa assegnando la responsabi lità delle nuove 'sotto-zone' create a diverse strut

ture; ad esempio la stessa Università può assegna re la responsabilità della zona dipmat.unipg.it al dipartimento di Matematica e la responsabilità della

zona inf .unipg.it al Dipartimento di Informatica.

Server DNS primari e secondari Per ogni zona vengono specificati, normalmente, due server dei nomi; tipicamente si parla di un Primary Domain Server (DNS Primario) per il server Bt-linu.

ing MUng. li

country

domains

DNS principale che carica tutte le informazioni circa gli host di quella zona e di un Secondary Name Server (DNS Secondario) il quale provvedere ad aggiornarsi con le stesse informazioni presenti nel

J.!

J«

I41.in-twr.ir»»

server primario, al fine di garantire una ridondanza del servizio in caso il DNS Primario dovesse risultare

La struttura del DNS; da notare il TLD arpa,

che permette la risoluzione inversa partendo dall'indirizzo IP e arrivando all'hostname.

non disponibile. Il DNS secondario potrà trasferire le informazioni dal server dei nomi primario senza poter aggiungere, togliere o modificare alcunché; la

risposta di un server DNS secondario, infatti, è

WEBOGRAFIA

Libri e Risorse sul web Computer Networking: A Top-Down Approach Featuring thè Internet - Second Edition" J.F. Kurose, K.W.Ross

"TCP/IP Illustrated. Volume 1 ■ Thè Protocols" W. Richard Stevens

autoritativa come quella del primario. Tale trasferimento di informazioni dal DNS primario al DNS secondario prende il nome di Zone Transfer;

esso è quindi richiesto dal server dei nomi seconda rio tramite una particolare richiesta (un Resource Record di tipo AXFR/IXFR); questa avviene ad inter valli regolari, tipicamente ogni tre ore, ed utilizza

TCP come protocollo di trasporto, perché viene richiesta una maggiore affidabilità. Un ruolo fondamentale nel trasferimento di zona la

> Domain Names ■ Concepts and Facilities

gioca un particolare valore, detto serial number:

http://www.faqs.org/rfcs/rfclO34.html

quando vi è una modifica ai server primario, esso

> Domain Names - Implementation and Specification http://hww.faqs.org/rfcs/rfclO35.html - DNS Extensions to support IP version 6 http://www. faqs.org/rfcs/rf e 1886.html > Incrementai Zone Transfer in DNS

http://www.faqs.org/rfcs/rfcl995.html > Dynamic Updates in thè Domain Name System http://wwrf.faqs.org/rfcs/rfc2136.html

deve essere aumentato rispetto al precedente, in modo da far capire ai DNS secondari che sono state apportate modifiche: proprio per questo, di solito

viene utilizzato come serial number la data in for mato americano {anno-mese-giorno della modifica alla zona DNS) aggiungendo un numero sequenzia le al termine alla cifra così composta, per permette re diverse variazioni nell'arco della stessa giornata.

Conoscere le basi del protocollo FTP In queste pagine ci occuperemo del protocollo FTP, pensalo apposita

mente per il trasferimento di file tra host differenti: un protocollo assolutamente atipico... vediamo perché.

Carlo Manuali <c.manuali@linuxpratico.com>

II protocollo FTP è una delle applicazioni Internet più utilizzate e rappresenta ormai lo standardper quanto riguarda il trasferimento di file fra host collegati in rete.

dalla porta N+l (figura 1).

E' importante sottolineare che FTP permette sola

La modalità passiva risolve diverse problematiche

mente di copiare per intero un file, o una directory,

legate al campo della sicurezza; in particolare, essa

da un sistema ad un altro; per effettuare il trasferi

permette dì non preoccuparsi se il client risieda die

mento sarà necessario disporre di credenziali per

tro un sistema di firewall o NAT: è, infatti, sempre il

l'accesso FTP (spesso le stesse che si utilizzano per

client che effettua le connessioni di apertura e non

altri servizi, come la posta o l'accesso shell via SSH)

il server, che in tal caso dovrebbe disporre delle

suil'host al quale si vuole trasferire il file, o dal

necessarie autorizzazioni per accedere ad ogni

quale lo si vuole scaricare, oppure utilizzare una

client protetto.

modalità particolare dei server FTP, chiamata Anonymous FTP, che consente l'accesso anonimo.

I! protocollo La principale differenza fra questo protocollo e gli altri che implementano i servizi disponibili su

SONO

Internet, è l'utilizzo di due connessioni TCP invece

IN ASCOLTO

SULLA PORTA 1134

di una sola. Rispettivamente, tali connessioni saran no stabilite sulle porte TCP 20 e 21.

Ogni volta che ci si connette ad un server FTP viene stabilita la cosiddetta connessione di controllo, o Control Connection. che rimane attiva per tutta la

durata della comunicazione client/server e serve per scambiare i comandi impartiti dal cìient e le relative risposte del server.

CLIENT

(ACTIVE MODE)

INI7I0 l»

SERVER

CONCESSIONE !

Ogni volta che bisogna effettivamente trasferire un file, viene aperta un'altra connessione, chiamata

connessione dati o Data Connection, e verrà chiu

CONNESSIONE

sa solo a! termine del trasferimento di tale file.

INIZIO

La comunicazione fra un client ed un server

CONNESSIONE

CONTROLLO

CONNESSIONE

DATI

mediante il protocollo FTP può avvenire in due modalità distinte: modalità attiva (active mode) e modalità passiva {passive mode). In active mode, il client si connette alla porta 21 del server da una porta non privilegiata N, con N mag giore di 1024 (figura 1). La connessione viene, quin

di, stabilita ed il trasferimento dei file avverrà tra la porta 20 del server e la porta N+i del client, il quale si mette in ascolto su tale porta e lo comunica al

server durante la fase iniziale di connessione. Con questo approccio, è il server che viene invitato a collegarsi ad una porta specificata arbitrariamente

CLIENT (PASSIVE MODE)

DATI

SERVER

dal client. Nei passive mode, quando un client inizia una con nessione FTP. esso apre nuovamente due porte, N

La struttura del DN5: da notare il TLD arpa,

maggiore di 1024 e N+l. Questa volta, però, sarà il

che permette la risoluzione inversa partendo

server che comunicherà al client una ulteriore porta

dall'indirizzo IP e arrivando all'hostname.

P maggiore di 1024, alla quale il ciient si connetterà

Ciò comporta una gestione più onerosa dal lato del server, ma risolve il problema che molti ammini stratori di rete hanno dovuto affrontare, di concede re l'accesso indiscriminato alle porte maggiori di

1024 verso tutti i client della propria LAN. Le impostazioni per tale modalità vengono gestite

Client

Server

dal lato server dove, fra l'altro, è comunque possibi

Connessioni di controllo;

le restringere il campo delle porte non privilegiate ad un range specificato, al fine di ridurre ancora di più l'esposizione della Linux box che offre il servizio.

av per Is

La rappresentazione

Conntislon* dati:

r schiesta

si oo-nloso

mina :! d il Ali pona ;e alla porta N>1

dei dati

(jreteOp-Tpn^n;» comunicata dal cll-nt

Trovandoci in presenza di sistemi eterogenei, è necessario specificare come un file sia trasferito e

il download è terminato.

memorizzato fra host differenti. Normalmente, FTP intende un file come un flusso

aperta di nuovo, li attesa di altri diti

continuo di byte senza particolari informazioni circa

trasferir»

la sua struttura, le sue dimensioni ed il formato. Si avrà quindi bisogno di un meccanismo per identi ficare queste caratteristiche; in particolare, i pro

C Canale Controllo 1131

1133

D Canale Dati

gettisti di questo protocollo hanno previsto l'esi stenza di due connessioni in modo tale che, mentre Una connessione FTP; i comandi vengono

la connessione di controllo rimane sempre attiva

impartiti tramite la connessione di controllo,

per gestire i comandi, la connessione dati viene

i dati viaggiano sulla connessione dati.

creata e poi distrutta ad ogni trasferimento dati. In questo modo, il flusso di byte trasferito durante

tale connessione corrisponde esattamente al file: il primo byte presente nella connessione è il primo

PQRT 141,250.1,138.4,150

byte del file e la fine è costituita, di fatto, dalla chiu

tonimi ciinncri ii

sura della connessione stessa. Prima di effettuare ogni trasferimento è quindi

SYN

importante indicare a priori se si stia trasferendo un

data connechon

file binario, cioè un documento pdf, un'immagine o un file compresso, piuttosto che un file testuale. La differenza consiste nel fatto che, nel caso di file

In figura, lo schema di collegamento tra

binari, essi vengono trasferiti come un flusso conti

l'host seti.unipg.it e ftp.oltrelinux.com

nuo di bit, mentre quelli di tipo testuale vengono convertiti in uscita dal formato locale nel formato

NVT-ASCII, per poi essere convertiti di nuovo in rice zione da NVT-ASCII nel formato testuale del sistema

La terza cifra quindi specifica informazioni addizio

di destinazione.

nali circa il particolare messaggio; per esempio, col

Questa seconda modalità di trasferimento, necessa

leghiamoci al server FTP ftp.oltrelinux.com e creia

ria in relazione alle diverse modalità di rappresenta

zione del formato testuale su sistemi eterogenei,

documenti:

una directory Docs/

per il

download dei

risulta più lenta in quanto non supporta alcun tipo di compressione ed è soggetta al meccanismo di

doppia decodifica appena descritto.

Connesso a

I comandi del protocolla

ftp

ftp.oT.trelinux.com haro5a.oltrelinux.com.

22B Oltrelinux FTP service. Utente

(karraa.oltrelinux.com:(none)):

Ogni volta che viene stabilita una connessione FTP,

331

si hanno a disposizione una serie di comandi per la

Password:

navigazione all'interno del sito, lo scaricamento,

238

l'upload o la cancellazione di file, piuttosto che la

ftp>

creazione di sotto-directory, se consentito.

2B8

PORT

cornmand

Normalmente, ogni comando FTP impartito dal

15B

Here

comes

client genera una risposta da parte del server di

Hailtiir

una linea contenente 3 cifre ed eventualmente un

mali

messaggio informativo.

publichtrnl

In particolare, la combinazione delle prime due cifre

226

specifica la classe del messaggio e la terza identifi

ftp;

cherà il particolare codice d'uscita positivo o d'erro

ftp>

mkdìr Oocs

re, come mostrato nel riquadro.

257

Please

specify

craanuali

thè password.

Have

fun.

Directory bytes

"/Docs"

successful.

thè

send

using

PASV.

OK.

received

created

Consider

directory Usting.

0,05secondi 0,56Kbyte/sec)

> 150: here comes thè directory listing.

ftp> dir 200 PORT command

successfut.

Consider

using PASV.

Questo messaggio ci indica che l'azione è stata

158 Here Comes thè directory listing.

drwxr-xr-x

2 3053 1986 4G96 Jul 11

drwx

5 3053

drwx drwxr-xr-x

Docs

prima cifra), ovvero si attende II risultato del

2 3053 I960 4096 Jul 06 68:41

mail

comando Is riguardo la directory corrente, e che la

3 3053 I960 4G96 Oct e?

publie_htmt

risposta è appunto relativa a! filesystem del server

258 bytes

send

198G 4096 Dee 27

2991

2Q82

(si ha 5 come seconda cifra).

OK.

receìved

in B.lBsecondi

l,43Kbyte/sec)

ftp> quit ??l

avviata ma non ancora completata (si ha 1 come

Maìldir

2Z6 Directory

ftp:

13:24

Goodhye.

La gestione delle connessioni

Durante questa sessione FTP possiamo notare le

FTP è un servizio che utilizza esclusivamente il pro

risposte del server la cui prima cifra è 2 (ovvero la

tocollo TCP. La connessione di controllo, effettuata

risposta è positiva):

sulla porta 21 TCP, viene utilizzata per stabilire la connessione, e quindi per riportare tutti i messaggi

> 220: connessione effettuata;

relativi ai vari comandi impartiti dal client verso il

> 230: login completato;

server.

> 200: comando OK;

In particolare, è attraverso questa connessione che

> 226: list OK;

il client, nel caso di active mode, specificherà al

> 257; directory creata;

server la porta da utilizzare per il trasferimento dati

> 221: disconnessione completata.

oppure indicherà l'utilizzo della modalità passiva

mediante il comando PASV; in questo caso sarà poi Analizziamo quindi altri due tipi di messaggi:

il server che specificherà al client la porta maggiore di 1024 alla quale il client si dovrà connettere.

> 331: please specify thè password. Password:

Ogni volta che un server o un client debbono speci ficare la porta per la connessione dati, essi fanno

Questo messaggio ci indica che la risposta è positi

utilizzo del comando PORT.

va, ovvero il login inserito è stato accettato, ma

Tale comando prevede come argomenti sei numeri

ancora intermedia (si ha 3 come prima cifra), infatti

decimali che indicano il socket di connessione che

per completare la fase di autenticazione è necessa

dovrà essere utilizzato, ad esempio:

rio inserire anche la relativa password. P9RT

INFORMAZIONI

le risposte del server fTP ed 81 loro significata

140,259,1,138,4,159

In questo caso, l'indirizzo dell'host che invia il

comando è 141.250.1.138, il quale poi specifica all'host ricevente la porta alla quale si dovrà con nettere: dato che il numero di porta viene espresso

attraverso 16 bit, gli ultimi due numeri, previsti per questo scopo, vanno intesi come (4

Risposta lyz

2yz

Descrizione

150,

In figura 3, il client FTP seti.unipg.it, con indiriz

zo IP 141.250.1.138, invia un comando PORT al ser

Risposta positiva completa. L'azione richiesta è

ver ftp.oltrelinux.com specificando il proprio

stata completata ed è possibile inviare un nuovo

indirizzo IP e la porta alla quale il server FTP dovrà

Risposta positiva intermedia. Il comando è stato inviato. Risposta negativa temporanea. L'azione richiesta

non può essere eseguita, ma l'errore è dovuto ad una causa temporanea e io stesso comando

potrà essere inviato successivamente. 5yz

è avviata ed è in attesa di completamento.

accettato ma un altro comando deve essere

4yz

256)

Risposta positiva preliminare. L'azione richiesta

comando.

3yz

ovvero la porta specificata sarà la numero 1174.

Risposta negativa permanente. Il comando non è stato accettato.

XOz

Errore di sintassi.

xlz

Messaggio Informativo.

x2z

La risposta è riferita alla connessione, quella di controllo o quella dei dati.

poi connettersi, nella modalità attiva, per l'effettivo trasferimento dei dati.

Il server risponderà tentando di instaurare la con nessione dati mediante un pacchetto di sincronizza zione 5YN verso il socket indicato.

In active mode, il client invia il comando PORT sulla contrai connection ed il server invia un pacchetto di SYN per cotlegarsi sulla porta specificata, instauran do la data connection.

La connessione relativa alla trasmissione dei dati invece, effettuata sulla porta 20 TCP, viene utilizza ta in tre casi distinti: quando si invia un file dal client al server (upload), quando si invia un file dal server al client (download) e quando viene restitui

x3z

La risposta è riferita alla fase di autenticazione.

ta la lista dei file e delle directory dal server al

x4z

Non utilizzato.

client.

x5z

La risposta è relativa allo stato del filesystem del

Quest'ultima funzionalità viene realizzata, come

server FTP.

mostrato nel paragrafo seguente, mediante la data

connection in quanto ciò evita qualsiasi limite circa

la lunghezza dell'output restituito offrendo inoltre la

linux-2.6.7.tar.gz

possibilità al client di salvare l'output in un file.

linux-2.6.7.tar.gz.5ign

il trasferimento dei file I comandi imperativi durante una qualsiasi sessione

linux-2.6.7.tar.slgn Z26

ftp: