translatora, czyli w tym przypadku 192.168.200.130. W wyniku porównania zidentyfikowanych w translatorze adresów IP ze schematem sieci pracowni teleinformatyki stwierdzono, że pierwszy z tych komputerów to desktop PC08 podłączony siecią przewodową do serwera, natomiast drugi komputer, to laptop nauczyciela połączony siecią bezprzewodową do routera pracowni. Zgodnie z tabelą 1, w połączeniu tym komputery użyły protokół UDP (ang. User Data Protocol). Jest to „prymitywny" protokół, który ze względu na swoją prostotę zapewnia szybki transfer danych.
Dzięki informacji zawartej w tabeli 1 nie tylko można zidentyfikować komputery, które wzięły udział w połączeniu, ale również można zidentyfikować nazwy programów na obu komputerach, które się ze sobą komunikowały. Do identyfikacji programów biorących udział w połączeniu sieciowym używa się tzw. portów. Jak widać w tabeli 1 w pierwszym przykładzie port prywatny w desktopie nosił numer 1346. Dokładniejsza analiza systemu w desktopie pokazała, że port ten należał do programu 'ngctw32.exe' (program obsługujący konsolę Symantec Ghost). Z kolei port użyty w laptopie posiadał numer 1 347. Analiza systemu w laptopie ujawniła, iż port ten należy do procesu 'ngserver.exe' - jest to serwer Symantec Ghost. A zatem, podsumowując, pierwsze połączenie IP pokazane w tabeli 1 jest połączeniem pomiędzy konsolą programu Symantec Ghost w desktopie PC08 a serwerem Symantec Ghost zainstalowanym na laptopie nauczyciela.
W drugim przykładzie pokazanym w tabeli 1 widać, że komputer z sieci prywatnej o adresie 192.168.0.6 (desktop PC07) połączył się z komputerem zdalnym o adresie 212.58.246.108. Przy połączeniu tym oryginalny adres komputera lokalnego (192.168.0.6) został „przetłumaczony" w translatorze na adres 192.168.200.130. Tak więc na „zewnątrz serwera" adres tego komputera będzie widoczny jako 192.168.200.130 (Na zewnątrz Szkoły komputer będzie widoczny jeszcze pod innym adresem, gdyż pakiety wychodzące z desktopa przechodzą nie tylko przez serwer pracowni teleinformatyki, lecz dodatkowo przez serwer ZST w Sali 13. Na serwerze ZST jest również uruchomiony translator NAT, co powoduje dwukrotne tłumaczenie adresu komputera przed „opuszczeniem" Szkoły). Połączenie to zostało nawiązane przy pomocy protokołu TCP.
W odróżnieniu od protokołu UDP, protokół TCP zapewnia większą wiarygodność przesyłanych danych, zachowanie kolejności przesyłanych pakietów i unikanie powielania pakietów. Jak wspomniano wyżej, adres IP komputera zdalnego to 212.58.246.108. Używając jednego z narzędzi sieciowych dostępnych w Internecie (patrz Załącznik), zidentyfikowano ten komputer jako serwer wiadomości BBC News. Dzięki informacjom o portach prywatnym i zdalnym (1822 oraz 80) można dokonać próby identyfikacji programów biorących udział w powyższym połączeniu. Analiza systemu w desktopie PC07 ujawniła, że port 1 822 należał do programu 'firefox.exe' (przeglądarka internetowa). Analiza systemu w zdalnym komputerze nie była możliwa ze względów praktycznych, jednak zwyczajowo port nr 80 jest przyporządkowywany w protokole TCP do serwerów obsługujących protokół http. Tak więc, podsumowując, przykład nr 2 z tabeli 1 ilustruje połączenie przeglądarki internetowej Firefox w desktopie PC07 z serwerem obsługującym protokół http dla serwisu BBC News.
Do wykonania niniejszego zadania potrzebna jest umiejętność analizy połączeń sieciowych w systemie operacyjnym komputera przy pomocy funkcji 'netstat' oraz umiejętność identyfikowania nazwy programu komputerowego na podstawie numeru jego procesu. Dodatkowo, potrzebna jest umiejętność zdalnego identyfikowania hosta na podstawie jego adresu IP. Przykłady ilustrujące użycie powyższych funkcji zamieszczono w Załączniku.
5