Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

125_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

11.92 Mб

Скачать

☆

<<< < Предыдущая 1 23 / 153 4 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY				>>m
w Click				to	BUY					ferrum
w Click				to						ferrum
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

СкайпфонИГОРЬ ФЕДЮКИН

ASUS AiGuru S2

ТЕХНИЧЕСКИЕХАРАКТЕРИСТИКИ:

Тип: БеспроводнойSkype-фон Дисплей: 128х128 точек, цветной

Беспроводнаясвязь: IEEE 802.11 b/g

Времяавтономнойработы: 3 ч. (врежимеразговора), 25 ч. (врежимеожидания)

Мощностьдинамика: 0,5 Вт

Габариты: 116 x 47 x 12.3 мм

Вес: 72 г

Еслитыактивнообщаешьсяспомощью программыSkype, то, наверное, нераз задумывалсяоприобретенииспециальнойгарнитуры. Иеслитыдосихпор этогонесделал, Skype-фонотASUS можетстатьподходящимрешением. AiGuru S2 — втораямодельSkype-теле-

фонаотASUS. Онсталпривлекательнее нетолькосточкизрениядизайна, нои благодарярасширеннойфункциональности.

КомплектсостоитизтрубкииUSBадаптера. Дляначалаработытребуется установитьфирменнуюутилитуспри- лагаемогокомпакт-диска. Впроцессе инсталляциибудетпредложеноподклю- читьккомпьютеруUSB-адаптеритрубку. Софтсамавтоматическинастроитвсе необходимыепараметрысоединения, послечегоможноиспользоватьбеспроводнойрежим. Несмотрянато, что трубкаиспользуетстандартныйдляWiFi протокол— онафункционируеттолько скомплектнымбеспроводнымадаптером. Авотсамадаптервполнеможет бытьпереключенизрежимаработыв качестветочкидоступа(функционирует внемпоумолчанию) врежимобычного Wi-Fi адаптера.

Трубкаоснащенадостаточнонеплохим цветнымЖК-дисплеем, гдеотображаетсятекущийстатусподключения, время, уровеньWiFi-сигналаизарядки. Вообще, посвоемувнешнемувидуASUS

AiGuru S2 похожнасреднестатисти- ческиймобильныйобразца4-летней давности.

Скайпофонавтоматическиподключает- сякадаптерупризапускеSkype-клиента накомпьютере. Тутнадоподчеркнуть, чтоAiGuru S2 неявляетсяавтономным Skype-клиентом. Онфункционирует толькоприуспешномсоединении программногоклиентанакомпьютере. Послеэтогостелефонаможнопро- листыватьконтакт-лист, совершать звонки, прослушиватьголосовуюпочтуи организовыватьконференцсвязь. Авот отправлятьтекстовыесообщенияснего неудастся. ЗатоможнопослушатьмузыкуспомощьюсервисовWindows Media иiTunes. Тебепотребуетсяустановитьна компьютерсоответствующиеутилиты, и послеэтогоможноиспользоватьAiGuru S2 вкачествесвоеобразногорадио, проигрываямузыку, скажем, накухне. Полнойзарядкихватаетпримернона деньумеренногоиспользования. Учитывая, чтоподзаряжаетсятелефонотпорта USB — никакихпроблемсподзарядкой возникнутьнедолжно.

Вцелом, ASUS AiGuru S2 — весьма интересныйдевайс, которыйбудет полезенвсемлюбителямSkype-об- щения. Учитываяневысокуюценуи довольностильныйвнешнийвид— его смеломожнорассматриватьвкачестве неплохогоподарка.

3300 руб.

020	XÀÊÅÐ 05 /125/ 09

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

CLOUD

hang

COMPUTING

NOW!

BUY

>>m

BUY

w Click

pc_zone

w Click

-xcha

-x cha

CLOUD

COMPUTING

АЛЕКСАНДР ЛОЗОВЮК

/ ALEX.RAIDEN@GMAIL.COM /

CLOUD

COMPUTING

OMPUTING

ЗАОБЛАЧНЫЕ

CLOUD

ВЫЧИСЛЕНИЯ

COMPUTING

CLOUD

Cloud Computing напальцах

Еслиоблака— этовзвешенныеватмосферепродуктыконденсации

COMPUTINGCLOUD

водяногопара, видимыенанебесповерхностиземли, чтожетогда

облачныевычисления? Кластернанебесах?

На самом деле, облачная обработка данных

(англ. Cloud computing) — это технология обработки данных, в которой программное обеспечение предоставляется пользователю как интернет-сервис. Пользователь имеет доступ к собственным данным, но не может управлять операционной системой и собственно ПО, с которым работает (заботиться об инфраструктуре ему также не нужно). Непосредственно «облаком» называют инет, который как раз и скрывает многие технические детали. Это если вкратце. Теперь давай посмотрим на все чуть глубже.

НА ЧЕМ ВИСИТ ОБЛАКО?

В основе Cloud Computing лежат несколько подходов. Первый — доступность через интернет. Конечно, бывают и закрытые системы, но, как правило, все можно потрогать через сети (при этом, «наружу» облако предоставляет себя как обычный сервер). Второй важный момент

— это виртуализация. Благодаря виртуализации, пользователи получают столько ресурсов, сколько им надо (и, разумеется, сколько могут позволить себе приобрести). Что для этого требуется со стороны сервера и каким образом он может выделить такие ресурсы — все сокрыто за стенами виртуальных машин; они могут работать на сотнях и даже тысячах

022

серверов, а зачастую — еще и в разных датацентрах. Третий момент: Cloud Computing

— это услуга. В 60-е годы за машинное время приходилось платить и ждать свободного часа. В Cloud Computing используется схожий подход. И пусть стоять в очереди не нужно,— все услуги также оплачиваются отдельно. Облако для пользователя — это некоторый набор услуг, которые потребляются и оплачиваются, порой без малейшего представления, что же там используется внутри.

Возьмем самый простой пример — хостинг для 5 Гб данных и доступ к ним через HTTP REST API. Покупая такую услугу, никто не задумывается, где физически хранятся данные, какие накопители и RAID используются и т.д. Главное, что есть нужный объем данных, который доступен всегда при помощи удобного интерфейса.

Четвертый момент — как ни странно, простота и стандартность. Да-да, хотя облачность и стоит на переднем крае компьютерных технологий, это одно из важнейших ее свойств. Здесь никаких тебе новых языков, сложных конфигурационных файлов и многочасовых сессий в терминале для настройки всех демонов. Все, что предлагается внутри облака, доступно через самые простые вызовы API и протоколы. Огромную популярность завоевал так называе-

мый протокол REST, с помощью которого все операции над данными можно производить через http-запросы. Впрочем, применяться могут и многие другие решения, более того, доступны готовые библиотеки для разных языков программирования.

Теперь простой вопрос — зачем это все нужно? Отвечаю. За небольшие, в общем-то, деньги ты получаешь доступ к надежнейшей инфраструктуре с необходимой тебе производительностью. Uptime коммерческих систем, как правило, гарантируется на уровне трех-пяти девяток (99.9% и выше), что означает не больше пары минут тире часа простоя в год. Не нужно быть семи пядей во лбу, чтобы задействовать такую систему — тут используются простые и хорошо описанные протоколы и API. И что еще важно

— практически неограниченные возможности по масштабируемости! Приобретая обычный хостинг, ты не сможешь прыгнуть выше головы и при резком всплеске нагрузки рискуешь получить упавший на несколько часов сервис. В облаке дополнительные ресурсы предоставляются по первому запросу. И если твой скрипт взлома паролей потребует вдруг для расчета еще пару процессоров и гигабайт памяти (подружка тоже читала наш журнал и закрыла свои фотки паролем), то это не станет проблемой. И ведь смак в том, что такие ресурсы не надо

XÀÊÅÐ 05 /125/ 09

hang

NOW!

w Click

BUY

CLOUD

w Click

BUY

pc_zonew

COMPUTING

CLOUD

-xcha

COMPUTING

-x cha

нем, чем слой виртуализации (наиболее часто

используетсяCLOUD

Xen или VMware), но дальше

COMPUTING

можешь делать все, что захочется. Расширение

ресурсов также может разниться — самый

простой вариант, когда тебя не ограничивают

ENOMALY— ОТКРЫТАЯСИСТЕМА

в количестве таких виртуальных серверов,

ДЛЯПОСТРОЕНИЯОБЛАКАНА

однако их параметры выбираются из несколь-

БАЗЕЛЮБЫХВИРТУАЛЬНЫХ

CLOUD

ких типовых планов. COMPUTINGПример — Amazon EC2,

МАШИН

где ты выбираешь из пяти различных типов

CLOUD

инстансов. Так легче для провайдера, одна-

GOOGLE APPENGINE — ОДНА

ко, не для тебя,— если приложение не умеет

покупать сразу, оплачивая дикие счета —

функциональность можно дорастить в любой

ИЗЛУЧШИХИПРОСТЕЙШИХ

масштабироваться и добавлять новые сервера

момент. Именно поэтому Cloud Computing —

ПЛАТФОРМ-ПЕСОЧНИЦДЛЯ

на лету. «Самый облачный» вариант под-

это настоящая находка для стартапов, хозяева

PYTHON/JAVA ПРИЛОЖЕНИЙ

разумевает наличие своеобразного ползунка

которых заранее не могут предугадать: выстре-

CLOUD

(вроде регулятора громкости), с помощью

лит их проект или нет.

ся, что в качестве сервисов предоставляются

COMPUTING

которого можно менять количество выделенных

SAAS, PAAS…

услуги связи; обычно это IP-телефония, почта

твоему серверу ресурсов. Понадобилось 12 Гб

и мгновенные коммуникации (чаты, IM).

оперативки — передвинул ползунок, и через

ЧУР, НЕ РУГАТЬСЯ!

КАКОГО ЦВЕТА ОБЛАКА?

несколько секунды ресурсы сервера стали

Варианты предоставления вычислительных

больше.

мощностей сильно отличаются. Все, что касает-

Не все так просто в облачном королевстве,

На рынке работают компании (к примеру,

ся Cloud Computing, обычно принято называть

и сейчас на рынке существует множество

Mosso.com), предоставляющие как облачные

словом aaS (aaS — две буквы A, не то, что ты

решений, называющих себя «клаудами».

сервера, так и другие сервисы, вроде файло-

подумал!). Расшифровывается просто — «as

Рассмотрим типы архитектур, чтобы легче было

вого хранилища или обычного, но высоконад-

a Service», то есть «как сервис», или «в виде

понять, что это такое.

ежного хостинга. Также отмечу Apatana Cloud,

сервиса».

Подход к облачным системам различается

от разработчиков одной из лучших IDE, Stax.

SaaS (Software-aaS), или приложения в виде

степенью контроля над низким уровнем, кото-

net — это если тебе надо только масштабируе-

сервисов — вариант, при котором тебе пред-

рый предоставляется клиенту. То есть, если

мый хостинг Java-приложения, или Engine Yard,

лагают использовать какое-то конкретное ПО,

за самый низкий (нулевой) вариант мы примем

если любишь побаловаться Ruby.

например, корпоративные системы, в виде

личный сервер на площадке у провайдера,

Разработчики так называемых web-OS часто

сервиса по подписке. Скажем, у предприятия

где ты можешь хоть стразы на лицевую панель

позиционируют себя как облака, хотя они

нет возможности или желания хостить вну-

прицепить, то дальше все уже не так.

лишь предоставляют некоторые приложения

тренний Exchange-сервер для работы почты,

VDS/VPS — это уже не просто хостинг,

(SaaS-модель) — пусть и не обычный, скажем,

календарей и т.п.— и оно может купить его

но еще никак не Cloud. Конечно, у типичного

текстовый редактор, а целое семейство при-

удаленно, с учетом всей необходимой специ-

VDS (Virtual Dedicated server) есть большинство

ложений, объединенных в общий, схожий

фики. Часто ли такие сервисы доступны просто

атрибутов облака: тебе дают виртуализиро-

с настольными ОС интерфейс. Такой вирту-

в браузере? А ты пользуешься Google Docs? Это

ванную среду, где можно разворачивать свои

альный десктоп доступен всегда и везде, был

и есть SaaS, только бесплатный.

приложения или даже ОС, объем ресурсов

бы браузер! Обычно, вебОС работают на базе

PaaS (Platform-aaS) — в отличие от SaaS, пред-

также ограничивается только твоим кошельком.

AJAX-технологий или Flash. Среди интересных

назначенного больше для конечного пользова-

Но на этом сходства и заканчиваются — ресур-

систем отмечу Cloudo (www.cloudo.com), eyeOS

теля, это вариант для разработчиков. В облаке

сы ограничены возможностями железного

(eyeos.org, также доступна как OpenSource)

функционирует некоторый набор программ,

сервера, на котором все крутится. Платишь ты

и Jooce (jooce.com).

основных сервисов и библиотек, на основе

тоже помесячно, а если вдруг каждую пятницу

ПРОГРАММЫ

которых предлагается разрабатывать свои при-

вечером тебе надо быстро расширить сервер

ложения. Самый яркий пример — платформа

для приема толпы посетителей, это никого

ВЕРХОМ НА ОБЛАКЕ

для создания приложений Google AppEngine.

не волнует.

Облака третьего типа обладают максимальной

Помимо этого, под PaaS понимают также

Первым уровнем для настоящего Cloud-а будет

гибкостью и расширяемостью, но это оборачи-

и отдельные части сложных систем, вроде

предоставление виртуализированной среды

вается предоставлением не просто виртуаль-

системы базы данных или коммуникаций.

на базе некоторых стандартных «юнитов», кото-

ной машины или некоторых ресурсов, но целых

HaaS (Hardware-aaS) — один из первых терми-

рые по ресурсам могут равняться на опреде-

библиотек и API. Тебе дают возможность

нов, означающих предоставление некоторых

ленные реальные железные сервера (сугубо

запускать собственные приложения, часто

базовых «железных» функций и ресурсов в виде

для легкости сравнения и учета). Фактически,

серьезно ограничивая в выборе языка и допол-

сервисов. Но вместо прямой аренды хостинга

тебе выдается виртуальная машина, которая

нительных библиотек. Зато такое приложение

используется виртуализация. Поэтому, когда

работает на системах провайдера, а внутри нее

сможет реализовать «заветную мечту всех

речь идет о конкретном железе, понимаются

есть все возможности для установки сначала

облаков» и гибко получать ресурсы по запро-

некоторые абстрактные сущности, аналогичные

любой ОС (из поддерживаемых, конечно),

су. Ограничений виртуальной машины ты

реальным железным (место под хранение, про-

а потом уже настройки необходимого ПО.

не видишь; более того, не подозреваешь об ее

цессорное время в эквиваленте какого-либо

Ограничения такой машины, как уже сказа-

существовании: все, с чем работает программа

реального CPU, пропускная способность).

но, выражаются в некоторых приближениях

— это вызовы API и библиотек, предоставлен-

IaaS (Infrastructure-aaS) — считается, что тер-

к реальному железу, но, в отличие от VDS,

ных сервисом. Казалось бы, разве можно что-

мин пришел на смену HaaS, подняв его

могут быть гибко и почти мгновенно изменены

то сделать в таких условиях? Еще как! Вообще,

на новый уровень. Для примера — это системы

в большую или меньшую сторону. Также раз-

такая степень абстракции сейчас модный тренд

виртуализации, балансировщики нагрузки

решено на один аккаунт поднимать несколько

в IT. Существует зависимость: чем проще язык

и тому подобные системы, лежащие в основе

таких виртуальных серверов; соответственно,

и API, в рамках которых работают программы,

построения других систем.

можно создать между ними свою сеть. Ты

тем легче и гибче их масштабировать. Поэтому

СaaS (Communication-aaS) — подразумевает-

по-прежнему не знаешь, что там ниже уров-

крайне сложно встретить в облачных системах

XÀÊÅÐ 05 /125/ 09

023

CLOUD

hang

COMPUTING

NOW!

BUY

>>m

BUY

w Click

pc_zone

w Click

-xcha

-x cha

INFO

info

• Еслихочешьраз-

рабатыватьсерьез-

КЛАССИКА! ЛУЧШИЙИНАИБОЛЕЕИЗ-

ныеприложения

ВЕСТНЫЙОБЛАЧНЫЙХОСТИНГДЛЯВИР-

изнаешьJava, попро- ЕЩЕОДНАОТКРЫТАЯСИСТЕМАУПРАВЛЕ-

ТУАЛЬНЫХМАШИН, АТАКЖЕМНОЖЕСТВО

буйGridGain (www.

НИЯОБЛАЧНЫМИСИСТЕМАМИ. ХОТЬНА

ДОПОЛНИТЕЛЬНЫХСЕРВИСОВ

gridgain.com). Это

РИСУНКЕВСЕПРОСТО, ЗАЭТИМСКРЫВА-

одинизмощнейших

ЮТСЯСЛОЖНЕЙШИЕТЕХНОЛОГИИ

инструментовдля

бесплатно для сайтов, имеющих до 5миллионов хитов

созданияприложе-

в месяц; более точные ограничения смотри в документа-

ний, идеальнорабо-

привычные для веб-разработчиков ресурсы, по крайней

ции). Сервис работает как бета, поэтому только недавно

тающихвоблаках.

мере, в стандартном виде. Взять хотя бы базы данных.

CLOUD

стало возможным зарегистрироваться всем желающим.

Традиционные SQL-реляционные СУБД крайне плохо под-

COMPUTING

Цены на сервис для коммерческого использования или тех,

• Самыепопулярные

ходят для масштабируемых систем (за редким исключением,

кому мало лимитов, разумны и сравнимы с конкурентами

языкипрограммиро-

вроде Oracle или DB2). Вместо них используются собствен-

(как обычно — оплата часов или некоторых абстрактных

ваниявоблачныхси-

ные разработки, каждая из которых обычно очень инте-

единиц ресурсов). Как ни странно, такой же сервис выпу-

стемах: Java, Python,

ресна в техническом плане, а также — сторонние открытые

стила другая «империя зла» — Microsoft Azure. В основе

JavaScript, Ruby, C# и,

решения. Одним из самых популярных решений стали

лежит специальная версия Windows Server 2008; осталь-

снекоторымиограни-

key-value хранилища данных и системы на базе Google

ные сервисы, доступные разработчику, базируются на уже

чениями– почтивсе

BigTable, а также его открытых аналогов. Это очень похоже

зарекомендовавших себя технологиях — .NET Runtime, SQL

языки, которыемогут

на обычный кеш — любые данные приложение записывает

Service, Live, SharePoint, Dynamics CRM. Приложения имеют

работатьповерхJVM.

в хранилище, ассоциируя их с некоторым ключом, цифро-

доступ ко всем сервисам посредством абстрагированного

вым или простой строкой, потом извлекает или удаляет,

от деталей API, через HTTP, REST, SOAP. Судя по включению

указывая ключ. Более продвинутые системы реализуют

в cloud типичных бизнес-платформ, система будет в основ-

целые структуры данных, списки, очереди и даже допускают

ном ориентирована на построение корпоративных прило-

приближенные к SQL выборки с сортировкой и фильтрами.

жений и сервисов. Пока идет тестирование, можно получить

HTTP://WWW

Зачастую достается и файловой системе, которая заменяет-

совершенно бесплатный доступ ко всем материалам.

ся подобием привычного хранилища, дополненного систе-

Amazon — один из самых больших и масштабных игроков

мой map/reduce для обработки больших объемов данных.

на рынке облачных систем. Его сервисами пользуются

links

Подобные особенности требуют пересмотра архитектуры

множество компаний, почти все — стартапы, например,

Краткийобзор25 раз-

существующих приложений, когда требуется развернуть

нашумевший Twitter решил проблему масштабирования

личныхвеб-ОС:

их в условиях облака. Непросто перейти от обычных баз

именно при помощи Amazon EC2. Расшифровывается,

http://habrahabr.ru/

данных, особенно если раньше только и делал, что писал

как Elastic Compute Cloud, и сегодня это самый доступный

blogs/os/10952

на PHP и MySQL!

и надежный вариант на рынке. Однако учти, что придется

AMAZON И GOOGLE

платить за все ресурсы (передаваемые данные, процессор-

ное время, хранение данных), а возможности расширения

DVD

С развитием технологий появилась возможность укрыться

каждого конкретного сервера все же ограничены. Также

за слоем виртуализации и промежуточных библиотек, так

в реальной работе надо учитывать массу нюансов, напри-

что программисту реальных приложений совсем не надо

мер, что при выключении виртуальная машина (инстанс)

знать о том, какой же там сервер под этим крутится.

не сохраняет данные и теряет свой IP-адрес.

CLOUD

dvd

Подумай, ведь все основные языки современности давно

Все облачные услуги от Amazon предоставляются

Загрузить

уже исполняются на собственных виртуальных машинах!

под общим брендом Web Services и включают, кроме EC2:

MPUTING

EUCALYPTUS можно

Разработчики оторвались от железа и возвращаться к нему

• SimpleDB — сервис базы данных с простым интерфейсом

c сайтаeucalyptus.

не очень-то и хотят. Если инфраструктура облака хорошо

и SQL-подобными возможностями;

cs.ucsb.edu илиже

спроектирована, а язык выбран правильно, то достаточно

• Simple Storage Service или S3 для хранения больших

взятьснашегодиска.

просто сделать так, чтобы большинство программ (заметь:

объемов данных и REST-API для доступа;

Тамжетынайдешь

не все) смогли работать и масштабироваться практи-

• CloudFront — распределенная сеть хранения и доставки

исходныекоды

чески линейно. При этом разработчик и пользователь

контента;

eyeOS.

ничего не будет знать о том, как ты внутри запускаешь

• Simple Queue Service — система очередей сообщений

все на десятке виртуальных серверов, каждый из которых

для создания распределенных приложений;

работает на паре реальных. Появление первого серьезного

• Elastic MapReduce — система обработки и анализа боль-

CLOUD

и доступного cloud-хостинга от Amazon-а породило, по сути,

ших объемов данных на базе открытой Apache Hadoop.

COMPUTING

целую индустрию, явив простым смертным самые про-

ЧТО МНЕ СТОИТ

двинутые технологии. Наиболее известной системой такого

рода является Google AppEngine, который предоставляет

ОБЛАКО ПОСТРОИТЬ?

некую «песочницу», ограниченную вполне конкретным

Не думай, что облачные штучки доступны только тем, у кого

API и системными сервисами. «Песочница» ограничена

много денег. Хотя ты недалек от истины, так как почти все

несколькими языками — сейчас это Python и Java, однако

компании не предлагают ничего на халяву и, попользо-

CLOUD

ресурсные ограничения достаточно либеральны, чтобы ты

вавшись сервисом хотя бы час, тебе уже придется платить.

еще долго о них не думал (заявлено, что сервис доступен

Есть приятные исключения, вроде Aptana Cloud, где можно

COMPUTING

024	XÀÊÅÐ 05 /125/ 09

hang

NOW!

BUY

CLOUD

>> pc_

BUY

zonew

COMPUTING

CLOUD

w Click

COMPUTING

w Click

-xcha

-x cha

CLOUD

COMPUTING

AMAZON EC2 — ХОТЬИСАМЫЙИЗВЕСТНЫЙ, НОНЕ

ЕДИНСТВЕННЫЙНАРЫНКЕ. GOGRID КРОМЕХОСТИНГА

СЕРВИС, ПОЗВОЛЯЮЩИЙСОБРАТЬЗАПАРУ

ПРЕДОСТАВЛЯЕТРАСШИРЕННЫЕСЕРВИСЫ, ВРОДЕ

КЛИКОВОБРАЗОСДЛЯРАЗМЕЩЕНИЯВЛЮБОМ

БАЛАНСИРОВЩИКАНАГРУЗКИ, ХРАНЕНИЕДАННЫХИ

ОБЛАЧНОМХОСТИНГЕ

Т.П.

без финансовых вложений в течение 30 дней

где можно экспериментировать с различными

очень прост и основан на стандартных протоко-

пользоваться самой маленькой виртуальной

программами на питоне. Потом, если очень

лах XMPP, REST, JSON.

машинкой. Но если тебе уже не терпится что-

хочешь, их можно перенести и на Google.

С НЕБЕС НА ЗЕМЛЮ

то попробовать разобрать своими руками,

Они должны работать совершенно одинако-

я расскажу о парочке проектов, которые позво-

во, несмотря на то, что AppScale опирается

Самое главное, что нужно понять: облачные

лят бесплатно, то есть даром, создать в домаш-

на открытые аналоги гугловских технологий

системы — это средство для получения некото-

них условиях аналоги Google AppEngine

(и не факт, что внутри все работает точно

рой среды, в которой могут работать как обыч-

и Amazon EC2.

так же).

ные виртуальные машины с пользователь-

Как ты помнишь, AppEngine — это такая среда

Если Python тебя не устраивает, и ты хочешь

скими ОС, так и целые платформы для испол-

для исполнения программ (на Python-е), где

попробовать что-то еще, можно попытаться

нения приложений. Важным преимуществом

твой скрипт работает внутри облака в специ-

построить облачный хостинг виртуальных

Cloud-а является независимость от аппарат-

альной песочнице и взаимодействует с миром

машин, такой же, как у Amazon EC2, в кото-

ного обеспечения и гибкая масштабирован-

через API. Ресурсы для него выделяются

ром ты и друзья могут инсталлировать свои

ность, хотя в этом направлении еще много чего

динамически и очень гибко. Это идеально под-

собственные операционные системы и тво-

можно сделать. Обычно в облаках размещают-

ходит как для различных исследовательских

рить там что угодно. Для этого используется

ся молодые проекты, которые еще фиг знает,

проектов, так и для быстрого построения веб-

другая открытая разработка — EUCALYPTUS,

выстрелят или нет. Поэтому лучше оплачивать

приложений, тогда точно можно не бояться

что совсем не дерево, а Elastic Utility Computing

все ресурсы (CPU, за каждый гигабайт тра-

перегрузок и digg-эффекта. Открытая реали-

Architecture for Linking Your Programs To Useful

фика, за место в хранилище) по часам. В этом

зация называется AppScale и на ней можно

Systems. Если кратко,— это промежуточная

отличие от обычного хостинга, где деньги надо

запускать те же самые программы, что и в ори-

среда, которая работает на множестве компью-

отдать сразу за месяц. Вторым преимуществом

гинальной Google-поделке.

теров (кластере) и предоставляет через веб

будет SLA — уровень предоставления серви-

Если у тебя есть мощный компьютер, ты

и консоль возможность загрузить собственный

са обычно намного выше, чем у стандартных

можешь развернуть такую систему на несколь-

образ виртуальной машины и управлять им,

хостингов, а облако предлагает уровень надеж-

ких виртуальных машинах, имитируя кластер,

получая тот самый Amazon, только бесплат-

ности в 99,999. Так что, отказ любой из систем

или же просто одолжить у друзей несколько

но. Говорят, что даже утилиты и API стырены

или даже всего сервера/стойки никак не уро-

системников и собрать кластер в отдельно

аналогично амазоновским, поэтому потре-

нит твой сайт! Если не хочется заморачиваться

взятой комнате. AppScale поставляется в виде

нироваться сначала можно на них, а потом

с установкой операционной системы, виртуа-

уже настроенного образа Linux-системы, кото-

уже перейти на амазон, если страшно наобум

лизацией и прочими сисадминскими деталями,

рый ставится или на виртуальную машину Xen,

выбрасывать столько денег. Кстати, тот самый

выбирай облачные системы, предоставляющие

или на буржуйском Amazon EC2, а для самых

AppScale отлично работает поверх Eucalyptus-а,

сразу платформу на твоем любимом языке

умных — работает на основе открытого аналога,

избавляя тебя от необходимости химичить

(выбор обычно — или Java или Python). Ты

Eucalyptus, о котором ниже.

с Xen и образами. Просто взял и запустил!

будешь ограничен заранее заданным API, часто

Учитывай, что надо, как минимум, 4 сервера,

Если надо управлять множеством виртуальных

будет не хватать обычных сервисов и при-

а значит, компьютер должен быть мощным,

машин, формируя из них одно или несколько

ложений, в первую очередь SQL-базы данных,

очень желательно — 64-битным. И — побольше

облак, попробуй еще одну открытую разра-

но когда привыкнешь, сможешь делать при-

памяти, ведь 4 Xen-а будут кушать ресурсы

ботку — Enomalysm (www.enomaly.com). Это

ложения, которые выдержат миллионы хитов,

с непомерным аппетитом! Детальная инструк-

платформа, позволяющая объединить как ком-

а сломать хрен кто сумеет! Облачные систе-

ция по установке и запуску достаточно объ-

мерческие виртуальные машины (VMware,

мы, как правило, гораздо лучше защищены,

емная, поэтому читай ее на официальном

KVM, Xen и другие), так и облачные системы

да и до конечной ОС тяжело добраться, ведь

сайте: http://code.google.com/p/appscale/wiki/

типа Amazon EC2 в один большой виртуальный

там может быть несколько уровней виртуали-

Deploying_AppScale_via_Xen. Если все полу-

дата-центр, управляемый одной веб-консолью.

зации, мониторинга и систем безопасности

чится, у тебя будет свое собственное облако,

Доступ к платформе из твоих приложений

(попробовать, впрочем, можно…). z

XÀÊÅÐ 05 /125/ 09

025

hang

NOW!

BUY

>>m

BUY

pc_zone

w Click

-xcha

-x cha

sslstrip

ПРИНЦИПДЕЙСТВИЯ

SSLSTRIP

АНТОН ЖУКОВ

/ ANTITSTER@GMAIL.COM /

ВСКРЫВАЕМSSL

Перехватданныхвзащищенныхсоединениях

Используямейл, админкуилисистемуэлектронногобанкинга

дляуправлениясвоимсчетом, мыполностьюдоверяемсясерверу.

ЕсливседанныепередаютсяпозащищенномуSSL-соединению—

очемрадужносообщаетбраузер— тоибоятьсявродебынечего.

Нотаклиэтонасамомделе?

Простая истина: передавать данные в откры-

В любой сертификат входят следующие поля:

писи Site Certificate, однако, в отличие

том виде — небезопасно. В этом случае они

от CA Certificate, не гарантируют легитим-

легко могут стать добычей злоумышленника,

• полное (уникальное) имя вла-

ность сайта и не встраиваются в браузер.

которому не составит труда перехватить,

дельца сертификата;

Получается, что в самом простом случае

модифицировать и даже подменить их. Вот

• открытый ключ владельца;

вся цепочка состоит из следующих звеньев:

почему логины и пароли, а также другие

• дата выдачи цифрового сертифи-

«CA Certificate — Intermediate CA — Site

конфиденциальные данные по обычному

êàòà;

Certificate», однако промежуточных серти-

HTTP не передаются. Вместо этого использу-

• дата окончания действия серти-

фикатов может быть больше. Так или иначе,

ется защищенный HTTPS, который работает

фиката;

проверка подлинности сайта осуществляется

медленнее, но зато упаковывает данные

• полное (уникальное) имя издате-

с помощью простой рекурсивной процедуры:

в криптографический протокол SSL — и те

ля (источника сертификата);

• сначала проверяется, чтобы крайний

передаются уже в зашифрованном виде.

• цифровая подпись издателя.

в цепочке сертификат был выписан на имя

КАК УСТРОЕН SSL?

сайта, к которому идет обращение;

Существует несколько видов сертификатов.

• проверяется, не просрочен ли сертификат;

Алгоритм работы SSL построен на исполь-

Чтобы удостовериться в подлинности кон-

• в конце проверяется подпись, с помощью

зовании пары асимметричных ключей.

кретного сайта, используется специально

которой он подписан.

Открытый ключ раздается всем желающим,

выписанный для него сертификат (Site

Подпись может принадлежать или корневому

и с его помощью шифруются необходимые

Certificate). Для проверки подлинности таких

сертификату, и это значит, что сертификату

данные, которые далее можно дешифровать

сертификатов в свою очередь существуют

можно 100% доверять, или же некоторому

только с помощью закрытого ключа (он есть

сертификаты центра сертификации (CA

промежуточному сертификату. В последнем

на сервере). Открытый ключ предоставля-

Certificate); они обладают максимальным

случае необходимо подняться на уровень

ется сервером клиенту, причем выдается

доверием и встраиваются непосредственно

выше и выполнить проверку еще раз —

в составе сертификата (подписывается тре-

в браузер (их также называют корневы-

и так, пока не будет найдена подпись кор-

тьей уполномоченной стороной — так назы-

ми — Root CA). Помимо этого, существуют

невого сертификата. Или не будет, что озна-

ваемым центром сертификации: certificate

промежуточные сертификаты (Intermediate

чает: удостовериться в подлинности сайта

authority — CA).

CA), которые также используются для под-

невозможно.

026

XÀÊÅÐ 05 /125/ 09

hang

NOW!

BUY

w Click

-xcha

sslsniff

sslstriff

hang

NOW!

BUY

pc_

zonew

w Click

-x cha

СХЕМАРАБОТЫ

SSLSNIFF

		SSLSNIFF, ИЛИ	• со своей стороны устанавливала обыч-		хваченной ссылке на защищенной ресурс

КАК ВСЕ НАЧИНАЛОСЬ			ное HTTPS-соединение с нужным сервером		выполняется замена «https://» на «http://»,
Представим такую картину: у нас есть			и выступала своеобразной проксей, снифая		а исходная и измененная URL заносятся
сертификат для нашего сайта xakep.ru;			весь трафик.		в таблицу соответствия.
он является последним звеном в цепочке			Все, что требовалась для работы — это
«Root CA — Intermediate CA — Intermediate			предоставить sslsniff действительный		def replaceSecureLinks(self, data):
CA — xakep.ru». Почему бы не попро-			сертификат. К сожалению, с 2002-го, когда		data = DataShuffler.replaceSecureLinks
бовать сделать сертификат сайта проме-			была опубликована утилита, браузеры		(self, data)
жуточным и не подписать с его помощью			стали умнее и такой проверкой больше		data = self.replaceSecureCookies(data)
другой ресурс, например, paypal.com?			не пренебрегают. Увы, такой способ нам		data = self.replaceCssLinks(data)
Все условия проверки для цепочки (Root			уже не поможет!		data = self.replaceSecureFavicon(data)
CA — Intermediate CA — Intermediate CA —				ПРОДОЛЖЕНИЕ
xakep.ru — paypal.com) при этом останутся					iterator = re.finditer(

выполненными:			ИСТОРИИ — SSLSTRIP		self.linkExpression,
• подписи всех сертификатов действи-			Чтобы разобраться с другим спосо-		data,
тельны;			бом, вспомни, как мы обычно попадаем		re.IGNORECASE)
• ни один сертификат не просрочен;			на защищенные страницы. Допустим, ты
• корневой сертификат встроен в браузер			захотел проверить свой почтовый ящик		for match in iterator:
и обладает полным доверием.			Gmail. Просто набираешь в адресной стро-		link = match.group(9)
Тут одна лишь загвоздка: как же мы выда-			ке mail.google.com и попадаешь на защи-
дим сертификат?			щенную страницу авторизации. Никто		if not link.startswith('http'):
У каждого сертификата есть неприметное			не набирает http://, а уж тем более https://.		logging.debug("Found relative
поле Basic Constraints, которое определяет,			Получается, что пользователь попадает		link in secure transmission: " + link)
принадлежит ли он центру сертификации			на защищенную страницу двумя путями:		absoluteLink = "http://" +
	или нет. Что удивительно, далеко не все		кликая на ссылки/кнопки или через реди-		self.serverHost + link
центры ранее выставляли ему значе-			ректы. Переход на защищенные ресурсы		absoluteLink = absoluteLink.replace
ние CA=FALSE. Более того, большинство			осуществляется посредством обычного		('&', '&')
браузеров даже не утруждались проверкой			http-протокола, а его, как я уже говорил,		self.secureLinkListener.
значения этого поля. Получается, имея			легко перехватить.		addLink(absoluteLink);
на руках действительный сертификат,			Липовый сертификат «на лету» создать
можно было создать и подписать сертифи-			уже не выйдет. Так, может, обойдемся		return data
кат для любого другого домена — и браузе-			вовсе без сертификата? Зачем его созда-

ры даже не заподозрили бы неладное!			вать, если есть шанс перехватить запрос		Как только клиент посылает запрос
Несмотря на многочисленные заявления,			на защищенное соединение с сервером		на соединение с защищенным URL, мы
что эксплуатировать это невозможно, раз-			и заставить пользователя общаться с нами		подсовываем ему липовую ссылку, а сами,
работчик Moxie Marlinspike опубликовал			по самому обычному HTTP? Именно эта		тем временем, устанавливаем настоящее
рабочую утилиту sslsniff, которая реали-			идея и легла в основу программы sslstrip,		HTTPS-соединение, выполняя запрос
зовывала простую атаку MITM (Man in the			которую на недавней конференции Black		от своего имени. Получив ответ от сервера
middle), перехватывая весь трафик. Смысл			Hat DC 2009 представил все тот же хакер		и опять выполнив замены в линках, отдаем
сводился к следующему:			Moxie Marlinspike.		контент пользователю по обычному HTTP-
• прога перехватывала клиентские запро-			Предлагаю рассмотреть ее более под-		соединению.
сы на соединение с защищенным HTTPS-			робно. Помимо описания, я буду при-		В результате получается замечатель-
сайтом;			водить небольшие отрывки исходников		ная картинка. Серверу, отдающему весь
• сама создавала сертификат для сайта,			на Python’е. В основе, опять же, лежит		контент по защищенному каналу, нет
к которому коннектится клиент, и подпи-			принцип MITM, позволяющий вклиниться		никакого дела, от кого приходит под-
сывала его с помощью уже имеющегося			между сервером и клиентом, просматривая		ключение, а клиент не получает никаких
сертификата;			проходящий HTTP-трафик. В каждой пере-		предупреждений и даже не подозревает,

XÀÊÅÐ 05 /125/ 09

027

Надискеищине-

hang

NOW!

BUY

>>m

w Click

pc_zone

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
				to	BUY
					BUY
w Click										m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

WARNING

warning

•Есливеритьразработчикуsslsniff Moxie Marlinspike,—

некоторыебраузе- рыпо-прежнему неутруждаютсебя проверкойполя

Basic Constraints.

•Всяинформация представленаисключительновознакомительныхцелях. Вслучаеиспользованияеевпротивозаконныхцелях ниавтор, ниредак-

цияответственности ненесут.

HTTP://WWW

•links

•Домашняястранич-

каMoxie Marlinspike: thoughtcrime.org.

•sslsniff: thoughtcrime. org/software/sslsniff. •sslstrip: thoughtcrime.org/ software/sslstrip.

•arpspoof:

arpspoof.sourceforge.net.

DVD

dvd

• Всеупомянутые встатьеутилитыты найдешьнанашем DVD-приложении.

•

большуюдемонстрациювозможностей sslstrip.

что использует незащищенное соединение. А мы? А мы перехватываем весь трафик :).

НЕСКОЛЬКО УЛОВОК

Чтобы еще больше создать иллюзию, что все безопасно, будем отслеживать запросы favicon (это иконка, отображающаяся в адресной строке браузера непосредственно перед адресом). И когда получаем такой запрос для защищенного соединения, то подсовываем иконку с замочком, которая в обычно й ситуации указывает на то, что соединение осуществляется по безопасному каналу.

	СОЗДАНИЕПРАВИЛАВIPTABLES
def replaceSecureFavicon(self, data):	ДЛЯПЕРЕНАПРАВЛЕНИЯHTTP-ТРАФФИКА
iterator = re.finditer(	НАПОРТ8080
self.iconExpression,
data, re.IGNORECASE)
	• с безопасными кукисами, которые не передают
for match in iterator:	по незащищенному соединению;
link = match.group(1)	• с банально закешированными страницами, в которых
link.replace('http://', 'https://')	мы не можем сделать замену.
	Как быть?
if not link.startswith('http://'):	В кукисах нам потребуется убирать флаг security bit
link = 'http://' + self.serverHost + link	в поле в Set-Cookie, чтобы плюшки стали передавать-
	ся по обычному HTTP. От сжатия контента придется
self.secureLinkListener.\	отказаться, удалив в хедерах HTML параметр content
addSecureFavicon(link)	encodings (отключаем сжатие), а также if-modified-
self.secureLinkListener.addLink(link)	since (принудительно заставляем сервер отдавать
	страницу, даже если на ней не было изменений).
return data	Другая проблема — сессии. Пропуская этап авторизации,
	мы можем остаться без логина и пароля. Решение следую-
	мы можем остаться без логина и пароля. Решение следую-
Проблемы с подменой ссылок могут возникнуть в сле-	щее: сессию тоже надо убивать, но нужна осторожность,
дующих случаях:	чтобы не вызвать подозрений. Сессии имеют свойство
• с компрессированным контентом, который сложно	истекать (заканчиваться), причем не всегда ясно, когда
парсить;	это произойдет. Одно можно сказать почти наверняка: они

ПОЛЕСЕРТИФИКАТА«BASIC CONSTRAINTS» СОЗНАЧЕНИЕМПАРАМЕТРА«CA=FALSE»

028	XÀÊÅÐ 05 /125/ 09

hang

NOW!

BUY

>> pc_

BUY

zonew

w Click

-xcha

-x cha

ПОДПИСЫВАЕМСЕРТИФИКАТ

PAYPAL.COM ИМЕЮЩИМСЯ

НАРУКАХСЕРТИФИКАТОМ

Root CA

ДЛЯXAKEP.RU

Intermediate

Root CA

Intermediate

Leaf

(xakep.ru)

Leaf

(xakep.ru)

КРАЙНИМЗВЕНОМВЦЕПОЧКЕ

Leaf

ЯВЛЯЕТСЯСЕРТИФИКАТСАЙТА

(paypal.com)

XAKEP.RU

Цепочкасертификатов: отсертификатацентра

сертификациидосертификатанашегосайта

не истекают посреди активной работы. Поэтому

ется, она уже долго работает и, если мы ее при-

и пароли. Опыты мы будем проводить

сразу после начала MITM-атаки начинаем

бьем, то подозрений это, скорее всего, не вызо-

на виртуальных машинах. Итак, у нас есть

модифицировать трафик, проходящий через

вет. Вот, в общем-то, и все секреты успеха.

небольшая локальная сеть, состоящая

нас, но не трогаем Cookies в течение какого-

ИСПЫТАЕМ

из машины жертвы (192.168.1.3), нашей

то промежутка времени (например, 5минут).

машины (192.168.1.5) и машины, служа-

Ждем эти 5минут, и запоминаем все сессии,

SSLSTRIP В ДЕЛЕ

щей шлюзом в интернет (192.168.1.1).

которые видели за это время. Если после

Но довольно лирики. Посмотрим, реаль-

Теперь подготовим плацдарм для атаки.

5минут появляется какая-то новая, то получа-

но ли утащить чьи-нибудь логины

В качестве ОС на своей машине будем

использовать популярный дистрибутив

Доверенныйцентр

Root CA

BackTrack3 (все то же самое можно проде-

лать и под Виндой, поставив необходимые

сертификации

сертификат

программы и настроив систему, но зачем

делать лишнюю работу, если кто-то уже

сделал ее за тебя?). Итак, загружаем систе-

Неизвестныйцентр

1-й

Проверяемсрокдействиясертификата.

му и устанавливаем sslstrip:

ОнподписанRoot CA. Root CA является

сертификации

сертификат

доверенным, наэтомпроверказаканчи-

#bt python setup.py install

вается. Подлинностьсайтаустановлена.

В принципе, можно даже не устанавливать,

Проверкасрокадействиясертификата.

а запускать sslstrip сразу:

Неизвестныйцентр

2-й

Узнаем, чтоCA2 подписансертифика-

сертификации

томCA1, которыйопятьженеявляется

сертификат

#bt python ./sslstrip.py -h

—

доверенным. Проверяемследующий

покажет список параметров.

сертификат.

Проверяемсрокдействиясертификата

Чтобы все заработало, нам нужно

немножко подконфигурировать систему.

...

иузнаем, чтоонподписансертификатом

Сперва включим на машине режим пере-

CA2. Т.к. тотнеявляетсядоверенным,

направления пакетов (forwarding mode).

переходимкследующемусертификатув

Делается это следующей командой:

цепочке.

#bt echo "1" > /proc/sys/net/

Программа,

ipv4/ip_forward

проверяющая

«ПРОЦЕДУРАПРОВЕРКИ

сертификат

Затем настроим iptables для перенаправле-

СЕРТИФИКАТОВ»

ния http-трафика:

XÀÊÅÐ 05 /125/ 09

029

<<< < Предыдущая 1 23 / 153 4 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202432.48 Mб12120_Optimized.pdf
#
20.04.202447.9 Mб12121_Optimized.pdf
#
20.04.202449.28 Mб12122_Optimized.pdf
#
20.04.202422.66 Mб12123_Optimized.pdf
#
20.04.202414.76 Mб12124_Optimized.pdf
#
20.04.202411.92 Mб12125_Optimized.pdf
#
20.04.202412.83 Mб12126_Optimized.pdf
#
20.04.202416.73 Mб12127_Optimized.pdf
#
20.04.202416.61 Mб12128_Optimized.pdf
#
20.04.202415.04 Mб12129_Optimized.pdf
#
20.04.202417.96 Mб12130_Optimized.pdf