Журнал входит в перечень ВАК Минобрнауки РФ

№05(162)
май 2016

Шаблоны контейнеров
в Virtuozzo

Как писать мобильные

приложения быстрее

Технология Cucumber
Автоматизируем отчетность

ES Декораторы
Разбираемся в деталях

Защита от DDoS-атак
подручными средствами

Наука и технологии Наука и технологии Наука и технологии

Исследование воздействия Взаимосвязь отраслевой Создание ботов для Telegram:

некоторых параметров теста специфики бизнеса и уровня с использованием языка
LINPACK для гибридного кластера решаемых для него программирования Python
на производительность вычислений ИТ‑подразделением задач и облачной ОС Corezoid
 Акция «Решения – в массы!»
Оформив редакционную годовую подписку на 2016 год
на смешанную версию журнала «Системный администратор»,
вы получите шанс рассказать на некоммерческой основе
о своем решении или продукте на страницах «Системного
администратора», а также на сайте издания. Мы готовы
поддержать своих подписчиков в кризис!

Минобрнауки РФ
Журнал входит в перечень ВАК

Только полезная
№05(162)
май 2016
информация
Шаблоны контейнеров
в Virtuozzo

Как писать мобильные

приложения быстрее
Бумажная
электронная
Технология Cucumber
Автоматизируем отчетность

ES Декораторы
Разбираемся в деталях
Защита от DD oS-атак
вами
подручными средст
Наука и технологии
Исследование воздействия
некоторых параметров теста
LINPACK для гибридного кластера
на производительность вычислений
Наука и технологии
Взаимосвязь отраслевой
специфики бизнеса и уровня
решаемых для него
ИТ-подразделением задач
версии!
5440 руб.
Все подробности проведения
Наука и технологии акции – на сайте журнала:
Создание ботов для Telegram:
с использованием языка
программирования Python
http://samag.ru/solutions2masses
и облачной ОС Corezoid

Подписывайтесь
и продвигайте свои решения!
samag.ru/subscribe
 В номере
12 52
АДМИНИСТРИРОВАНИЕ
Хранение данных
04 Системы хранения данных. Часть 2. NAS. Сетевые
системы хранения данных являются неотъемлемой частью инфра-
структуры. Поговорим об их прошлом, настоящем и будущем.
Алексей Бережной
Виртуализация
09 Шаблоны контейнеров в Virtuozzo. Оперативное
развертывание контейнеров.Подготовка множества вир-
туальных окружений с одной конфигурацией – задача для систем-
ного администратора нередкая. В предыдущей статье мы описали
возможность использования для этих целей миграции и клониро-
вания, однако во многих ситуациях более удобным способом будет
использование заранее подготовленных шаблонов.
Денис Силаков
Инструменты
12 Поддержка филиалов средствами MDOP.Компонент
DaRT пакета MDOP, применяемый совместно с встроенными средст-
вами операционной системы, позволит организовать эффективную
техподдержку филиалов.
Александр Пичкасов
БЕЗОПАСНОСТЬ
Угрозы
16 Анатомия таргетированной атаки. Часть 2. Разви-
тие атаки.Используя накопленную за последние годы экспертизу
в расследовании целевых атак, в продолжение цикла статей опишем
детальное развитие атаки, следуя четырем ее фазам, с реальными
примерами, рассмотрим функциональное применение инструментов
в комбинации с различными техниками социальной инженерии.
Вениамин Левцов, Николай Демидов
Механизмы защиты
22 Защита от DDoS подручными средствами. Часть 1.
DNS Amplification. Чтобы сделать свой вклад в защиту
2 май 2016 системный администратор
56
всемирного киберпространства от DDoS, совсем не обязательно по-
купать дорогостоящее оборудование или подписываться на сервис.
Любой администратор сервера может поучаствовать без дополни-
тельных материальных вложений, используя только знания и время.
Андрей Дугин
Аудит
27 Проводим пентест. Часть 2. Сбор необходимой ин-
формации.Правильная идентификация версий ОС и ПО являет-
ся неотъемлемой частью успешной атаки. В статье мы поговорим
о том, как это можно сделать.
Андрей Бирюков
БАЗЫ ДАННЫХ
Инструменты
32 Распараллеливание операций в Oracle. Часть 2.
Особенности и ограничения. Рассматриваются вопросы
распараллеливания DDL-операций, SQL‑запросов и других опера-
ций в Oracle, а также особенности и ограничения, связанные с рас-
параллеливанием.
Владимир Тихомиров, Валерий Михеичев
Изучаем 1С
37 Под капотом платформы 1С 8.3. Часть 1. Работа
с СУБД.Начнем знакомство с внутренним устройством платфор-
мы 1С 8.3 с самого важного – взаимодействия с СУБД.
Олег Филиппов
40 Общая схема оптимизации производительности
1С. Существует множество причин, из-за которых система на 1С
может медленно работать. Рассмотрим общий подход для оптими-
зации производительности, чтобы исключить ненужные действия.
Тимур Шамиладзе
РАЗРАБОТКА
Мобильные приложения
44 Пишем мобильные приложения быстрее. Паттерн
Наблюдатель и реактивное программирование.

Выпуская на рынок пусть еще сырое, но востребованное прило-
жение, разработчик пробует захватить внимание аудитории и уйти
в  отрыв от конкурентов. Ранний старт дает возможность увидеть,
насколько сама идея пришлась по душе пользователям, и скоррек-
тировать дальнейшую бизнес-стратегию.
Андрей Пахомов
Тестирование
48 Автоматизируем отчетность по Cucumber-тестам
в  ExtentReports. Т ехнология Cucumber позволяет не только
совмещать спецификации на разработку и тестирование продуктов
в одном источнике, но и удобно настроить автоматическое генериро-
вание отчетов о прохождении таких тестов.
Анна Сергеева
Особенности языка
52 Построение сайтов с использованием Hack.Рассмот-
рим построение сайтов с помощью нового языка Hack, который яв-
ляется эволюцией PHP.
Александр Календарев
56 ES Декораторы: разбираемся в деталях.В декорато-
рах JavaScript вроде бы нет ничего особенного, каждому разработ-
чику, знающему теорию ООП, известен такой шаблон проектирова-
ния. Но только ли дело в ООП? И почему они становятся популярны?
Александр Майоров
КАРЬЕРА/ОБРАЗОВАНИЕ
Аlma mater российских ИТ
62 Нина Романчева: «Совместная подготовка ИT-
специалиста в паре вуз  –  предприятие – это тре-
бование сегодняшнего дня». В гостях у «Системного
администратора» – декан факультета прикладной математики и вы-
числительной техники МГТУ ГА, кандидат технических наук, доцент
Нина Романчева.
Ирина Ложкина
Лабораторная работа
67 Лабораторная работа. Исследуем сокеты. Часть 2
(продолжение).В предыдущем номере были описаны цели ра-
боты, схема исследований, устройство и подготовка лабораторного
стенда, ход проведения работы и отдельные компоненты. В данной
части познакомимся с оставшимися компонентами стенда.
Владимир Закляков
Рейтинг
72 Образование в сети: введение в программирова-
ние на JavaScript.JavaScript один из популярнейших языков
программирования, который используется в большинстве веб-про-
ектов. С его помощью можно создавать и нативные приложения,
как это предлагает делать Microsoft для ОС Windows. А различные
библиотеки и расширения значительно увеличивают сферы его при-
менения.
Игорь Штомпель
системный администратор май 2016
В номере
Хроники ИТ
76 Семьдесят лет компьютерной эры. Первая декада:
1946 – 1956.Продолжаем публикацию хроник возникновения,
становления и развития информационных технологий.
Владимир Гаков
НАУКА И ТЕХНОЛОГИИ
81 Исследование воздействия некоторых параметров
теста LINPACK для гибридного кластера на произ-
водительность вычислений в зависимости от раз-
мерности задачи.Целью работы является экспериментальное
исследование влияния значений параметров Nb и CUDA_DGEMM_
SPLIT теста LINPACK, представляющего собой решение модельной
системы линейных алгебраических уравнений методом LU‑разло-
жения, на  производительность вычислений на  гибридных узлах
кластера «Ломоносов» (МГУ, Москва).
Куликов В.А., Чернышов А.В.
86 Взаимосвязь отраслевой специфики бизнеса
и уровня решаемых для него ИТ-задач.В настоящей
статье показывается, что уровень решаемых ИТ-подразделением
задач зависит не только от размеров организации и уровня управ-
ления, но и от отраслевой специфики бизнеса в разрезе четырех
технологических эпох (индустриальной, постиндустриальной, ин-
формационной и эпохи знаний). Результаты опроса руководителей
ИТ-служб различных предприятий подтверждают такую взаимос-
вязь. Предложенная в работе методика определения уровня требо-
ваний к решению ИТ-задач может быть использована в организации
работы ИТ-служб предприятий.
Славин Б.Б., Максимова Е.В.
90 Создание ботов для Telegram: с использовани-
ем языка программирования Python и облачной
операционной системы Corezoid.В наше время бурного
развития ИТ-технологий огромную популярность набирают мессен-
джеры для телефонов и планшетов. Одним из самых совершенных
и технологически продвинутых мессенджеров является Telegram
Messenger, который получает все большее распространение в рус-
скоязычной части интернета. Одна из особенностей этого приложе-
ния, отличающая его от конкурентов, – это боты, или «умные по-
мощники». В данной статье описывается процесс создания ботов
для Telegram с помощью языка программирования Python и опера-
ционной системы Corezoid. В начале работы рассматривается про-
цесс регистрации бота и некоторые простейшие команды. Заканчи-
вается статья рассмотрением преимуществ и недостатков двух этих
способов разработки.
Колосков В.Л., Павлов И.Ю., Иванов Е.Б.
ЗАЛ СЛАВЫ «СА»
96 Человек и машина.Расскажем о человеке и вычислительной
машине, носящих одно и то же имя. Об английском математике Алане
Мэтисоне Тьюринге и созданной им «машине Тьюринга». Это опре-
деление требует кавычек, потому что это скорее абстрактная матема-
тическая схема. Впрочем, под руководством Тьюринга были созданы
и вполне материальные – «в железе» – вычислительные устройства,
сыгравшие важную роль в ходе Второй мировой войны.
Владимир Гаков
3
 Администрирование
Визитка
АЛЕКСЕЙ БЕРЕЖНОЙ,
независимый консультант, системный архитектор, специалист по системам виртуализации
и резервного копирования, alexey.berezhnoy@tech-center.com
Системы хранения данных
Часть 2. NAS
Сетевые системы хранения данных являются неотъемлемой частью инфраструктуры.
Поговорим об их прошлом, настоящем и будущем
В предыдущей статье [1] шла речь о системах прямого под-
ключения – Direct-attached storage (сокращенно DAS).
В том числе разбирали и их недостатки – трудности при ор-
ганизации совместного доступа к файлам, а также низкую
эффективность при управлении ресурсами. При дальней-
шем развитии СХД эти недостатки компенсировались появ-
лением новых систем хранения данных.
Определение NAS
NAS – аббревиатура английского термина Network Attached
Storage. Дословно означает – «подключенное к сети сете-
вое хранилище». На самом деле данное выше определение
не совсем точное. Строго говоря, любой сервер подключен
к сети. Каждый компьютер имеет внутри себя некое храни-
лище данных, хотя бы данных для загрузки и работы опера-
ционной системы.
Для более точного описания NAS лучше подходит опре-
деление «сетевой накопитель данных». То есть это не-
кий узел локальной сети, главной и зачастую единственной
Рисунок 1. Аппаратная организация NAS
4 май 2016 системный администратор
хранение данных
функцией которого является хранение данных, полученных
от других участников информационного процесса.
По сути, NAS представляет собой сочетание системы
хранения информации (например, массив жестких дисков)
и специальной программно-аппаратной платформы, позво-
ляющей подключить эту систему в локальную компьютер-
ную сеть (см. рис. 1).
В основном NAS используют в качестве носителя инфор-
мации жесткие диски. На это есть множество причин. Глав-
ные из которых:
>> простота доступа к информации;
>> высокое быстродействие;
>> относительно невысокая стоимость хранения инфор-
мации, которая при этом постоянно снижается благо-
даря научно-техническому прогрессу.
Примечание. Не всегда Network Attached Storage стро-
ится только на жестких дисках. Например, существующие
аналогичные устройства могут быть построены на базе
Рисунок 2. Внутренняя структура NAS
 хранение данных
ленточных накопителей с применением файловой системы
LTFS разработки IBM. Данная файловая система позволяет
взаимодействовать с ленточным накопителем аналогично
работе с жестким диском.
Отличие NAS от других систем СХД
Есть множество признаков, характерных для Network
Attached Storage, – это и наличие LAN-интерфейсов, и раз-
витый стек сетевых протоколов, и программное обеспече-
ние, специализированное для работы в локальной сети.
Наверное, главным из отличительных факторов является
обязательное присутствие сетевой файловой системы со-
вместного доступа [2]. К одному и тому же сетевому ресурсу
в составе NAS могут обращаться различные пользователи,
серверные службы и даже другие NAS.
Разумеется, для других систем хранения данных DAS
и SAN такой совместный подход трудноосуществим,
так как это классические системы блочного типа, рассчи-
танные на подключение к серверу-клиенту в режиме внеш-
него диска.
Составные NAS
В предыдущей статье [1], посвященной устройствам DAS,
говорилось о том, что сетевой серверный узел с прямым
подключением дискового хранилища (Disk Enclosure),
по сути, является основой для построения более сложных
устройств. Это в полной мере справедливо в отношении
Network Attached Storage. Очень часто промышленные моде-
ли NAS представляют собой головной компьютер (Controller
Enclosure), подключенный к локальной сети, работающий
с внешним дисковым хранилищем (Disk Enclosure). Такая
схема имеет как свои положительные, так и отрицательные
стороны (см. рис. 3).
Положительная сторона состоит в возможности легко на-
растить объем дискового хранилища, просто добавив еще
одно хранилище.
Еще один довод в пользу составных NAS – попытка по-
высить ремонтопригодность. Достаточно заменить голов-
ную часть в случае выхода ее из строя, не затрагивая Disk
Enclosure.
Плохая новость заключается в том, что такую бесшовную
замену Controller Enclosure трудно реализовать на практи-
ке. Нужно, чтобы элементы управления дисковой системы,
такие как RAID-контроллер, операционная система и спе-
циальные драйверы, умели распознавать критически важ-
ную информацию: конфигурацию дисковых томов, уровень
RAID [3], наличие дисков в режиме Hotspare и так далее.
Поэтому крайне важно, чтобы вновь установленное про-
граммно-аппаратное обеспечение управляющей части уме-
ло полностью без ошибок распознавать такие тонкости.
Или должна существовать возможность заранее сохранить
конфигурацию с работающей системы, чтобы впоследствии
восстановить настройки при замене системы. В противном
случае можно легко потерять данные со всего хранилища,
и дополнительная мера по ремонтопригодности превратит-
ся в новую возможность уничтожения данных.
Отличие NAS от File Server
Как уже говорилось выше, прародителем NAS были файло-
вые серверы. Казалось бы, есть проверенное отработанное
системный администратор май 2016
Администрирование
решение, на котором уже не один десяток лет системные
администраторы строили структуру обмена данными.
Для полного понимания идеологии Network Attached
Storage рассмотрим обычный File Server на базе универ-
сальной операционной системы.
Существуют два варианта использования файловых сер-
веров: в выделенном и невыделенном режиме. В последнем
случае компьютер представляет собой рабочую станцию,
на которой работает пользователь, и одновременно на этом
компьютере хранятся файлы других участников работы
в сети. Такая схема до сих пор применяется в небольших
компаниях и домашних офисах (см. рис. 4 и 5).
Но даже файл-сервер используется в выделенном ре-
жиме, его все равно можно приспособить для дополнитель-
ных функций. Например, компьютер можно использовать
как внутренний прокси-сервер, терминальный сервер, об-
рабатывающий центр системы мониторинга и так далее.
Постоянное увеличение объемов хранимой и передава-
емой информации потребовало их жесткой оптимизации.
Универсальная операционная система с множеством со-
путствующих программ требует дополнительных систем-
ных ресурсов. Кроме того, такая конструкция небезопасна.
Универсальная система, позволяющая устанавливать бес-
численное множество различных программ, более уязвима
для вирусов и атак со стороны злоумышленника, а также
ошибок со стороны ИТ-персонала.
Помимо всего прочего, первоначальная настройка, за-
пуск и последующая эксплуатация ПК-сервера на основе
традиционных серверных ОС требует значительной ква-
лификации, а порой и существенных временных затрат.
Все это неизбежно отражается на стоимости владения та-
кими системами.
Это и потребовало создания систем хранения данных
нового типа, построенных на базе файловых серверов,
но с существенными отличиями.
В отличие от файловых серверов Network Attached
Storage не допускает подобного творчества.
Главное отличие NAS от файловых серверов на основе
универсальной операционной системы – оптимизация ап-
паратной платформы и всего программного обеспечения
Рисунок 3. Схема NAS с внешним дисковым хранилищем
5
 Администрирование
Сети иерархические и одноранговые
Различия между выделенным и невыделенным серверами будут более по-
нятны после небольшого экскурса в прошлое. В свое время (приблизитель-
но в середине 1980-х) наметились два выраженных направления развития
компьютерных сетей.
Первое направление предполагало наличие строго распределения ро-
лей: на серверы и клиенты. Сетевая инфраструктура представляла собой
несколько выделенных серверов, соединенных сетевым оборудованием
между собой и рядовыми участниками обмена данными в сети – рабочими
станциями. Соответственно, предполагалось, что все данные хранятся ис-
ключительно на серверах, а рабочие станции являются просто средством
доступа пользователей в компьютерную сеть. Такие сети получили назва-
ние иерархические. Наиболее типичной иллюстрацией такого подхода
можно считать Novell Netware [5].
Второй подход заключался в возможности использования ресурсов
всех компьютеров в сети. Члены такого сетевого сообщества могут об-
мениваться данными, передавать короткие сообщения и даже совместно
использовать периферийные устройства друг друга, например, принтеры.
При этом нет необходимости выделять компьютер на роль отдельно стоя-
щего сервера. Все компьютеры – участники сетевого обмена имеют равный
уровень и могут являться одновременно и клиентами и серверами в одной
и той же инфраструктуре. Такие сети получили название – одноранговые.
Примером такой сети может послужить сеть LANtastik [6].
Разумеется, оба подхода имеют свои преимущества и недостатки. Что-
бы максимально использовать преимущества обоих методов, появились
так называемые смешанные сети. Большинство сетей в современных офи-
сах принадлежит именно к этому типу. Например, тонкие клиенты подклю-
чаются к терминальному серверу, который, в свою очередь, сам является
клиентом для других серверов.
именно для сетевого хранения данных и управления диско-
выми массивами.
Часто специализированные сетевые хранилища вообще
не имеют возможности подключения монитора и клавиату-
ры, и управление производится только с помощью сетевого
веб-интерфейса. При этом выбор программ, которые мож-
но установить дополнительно, ограничен производителем.
Обычно предполагается всего лишь несколько дополни-
тельных плагинов, расширяющих небогатый функционал
Network Attached Storage. Подобные ограничения продикто-
ваны стремлением производителя снизить вероятность сбо-
ев по вине ПО стороннего производителя, а также неква-
лифицированного вмешательства со стороны потребителя.
Прекрасным примером такого узкоспециализированного
устройства служит Netgear ReadyNAS [4].
Примечание. Некоторые модели NAS производители
снабжают дополнительными возможностями, например, они
могут выступать в качестве принт-серверов или контрол-
леров домена Active Directory, но это скорее исключение
из правил, призванное расширить аудиторию потенциаль-
ных клиентов. Чаще всего такое разнообразие встречается
среди устройств начального уровня, предназначенных в ос-
новном для домашнего использования.
Два способа создания NAS
Аппаратный
Подразумевает промышленный выпуск узкоспециализиро-
ванных устройств, в которых большое внимание уделяется
6 май 2016 системный администратор
хранение данных
совместной работе аппаратного и программного обеспече-
ния. Программное обеспечение фактически представляет
собой прошивку (firmware), записываемую на специальный
флеш-накопитель, который часто поставляется в виде не-
съемного устройства, например, микросхемы на материн-
ской плате. Иногда в несъемном форм-факторе также по-
ставляются процессор и базовый комплект оперативной
памяти. Модернизация таких устройств силами пользовате-
ля, как правило, невозможна и выполняется только в специ-
альных сервисных центрах.
В целях оптимизации использования аппаратных ресур-
сов, а также в стремлении создать как можно более эко-
номичную модель, применяются процессоры, отличные
от архитектуры x86, например, ARM [7], MIPS [8] и даже
PowerPC [9].
Обычно аппаратные NAS имеют минимум средств управ-
ления. В большинстве таких моделей полностью отсут-
ствует возможность подключения монитора и клавиатуры,
а все действия по обслуживанию выполняются либо с по-
мощью специальных кнопок на корпусе, либо по сети че-
рез стандартные средства управления, либо посредством
специальных портов для подключения компьютера со спе-
циальной программой настройки. В качестве одного из та-
ких средств зарекомендовал себя Windows Hyperterminal,
позволяющий работать с устройством через COM-порт (ин-
терфейс RS-232).
В качестве еще одной характерной особенности наличия
можно назвать использование узкоспециализированных
версий BIOS.
Прекрасным примером аппаратного Network Attached
Storage может служить NETGEAR ReadyNAS.
Преимуществом аппаратного NAS является относитель-
но более эффективное использование системных ресурсов
за счет лучшей интеграции оборудования и ПО. Следует так-
же отметить высокий уровень безопасности в первую оче-
редь с тем, что аппаратный NAS является более закрытым
от внешнего воздействия неподготовленного персонала
(невозможно подключить консоль, применяются специали-
зированные BIOS и firmware и так далее).
Ограничением при использовании аппаратного NAS слу-
жит все та же закрытость системы. Трудности в установке
дополнительного оборудования. Чаще всего разрешается
использовать только специализированные комплектующие
от производителя данной системы хранения, ассортимент
которых неширок, а цены достаточно высоки.
Другое ограничение связано с дополнительными про-
граммными модулями, которые поставляются в виде plugins
и число которых также крайне мало. С одной стороны, такие
драконовские меры призваны повысить отказоустойчивость
аппаратного NAS, с другой – значительно ограничивают воз-
можности его применения.
Ну и, разумеется, практически единственный способ
модернизации при устаревании – купить другой, более со-
временной модели, и перенести на него данные, а старый
отправить на свалку.
Программный
В отличие от аппаратного, представляющего собой закры-
тую от пользователя систему, программный вариант Network
Attached Storage является универсальным компьютером
 хранение данных
(сервером) с установленным специальным программным
обеспечением.
Обычно используются операционные системы семейства
UNIX-like, хотя в некоторых случаях могут применяться моди-
фикации на базе Windows и других платформ.
Наиболее популярны дистрибутивы на базе FreeBSD [10],
например, FreeNAS [11], Linux – OpenMediaVault [12] и даже
OpenSolaris [13] – NexentaStor [14].
Большинство программных NAS систем имеют удобный
интерфейс управления, чаще всего через веб-консоль,
а также командную строку. Некоторые системы позволяют
использовать локальную консоль для выполнения элемен-
тарных действий, таких как смена IP-адреса.
В некоторых случаях системный администратор предпо-
читает создать сетевую систему хранения данных самосто-
ятельно. Примером такой рукотворной системы может по-
служить система хранения данных на базе FreeBSD, Samba,
SWAT, описанная в статье [15].
Использование универсального оборудования подраз-
умевает и большую универсальность ОС. Так как большин-
ство версий программных NAS строятся на базе известных
дистрибутивов Open Source, это дает возможность исполь-
зовать дополнительные программные пакеты из соответ-
ствующих дистрибутивов.
Например, можно установить текстовый редактор для ре-
дактирования конфигурационных файлов, программу-архи-
ватор и так далее.
Разумеется, использование программных NAS облегчает
функции по замене комплектующих. По сравнению с аппа-
ратным NAS расширяется ассортимент совместимых запча-
стей, упрощается модификация аппаратной и программной
составляющих. В целом программный NAS представляет со-
бой более гибкое решение.
Ограничением применения таких сетевых хранилищ яв-
ляется более низкий уровень «защиты от дурака». В случае
когда необходимо передать полномочия по управлению си-
стемой хранения менее квалифицированным, но более лю-
бопытным лицам, склонным к рискованным экспериментам,
применение классической аппаратной реализации NAS бу-
дет более оправданным.
Рисунок 4. Выделенный файловый сервер
системный администратор май 2016
Администрирование
Из истории сетевых накопителей
Как говорилось выше, предшественниками NAS были
файловые серверы на базе универсальных операционных
систем.
Но уже в 1990-е годы компании, разрабатывающие
и производящие микропроцессоры и оборудование
для работы в сети, в том числе Motorola-Freescale, Intel
(отделение XScale, которое сейчас входит в состав ком-
пании Marvell), 3Com и другие, положили начало развитию
новых специализированных платформ, предназначенных
для сетевого хранения данных и управления дисковыми
массивами.
В результате этих разработок появились готовые реше-
ния для создания специализированных систем сетевого
хранения данных.
Сама идея построения нового класса устройств сетевого
хранения данных родилась достаточно давно, а первые об-
разцы Network Attached Storage в наиболее близком к сегод-
няшнему виде появились в середине 1990-х.
Нельзя сказать, что NAS моментально завоевали популяр-
ность. Отсутствие общепринятых стандартов и требование
установки выделенного оборудования их массового внедре-
ния. Однако рост объемов хранимых данных, необходимость
организации совместной работы и необходимость выработ-
ки более простых методов управления ИТ-инфраструктурой
создали предпосылки для роста популярности сетевых
устройств хранения данных.
Примечание. Победоносное шествие операционной
системы Novell Netware по странам и офисам было обуслов-
лено тем, что данная система строилась по принципу «ни-
чего лишнего». Фактически это был первый успешный про-
ект по созданию программного NAS, заслуживший общее
признание.
Временный регресс в сторону файловых серверов
на базе универсальных операционных систем был обязан
агрессивной маркетинговой политике компании Microsoft,
сделавшей ставку на одноранговые сети и возможность соз-
дания невыделенных файл-серверов в целях привлечения
большего числа клиентов. Расчет менеджеров Microsoft был
очевиден – создав упрощенную, пусть даже неэффективную
Рисунок 5. Невыделенный файловый сервер
7
 Администрирование
инфраструктуру на этапе становления, впоследствии будет
труднее мигрировать на другую платформу.
Противостоять такой политике компаниям, сразу пред-
лагавшим строить иерархическую сеть и использовать
выделенные файл-серверы, было очень затруднительно
из-за более высоких затрат на начальном этапе. О том, в ка-
кую сумму выльется дальнейшая миграция, обычно мало
кто задумывается.
Примечание. Типичный кошмар сисадмина, когда поль-
зователи сети хранят рабочие файлы на своих компьютерах
и обмениваются данными через локальные общие папки,
получил такое распространение именно благодаря марке-
тинговой политике Microsoft по продвижению одноранговых
сетей и невыделенных серверов.
Однако впоследствии рост объемов данных заставил
более критично взглянуть на уже сложившуюся практику
хранения данных на файл-серверах, так усиленно продви-
гаемую со стороны Microsoft, и снова перейти к специализи-
рованным сетевым устройствам хранения данных.
Но, несмотря на очевидное, NAS на заре своего появ-
ления в виде законченных устройств для конечного потре-
бителя не смогли уверенно утвердиться на рынке в силу
достаточно высокой на тот момент стоимости и, что еще
более важно, в силу факта идеологического опереже-
ния времени. На тот момент развития техники и техноло-
гии превалирующим решением были файловые серверы
на основе ПК, а доверие к альтернативным платформам
было весьма зыбким.
Современные системы NAS
Если на рубеже ХХ-ХХI веков сетевые системы хранения
данных еще были чем-то вроде экзотики, то теперь область
их применения заметно увеличилась.
Этому способствуют следующие факторы:
>> Стремительный рост хранимой информации.
>> Развитие такого направления, как Big Data.
>> Стремление к оптимизации затрат на обслужива-
ние систем хранения и содержание ИТ-персонала.
(При этом основная потребность заключается не толь-
ко в попытке сэкономить на заработной плате, а в боль-
шей мере в дефиците грамотных ИТ-специалистов.)
>> Возможность гибкого расширения уже существующей
системы.
>> Унификация и взаимозаменяемость используемого
оборудования.
Растущая потребность в сетевых системах хранения дан-
ных вызывает спрос не только на продукцию таких извест-
ных брендов, как NetApp, но и на более простые решения,
а также сетевые хранилища «ручной сборки» на базе про-
граммных NAS.
Отдельное слово стоит сказать о системах резервного
копирования, главное, о системах резервного хранения.
Ленточные носители большого объема стоят недешево,
и все больше администраторов резервного копирования
подходят к мысли о том, что хранить резервные копии на лен-
точных картриджах становится достаточно дорого.
Например, новая формула хранения при схеме ротации
«дед-отей-сын» предполагает, что на ленточные носители
записываются только ежемесячные копии («дед»), которые
8 май 2016 системный администратор
хранение данных
выносятся за периметр предприятия, а основная масса ра-
бочих резервных копий хранится именно на Network Attached
Storage. Такая схема хранения обходится значительно де-
шевле и позволяет быстрее восстановить данные, потерян-
ные в результате мелких сбоев.
Вместо заключения. Будущее NAS
Строить прогнозы в мире информационных технологий –
дело весьма неблагодарное. Вспомним хотя бы знаменитое
утверждение Билла Гейтса о достаточном размере в 640 ки-
лобайт оперативной памяти.
Но существуют некоторые общие тенденции, на базе
которых можно сделать кое-какие предположения. Очень
хочется верить, что человечество все-таки придет к более
цивилизованному способу хранения данных – от флешек
и локальных жестких дисков к специализированным устрой-
ствам, обеспечивающим высокую надежность и безопас-
ность хранения.
Рано или поздно такие системы появятся не только в сер-
верных и крупных дата-центрах, а и в небольших офисах,
жилых пространствах, везде, где люди используют компью-
теры.  EOF 
[1] Бережной А. Системы хранения данных. Часть 1. DAS. //«Си-
стемный администратор», №4, 2016 г. – С. 4-7 (http://samag.ru/
archive/article/3163).
[2] Бережной А. Некоторые вопросы построения СХД. Термино-
логия. Часть 1. //«Системный администратор», №3, 2016 г. –
С. 16‑20 (http://samag.ru/archive/article/3143).
[3] Бережной А. Меры отказоустойчивости в дисковых массивах.
//«Системный администратор», №10, 2015 г. – С. 30-36 (http://
samag.ru/archive/article/3043).
[4] Бережной А. NETGEAR ReadyNAS Pro – сразу в работу.
//«Системный администратор», №9, 2012 г. – С. 54-55 (http://
samag.ru/archive/article/2273).
[5] Описание системы Novell Netware – http://www.tadviser.ru/
index.php/Продукт:Novell_NetWare.
[6] Artisoft, Inc. LANtastic v6.0 Руководство по установке и управле-
нию – http://citforum.ru/nets/limg.
[7] Официальный сайт, посвященный архитектуре ARM – http://
www.arm.com.
[8] MIPS Architecture and Assembly Language Overview – http://logos.
cs.uic.edu/366/notes/mips%20quick%20tutorial.htm.
[9] Озеров С. Архитектура процессоров. MIPS, Sparc, ARM
и PowerPC – http://old.computerra.ru/terralab/platform/235565.
[10] Официальный сайт проекта FreeBSD – http://www.freebsd.org.
[11] Домашняя страница проекта FreeNAS – http://www.freenas.org.
[12] Сайт проекта – http://www.openmediavault.org.
[13] Сайт, посвященный Illumos, OpenIndiana, Nexenta, SmartOS
и другим Solaris-системам – http://os-solaris.ru.
[14] Страница Community проекта NexentaStor – https://community.
nexenta.com.
[15] Бережной А. Создаем интегрированный в Active Directory файл-
сервер на базе Samba во FreeBSD. //«Системный администра-
тор», №2, 2007 г. – С. 12-20 (http://samag.ru/archive/article/761).
[16] Бережной А. Сохранение данных: теория и практика.
ISBN: 978-5-97060-185-3. Издательство ДМК-Пресс, 2016 г. –
http://samag.ru/news/more/2213.
Ключевые слова: устройства хранения, NAS.
 виртуализация
Шаблоны контейнеров в Virtuozzo
Оперативное развертывание контейнеров
Подготовка множества виртуальных окружений с одной конфигурацией – задача
для системного администратора нередкая. В статье [1] мы описали возможность
использования для этих целей миграции и клонирования, однако во многих ситуациях
более удобным способом будет использование заранее подготовленных шаблонов
Клонирование позволяет только копировать виртуальное
окружение целиком, и назвать это решение гибким нельзя.
Например, если вы хотите иметь возможность быстро раз-
вертывать контейнеры с одной и той же ОС, но отличающие-
ся только набором приложений, то под каждый такой набор
вам придется подготовить отдельный «эталонный» контей-
нер. Шаблоны Virtuozzo предоставляют более элегантное
решение, позволяя отдельно хранить образ базовой ОС,
а отдельно – образы с наборами приложений, которые могут
накладываться на ОС в различных сочетаниях.
Классификация
Для контейнеров в Virtuozzo поддерживаются шаблоны
двух типов – ОС и приложений. С шаблонами ОС мы уже
сталкивались – они используются при создании контейне-
ров с заданной операционной системой внутри (в реалиях
Virtuozzo – с заданным дистрибутивом Linux и набором преду-
становленных пакетов в нем). Шаблон приложения использу-
ется для установки (или удаления) конкретного приложения
или стека программ в контейнер, где уже установлена ОС.
При этом каждый шаблон приложения рассчитан на исполь-
зование в контейнере, созданном из шаблона определенной
ОС. Например, можно создать контейнер с CentOS 6 на ос-
нове шаблона ОС CentOS 6, а затем добавить туда MySQL
с помощью шаблона приложения MySQL для CentOS 6.
Шаблоны для ОС, в свою очередь, разделяются на ба-
зовый и кастомизированные. Как правило, базовый шаблон
подразумевает установку ОС в варианте по умолчанию, а ка-
стомизированные отличаются от него настройками или на-
бором предустановленных программ.
Различать базовые шаблоны ОС от кастомизированных
и от шаблонов приложений можно по их имени – согласно
правилам именования базовый шаблон содержит только
имя, версию и архитектуру ОС (например, centos-6-x86_64),
кастомизированные содержат некоторый дополнительный
суффикс (centos-6-x86_64-server), а имя шаблона прило-
жения содержит как название приложения, так и название
шаблона базовой ОС, для которой он предназначен (mysql-
centos-6-x86_64).
системный администратор май 2016
Администрирование
Визитка
ДЕНИС СИЛАКОВ,
к.ф.-м.н., старший системный архитектор Virtuozzo,
dsilakov@virtuozzo.com
Такие различия в именах носят не только косметический
характер, но находят отражение в структуре файлов, из ко-
торых состоит шаблон, о чем мы узнаем немного позже.
Управление
Управление шаблонами осуществляется с помощью утили-
ты vzpkg. Для установки шаблона ОС необходимо дать ей
команду install template:
# vzpkg install template centos-6-x86_64
Для обновления файлов шаблона до актуальных версий
служит команда update template. Удалить шаблон ОС можно
с помощью команды remove template. Для удаления шабло-
на приложения нужно использовать эту же команду, однако
необходимо ей передать отдельно имя приложения, а от-
дельно (в опции -F) – имя шаблона ОС:
# vzpkg remove template -F centos-6-x86_64 mysql
Удалить шаблон можно, только если он не используется
ни одним контейнером.
Технически установка шаблона сводится к установке па-
кета с его конфигурационными файлами – например, после
выполнения:
# vzpkg install template centos-6-x86_64
у вас в системе появится пакет centos-6-x86_64-ez (суффикс
«ez» появился от созвучия со словом «easy» – «простой» –
и шаблоны Virtuozzo часто называют EZ-шаблонами).
В Virtuozzo 6 шаблоны приложений оформлялись как от-
дельные пакеты, однако в Virtuozzo 7 (очередная редакция
которой недавно получила статус beta и уже рекомендует-
ся для знакомства всем потенциальным пользователям [2])
в настоящее время файлы шаблонов основных приложений
включены в пакет с шаблоном ОС, для которой они предна-
значены. Теоретически можете и самостоятельно устанав-
ливать, обновлять и удалять такие пакеты с помощью yum.
9
 Администрирование
Однако по крайней мере удаление лучше производить через
vzpkg, ведь yum не в состоянии проверить, не используется
ли шаблон в каком-то из контейнеров, а также может оста-
вить следы пребывания шаблона (в частности, кэш его па-
кетов) в системе.
После установки шаблона ОС желательно сразу создать
кэш входящих в него пакетов и образ диска с установлен-
ными пакетами, иначе все эти операции будут произведены
при первой попытке использовать шаблон. Вы наверняка
заметили это, если создавали контейнеры по примерам
из нашей первой статьи [3] – именно из-за скачивания
и установки пакетов процесс развертывания первого кон-
тейнера может занять заметное время (а может и вовсе за-
вершиться неудачей, если возникнут проблемы с доступом
к репозиториям). Заметим, что в этом заключается главное
отличие шаблонов Virtuozzo от шаблонов OpenVZ, которые
представляли собой архивы с готовой к использованию
файловой системой [4]. Создается кэш командой:
# vzpkg create cache
Можно указать ей в качестве параметра имя шабло-
на, а можно ничего не указывать – тогда она создаст кэши
для всех установленных шаблонов ОС, у которых этих кэшей
еще нет. Пакеты, скачанные для установки, помещаются
в директорию /vz/template/<ОС>/<версия>/<архитектура>/
pm, а сжатый архив с установленными пакетами помещается
в /vz/template/cache. Если заглянете внутрь одного из таких
архивов, вы увидите образ диска root.hds и его дескриптор
DiskDescriptor.xml. Этот образ будет автоматически исполь-
зоваться при создании контейнеров на основе шаблона.
Просмотреть список шаблонов, установленных на серве-
ре, можно с помощью команды:
# vzpkg list
без аргументов. Опция --os для этой команды ограничит вы-
вод шаблонами ОС. Если же передать команде в качестве
аргумента имя контейнера, то получите список шаблонов,
используемых данным контейнером. Ввод команды:
# vzpkg list –available
покажет список доступных, но неустановленных шаблонов.
В запросе можно использовать шаблоны подстановки – на-
пример, вот так можно получить перечень доступных шабло-
нов, начинающихся с centos:
Рисунок 1. Структура подкаталогов /vz/templates отражает набор доступных шаблонов File
10
виртуализация
# vzpkg list --available centos*
Учтите, что на момент написания статьи эта команда
в Virtuozzo 7 смотрела на имена доступных пакетов и не уме-
ла распознавать шаблоны приложений, включенные внутрь
пакетов с шаблонами ОС.
Использование
Использование шаблонов – дело нехитрое. Для создания
контейнера на основе шаблона ОС достаточно указать имя
шаблона в опции --ostemplate:
# prlctl create c1 --vmtype=ct --ostemplate=centos-6-x86_64
Для установки шаблонов приложений контейнер необхо-
димо сначала запустить, а затем воспользоваться командой
vzpkg install:
# prlctl start c1
# vzpkg install c1 mysql
Утилита vzpkg также позволяет обновлять и удалять паке-
ты, входящие в состав шаблона ОС приложения, «снаружи»
контейнера. Например, вот так можно обновить все паке-
ты, входящие в базовый шаблон ОС (в нашем примере –
centos‑6-x86_64):
# vzpkg update c1 centos-6-x86_64
Если не указать имя шаблона, то будут обновлены пакеты
всех шаблонов, используемых контейнером.
А вот так можно удалить все пакеты, установленные
при добавлении шаблона mysql:
# vzpkg remove c1 mysql
Таким образом, шаблоны могут сослужить вам хорошую
службу не только при создании контейнеров, но и на про-
тяжении всего их жизненного цикла.
Структура
Файлы шаблонов хранятся в директории /vz/template,
здесь же находятся закэшированные данные. Файлы рас-
полагаются в директориях, структура которых соответству-
ет имени, версии и архитектуре ОС шаблона – например,
centos/6/x86_64.
Конфигурация базового шаблона ОС хранится в файле
config/os/default, настройки кастомизированных шаблонов –
в файлах config/os/<суффикс>. Конфигурационные фай-
лы для шаблонов приложений, предназначенных для дан-
ной ОС, хранятся в файлах config/app/<имя_приложения>/
default.
Внутри каталогов config можно найти набор файлов с го-
ворящими названиями:
>> packages– набор пакетов;
>> package_manager – используемый системой пакетный
менеджер;
>> repositories – репозитории, подключаемые внутри кон-
тейнеров на основе шаблона и используемые для уста-
новки пакетов;
май 2016 системный администратор
 виртуализация
>> mirrorlist– список зеркал для репозиториев;
>> distribution– тип дистрибутива Linux;
>> summary и description– краткое и подробное описания;
>> environment – предопределенные переменные окруже-
ния для контейнеров;
>> ...и многое другое.
Из не очевидных вещей следует отметить формат,
в котором указывается пакетный менеджер, – для Debian-
систем необходимо указать dpkg для 32-битных архитектур
и dpkg64 для 64-битных, а для дистрибутивов, использующих
rpm, возможны варианты – например, rpm43x86 для 32-битных
ОС, использующих rpm версии 4.3, rpm41s9x64 для 64-бит-
ного SLES-9 и ряд других значений, полный перечень кото-
рых можно найти в справке по команде:
# man vzpkg.metafile
Менеджер пакетов, репозитории и списки зеркал обяза-
тельны только для базовых шаблонов ОС. Для кастомизи-
рованных шаблонов и шаблонов приложений эти значения
берутся из параметров базовой ОС, но можно указать и до-
полнительные настройки в их собственных конфигураци-
ях – они будут добавлены к значениям базовой ОС. Для шаб-
лонов приложений можно указывать перечни совместимых
и необходимых шаблонов.
Помимо статических файлов конфигурации, шаблоны
ОС могут содержать скрипты, выполняемые на определен-
ной стадии их развертывания. Более точно: скрипты можно
выполнять непосредственно перед либо сразу после завер-
шения одного из следующих шагов:
>> cache– создание кэша из пакетов шаблона;
>> install– установка шаблона на сервер;
>> upgrade– обновление шаблона;
>> remove– удаление шаблона с сервера.
Скрипт, выполняемый перед тем или иным шагом, имеет
префикс «pre-» (например, pre-install), а после завершения
шага – префикс «post-».
Создание
Virtuozzo предоставляет готовые шаблоны для популярных
ОС и приложений, однако вряд ли возможно предусмотреть
все конфигурации, которые могут понадобиться пользова-
телям.
Впрочем, если готового шаблона не нашлось, можно соз-
дать свой собственный.
Проще всего это сделать, взяв за основу уже существу-
ющий. Достаточно создать каталог для шаблона в соот-
ветствии с его именем, скопировать файлы из исходного
шаблона и внести необходимые изменения. Если все моди-
фикации сводятся к изменению набора пакетов или настро-
ек по умолчанию, то много времени это не займет. После
создания новых файлов в /vz/templates, vzpkg автоматиче-
ски увидит новый шаблон.
Если же имеющиеся примеры не подходят в качестве
основы либо просто вы хотите поглубже понять устройство
шаблонов, то можно создать собственный экземпляр с нуля
с помощью тех же средств, которыми пользуются разработ-
чики Virtuozzo.
системный администратор май 2016
Администрирование
Для начала установите пакет vztt-build из репозиториев
Virtuozzo:
# yum install vztt-build
Теперь создайте новый каталог с именем шаблона, а в нем
метафайл с инструкциями по развертыванию шаблона (обыч-
но этот файл называют просто «metafile» либо добавляют
«metafile» как суффикс к имени шаблона). Сюда же следует
положить pre- и post-скрипты, которые включаем в шаблон.
Метафайлы проще всего создавать на основе примеров,
располагающихся в каталоге /usr/share/vztt/samples. Мета-
файл состоит из набора секций, каждая из которых начина-
ется с символа процента («%»). Имена секций соответствуют
файлам шаблона, которые будут помещены в директорию
config, как мы это видели в предыдущем разделе. Внутри ме-
тафайла можно оставлять комментарии начиная их с симво-
ла решетки («#»). Детальное описание формата метафайла
можно найти в соответствующей справке по команде:
# man vzpkg.metafile
Когда метафайл готов, необходимо его передать команде
vzmktmpl. Если будете использовать какие-либо pre- и post-
скрипты, то надо их явно указать в соответствующих опциях,
например:
# vzmktmpl --pre-cache pre-cache --pre-upgrade ↵
pre-upgrade metafile
Результатом работы этой утилиты будет rpm-пакет с но-
вым шаблоном, который вы можете установить на любой
машине с Virtuozzo.
Шаблоны – удобное средство, экономящее время систем-
ного администратора, уменьшающее время развертывания
готовых систем для пользователей и снижающее вероят-
ность ошибок при таких развертываниях. Virtuozzo 7 предо-
ставляет шаблоны для наиболее часто запрашиваемых кон-
фигураций ПО, а если нужного вам шаблона нет в штатной
поставке, то есть инструментарий для его оперативного
создания. Если вы при этом полагаете, что ваши наработ-
ки могут пригодиться кому-то еще, то вы можете передать
их разработчикам Virtuozzo для размещения в публичных
репозиториях [5].
[1] Силаков Д. Виртуальные машины в Virtuozzo 7. // «Систем-
ный администратор», №1-2, 2016 г. – С. 16-19 (http://samag.ru/
archive/article/3111).
[2] Virtuozzo 7 Beta Program – https://goo.gl/IjaHdH.
[3] Силаков Д. Промышленная виртуализация с помощью
Virtuozzo 7. // «Системный администратор», №12, 2015 г. – С. 4-6
(http://samag.ru/archive/article/3083).
[4] Виртуализация с OpenVZ. // Хабрахабр – https://habrahabr.ru/
post/211915/.
[5] Исходный код шаблонов Virtuozzo 7 – https://src.openvz.org/
projects/OVZT.
Ключевые слова: виртуализация, OpenVZ, контейнеры, Virtuozzo.
11
 Администрирование
Визитка
АЛЕКСАНДР ПИЧКАСОВ,
сертифицированный специалист Microsoft, VMware, apichkasov@gmail.com
Поддержка филиалов средствами MDOP
Компонент DaRT пакета MDOP, применяемый совместно с встроенными
средствами операционной системы, позволит организовать эффективную
техподдержку филиалов
Многие предприятия обладают филиальной сетью, часто
довольно разветвленной, но состоящей из небольших офи-
сов. При этом размеры филиалов предъявляют специфиче-
ские требования к их ИТ-поддержке. Можно выделить две
главные особенности: это, во-первых, необходимость обе-
спечить техподдержку пользователей и, во-вторых, поста-
вить на должный уровень информационную безопасность
филиала в условиях физической удаленности и отсутствия
постоянного ИТ-персонала. Часть задач возможно решить
совместным использованием встроенных средств настоль-
ных и серверных ОС, но задействование для этих целей па-
кета MDOP предоставит ряд дополнительных возможностей.
Пакет MDOP, состав и особенности
Пакет Microsoft Desktop Optimization Pack (MDOP) предназна-
чен для повышения эффективности управления настольны-
ми системами и снижения совокупной стоимости владения
Рисунок 1. Состав набора инструментов DaRT
12
инструменты
(TCO). Необходимо отметить, что для правомерного исполь-
зования MDOP предприятие должно иметь действующую
подписку Software Assurance (SA), а также оплатить годовое
использование самого пакета. Крупные предприятия часто
пользуются возможностями подписки SA, если же этот воп-
рос находится на стадии рассмотрения, детальную инфор-
мацию по пакету MDOP можно получить на сайте постав-
щика [1]. Прежде чем перейти к теме статьи, необходимо
раскрыть, что представляет собой пакет MDOP в целом.
С точки зрения конечного потребителя, он состоит из ше-
сти независимых компонентов:
>> виртуализации приложений Microsoft App-V;
>> виртуализации пользовательской среды Microsoft UE-V;
>> виртуализации настольных систем MED-V;
>> расширенного управления групповыми политиками
Microsoft AGMP;
>> средства администрирования и мониторинга BitLocket
MBAM;
>> набора средств диагностики и восстановления
Microsoft DaRT.
Непосредственно для решения обозначенных выше за-
дач полезным будет последний элемент списка.
Организация удаленной техподдержки
средствами MDOP
Решение задачи удаленной техподдержки естественным
образом распадается на две подзадачи: это, во-первых,
предоставление удаленной помощи в штатном режиме ра-
боты настольной системы и, во-вторых, подобная помощь
в случае невозможности выполнить обычный старт, когда,
собственно, и потребуются средства MDOP.
Для штатного режима логично использовать встроенные
средства, а именно возможности «Удаленного помощни-
ка» (Remote Assistance). Нужно отметить, что без дополни-
тельных настроек «Удаленный помощник» может быть ис-
пользован в режиме запроса удаленного взаимодействия.
Служба техподдержки часто предпочитает пользовать-
ся режимом предложения удаленной помощи. Напомню,
май 2016 системный администратор
 инструменты Администрирование

Пакет MDOP предназначен

для повышения эффективности
управления настольными
системами

что такой вариант работы должен быть предварительно нас-
троен с помощью групповых политик (для выбранного объ-
екта ГП – Computer Configuration → Policies → Administrative
Templates  → System  → Remote Assistance → Configure
Offer Remote Assistance, добавить предварительно соз-
данную группу техподдержки, например, <Domain_name>\
HelpDesk). При таком варианте запуск предложения удален-
ной помощи может быть выполнен из командной строки:
msra /offerra <computer_name | ip_address>
Для реализации варианта техподдержки в нештатной си-
туации удобно использовать набор инструментов диагности-
ки и восстановления (Diagnose and Recovery Toolset, DaRT),
в состав которого входят следующие элементы (см. рис. 1):
>> редактор реестра (Registry Editor);
>> утилита сброса пароля локальных пользователей
(Locksmith);
>> анализатор аварийных дампов (Crash Analyzer);
>> утилита восстановления удаленных файлов (File
Restore);
>> утилита восстановления дисков, разделов и томов (Disk
Commander);
>> утилита надежной очистки диска (Disk Wipe);
>> утилита управления компьютером (аналог встроенной
оснастки с тем же названием, Computer Management);
>> файл справки(Help);
>> файловый менеджер (аналог встроенного проводника,
Explorer);
>> утилита выбора подходящего инструмента (Solution
Wizard);
>> утилита конфигурации сетевого соединения (TCP/IP
Config);
>> утилита деинсталляции исправлений (Hotfix Uninstall);
>> утилита восстановления системных файлов (SFC Scan);
>> утилита поиска файлов (Search);

Рисунок 2. Настройка параметров удаленного подключения Рисунок 3. Добавление драйверов оборудования

системный администратор май 2016 13

 Администрирование
>> антивирусная утилита (Defender);
>> утилита удаленного подключения (Remote Connection).
Реализован DaRT в виде загрузочного образа на плат-
форме Windows Preinstallation Environment, генерацию ко-
торого проводит администратор системы в соответствии
со своими потребностями. При этом конкретный вариант
DaRT может содержать сокращенный список инструментов,
определяемый на этапе его создания.
Для получения возможности генерации загрузочных
образов необходимо последовательно установить пакет
Windows Assessment and Deployment Kit (WADK) наиболее
свежей версии, соответствующей последнему выпуску
MDOP [2, 3], а затем, собственно, компонент DaRT пакета
MDOP. При развертывании пакетов значения параметров
принимаются по умолчанию.
Рисунок 4. Настройка ответа на запросы клиентов сервера WDS
Рисунок 5. Запрос сетевой загрузки при старте компьютера
Рисунок 6. Пример установки удаленного подключения
14
инструменты
После этого можно приступить к созданию загрузочно-
го образа, используя мастер DaRTImage.exe (находится
в каталоге установки DaRT). Для его успешного завершения
необходимо предоставить дистрибутивный носитель, соот-
ветствующий версии установленного пакета WADK. Шаги
мастера позволяют задать расположение дистрибутивного
носителя, выбрать инструменты, настроить параметры уда-
ленного подключения (см. рис. 2), добавить драйверы обору-
дования, отсутствующие в дистрибутиве (см. рис. 3), а также
задать путь для сохранения генерируемого файла. Резуль-
татом работы мастера в соответствии с вашим выбором
будут загрузочный образ в формате WIM, такой же образ,
подготовленный к записи на сменный носитель, и скрипт
PowerShell для повторной его генерации. Последний опцио-
нальный шаг мастера дает возможность записать подготов-
ленный файл на сменный носитель.
Созданный образ может быть использован для запуска
обслуживаемых компьютеров в разных вариантах. Это, на-
пример, их непосредственная загрузка с использованием
сменного носителя (оптического диска или флеш-накопите-
ля). Другой вариант – замена файла Winre.wim среды вос-
становления (Recovery Environment), расположенного в ОС
Windows 8/Windows 2012 на отдельном томе с меткой System
Reserved, в каталоге Recovery/WindowsRE. Однако наиболее
удобно воспользоваться вариантом сетевой загрузки, учи-
тывая, что подавляющее большинство материнских плат,
выпущенных в последние годы, снабжены встроенными се-
тевыми адаптерами, позволяющими выполнять сетевую за-
грузку по протоколу PXE.
Для реализации последнего варианта наиболее простой
способ – установка роли серверной операционной сис-
темы, а именно служб развертывания Windows (Windows
Deployment Services, WDS). Главное предназначение данных
сервисов – автоматизация развертывания операционных
систем, однако входящий в их состав сервер PXE позволя-
ет организовать загрузку произвольных образов в формате
WIM. Стоит отметить, что в случае, если службы WDS уже
установлены и используются по прямому назначению, до-
бавление образа DaRT нисколько не повлияет на их работу,
поскольку конфигурационные средства дают возможность
сформировать список выбора загрузки. Далее подразуме-
вается, что в назначенном филиале присутствует компью-
тер или виртуальная машина с серверной ОС семейства
Windows и работающим сервером DHCP.
Роль WDS может быть установлена, например, средства-
ми PowerShell:
Install-WindowsFeature WDS -IncludeAllSubFeature ↵
–IncludeManagementTools
После установки роли WDS сервер должен быть нас-
троен с помощью графической консоли (Control panel →
Administrative tools → Windows Deployment Services), зна-
чения требуемых параметров можно оставить задаваемы-
ми по умолчанию, за исключением настроек сервера PXE.
Необходимо предоставить возможность обработки запро-
сов всех клиентов, без подтверждения администратором
(см. рис. 4). Затем добавить созданный ранее образ в спи-
сок предлагаемых при старте компьютеров либо с помощью
той же оснастки, либо средствами PowerShell, например:
май 2016 системный администратор
 инструменты
Import-WdsBootImage –Path C:\Users\Administrator\Desktop\ ↵
DaRT8.1\x64\boot.wim –NewImageName ↵
"HelpDesk DaRT 8.1 (x64) –DisplayOrder 0
Значение параметра NewImageName задает наиме-
нование варианта загрузки в списке, DisplayOrder зада-
ет его положение, указанный вариант определяет пер-
вую строку и,  таким образом, делает образ загружаемым
по умолчанию.
На этом этапе сервер готов обрабатывать запросы се-
тевой загрузки по PXE-протоколу. Настройка клиентских
компьютеров заключается в установке в BIOS Setup приори-
тета сетевой загрузки. Поскольку параметры по умолчанию
сервера WDS предусматривают подтверждение сетевой
загрузки нажатием клавиши <F12> (см. рис. 5), сделанные
изменения не повлияют на обычную загрузку настольных
компьютеров.
Запрос поддержки в нештатной ситуации
Получение помощи в нештатной ситуации при описанных
настройках потребует следующих действий пользователя:
>> нажатие клавиши <F12> при загрузке компьютера;
>> выбор загрузочного образа из списка;
>> переход по дереву меню к инструментам DaRT после
загрузки образа Windows PE;
>> запуск инструмента Remote Connection;
>> передачи сотруднику техподдержки номера тикета, IP-
адреса и порта подключения (см. рис. 6).
системный администратор май 2016
Администрирование
Специалист техподдержки, получив данные, подключает-
ся к удаленному компьютеру с помощью DartRemoteViewer,
расположенной в каталоге установки DaRT. Параметры
подключения могут быть набраны в интерактивном режиме
либо указаны в командной строке при старте:
DartRemoteViewer.exe –ticket=619-691-521 ↵
–ipaddress=10.10.0.40 –port=3388
После подключения на целевом компьютере блокируют-
ся клавиатура и мышь, но пользователь может отслеживать
на экране действия администратора.
Необходимость присутствия пользователя при запуске
удаленной поддержки составляет некоторые неудобства,
в действительности такое требование соответствует иде-
ологии информационной безопасности. Это объясняется
тем, что конечный пользователь как владелец информации,
хранящейся на локальных дисках компьютера, должен при-
нимать решение, когда и кому предоставлять доступ.  EOF 
[1] Описание MDOP на сайте производителя – https://technet.
microsoft.com/ru-ru/windows/mdop.aspx .
[2] Загрузка пакета Windows ADK 8.1 – http://www.microsoft.com/en-
us/download/details.aspx?id=39982.
[3] Загрузка пакета Windows ADK 10 – https://msdn.microsoft.com/
en-us/windows/hardware/dn913721.aspx.
Ключевые слова: Windows, MDOP, WADK, техподдержка.
15
 Безопасность угрозы

Визитка Визитка

ВЕНИАМИН ЛЕВЦОВ, НИКОЛАЙ ДЕМИДОВ,

вице-президент, глава корпоративного дивизиона технический эксперт
«Лаборатории Касперского» «Лаборатории Касперского»

Анатомия таргетированной атаки

Часть 2. Развитие атаки
Используя накопленную за последние годы экспертизу в расследовании целевых атак,
в продолжение нашего цикла статей мы опишем детальное развитие атаки, следуя
четырем ее фазам, с реальными примерами, рассмотрим функциональное применение
инструментов в комбинации с различными техниками социальной инженерии

В первой части статьи [1] мы обратили внимание на историю
происхождения таргетированных атак, привели описание
применяемых методов и инструментов, которые использу-
ются в процессе достижения целей, и подробно разобрали
шаги подготовительной фазы. По статистике «Лаборатории
Касперского» доля целевых атак составляет 1% от обще-
го числа мировых угроз, но, несмотря на низкую распро-
страненность, целевые атаки наносят больше ущерба, чем
оставшиеся 99% угроз совокупно, каждый раз увеличивая
этот антирекорд.
Что же представляет собой
таргетированная атака?
Таргетированная атака – это непрерывный процесс не-
санкционированной активности в инфраструктуре атакуе-
мой системы, управляемый киберпреступником в режиме
реального времени. Процесс всегда строится под жертву,
являясь некой продуманной операцией, а не просто разо-
вым техническим действием, он направлен для работы в ус-
ловиях конкретной инфраструктуры, призван преодолеть
существующие в ней механизмы безопасности и опреде-
ленные продукты, вовлечь во взаимодействие ключевых
сотрудников (чаще всего обманом). Такая операция обыч-
но управляется организованной группой профессио-
налов, порой международной, вооруженной изощренным
техническим инструментарием. Деятельность группы часто
похожа на многоходовую войсковую операцию, следую-
щую четко подготовленной стратегии, обычно состоящей
из четырех фаз.
Продолжая аналогию, можно сказать, что происходит во-
оруженная схватка между людьми: одни нападают, другие
отражают хорошо подготовленное нападение, учитывающее
слабые стороны и особенности систем противодействия.
И статистика в этом противостоянии неутешительна:
по данным проведенного «Лабораторией Касперского»
опроса российских предприятий, практически каждая чет-
вертая компания (23%) считает, что уже становилась жерт-
вой целевых атак.
Таргетированная атака включает в себя четыре основные
фазы (см. рис. 1).

Фаза первая. Подготовка

Рисунок 1. Фазы целевой атаки
Основные задачи начальной фазы
атаки, подтверждающие ее определе-
ние как «целевой»:
>> Поиск и определение цели с после-
дующим сбором детальной инфор-
мации по выявлению слабых мест.
>> Анализ собранной информации,
разработка стратегии по достиже-
нию результата, дополняя ее созда-
нием инструментов.

Более детально первая фаза описа-

на в первой части цикла статей [1].

Фаза вторая. Проникновение

По совокупности применяемых тех-
ник фаза «Проникновение» является

16 май 2016 системный администратор

 угрозы Безопасность

для киберпреступников одной из самых сложных в исполне- Dropper

нии и реализации.
Большинство инженеров информационной безопасности
затруднялись с ответом, когда их просили перечислить при-
меняемые средства и методы проникновения в инфраструк-
туру, давайте сформулируем ответ вместе. Для этого внача-
ле приведем наименование основных технических средств
с описанием их основных функций.
Эксплойт (Exploit)
Вредоносный код, использующий уязвимости в программ-
ном обеспечении. Основной инструмент проникновения,
средствами доставки которого являются электронная почта,
компрометированные веб-сайты и USB-устройства.
Проникнув благодаря уязвимости на целевой корпора-
тивный компьютер, эксплойт запускает средство доставки,
тип которого зависит от дизайна атаки: это могут быть вали-
датор, загрузчик или Dropper.
Валидатор
Сборщик информации с зараженного хоста, выполняет
фильтрацию информации об учетных записях пользовате-
лей, установленном программном обеспечении, активных
процессах и средствах защиты. Передает шифрованные
данные в центр управления. В зависимости от полученной
информации хакеры принимают решение о дальнейшем
развитии атаки, выбрав соответствующую команду:
>> загрузка Dropper – приступить к выполнению целевой
атаки;
>> самоуничтожение – в случаях, когда компьютер и дан-
ные на нем не представляют ценности для целевой атаки;
>> ожидание– решение откладывается, режим «сна».
Обладая минимальным размером и функционалом, вали-
датор не несет в себе уникальной информации о целевой
атаке и ее организаторах. В случае если он перехватывает-
ся средствами защиты, это не создает для киберпреступни-
ков угрозы утечки методов и средств, планируемых к при-
менению. Благодаря таким качествам может применяться
в случаях, когда:
>> риск обнаружения стандартны-
ми средствами защиты велик,
Рисунок 2. Основной модуль в целевой атаке может обладать самым различным вооружением, которое зависит
для исключения возможной утеч- от поставленной цели и задачи
ки применяемых техник в целе-
вой атаке;
>> целевая почтовая рассылка.
Это троянская программа, которая осуществляет доставку
основного вредоносного модуля Payload на целевую маши-
ну с последующим закреплением внутри операционной сис-
темы, как правило, это скрытая автозагрузка:
>> определяет активные процессы в операционной систе-
ме, выбирая наиболее выгодный с точки зрения при-
вилегий и инжектирует собственный код в код актив-
ного процесса непосредственно в оперативной памяти,
что позволяет ему получить все уровни доступа к ре-
сурсам операционной системы, не вызывая подозре-
ний у средств защиты;
По данным проведенного
«Лабораторией Касперского»
опроса российских
предприятий,практически
каждая четвертая
компания (23%) считает,
что уже становилась жертвой
целевых атак
>> загружает тело основного модуля Payload;
>> выполняет частичную дешифрацию и запуск основного
модуля.
Средствами доставки могут являться электронная почта,
скомпрометированные веб-сайты, в редких случаях USB-
устройства, а также основные описанные ранее загрузчики
(эксплойт, валидатор).
Основной модуль Payload
Основной модуль в целевой атаке может обладать самым
разным вооружением, которое зависит от поставленной
цели и задачи (см. рис. 2).

Средства доставки: электронная по-

чта, скомпрометированные веб-сайты,
в редких случаях USB-устройства.

Загрузчик (Downloader)
Инструмент загрузки используется
в целях быстрого заражения с приме-
нением техники фишинга через вло-
жения в письмах либо с фишинговых
веб-сайтов. При запуске выкачивает
основной модуль Payload либо Dropper
в зависимости от целей и планов ки-
берпреступников.

системный администратор май 2016 17

 Безопасность
Тело модуля содержит многоуровневое шифрование,
призванное защитить разработки и технологии киберпре-
ступников и детектирование атаки. При первом запуске
Dropper дешифрует только ту часть кода, которая содер-
жит техники проверки, призванные обеспечить гаранти-
рованный запуск модуля в подходящей для него среде
и не допустить запуска, если среда не удовлетворяет тре-
бованиям. Среди неподходящих для модуля условий мож-
но назвать:
>> поведенческий анализ в песочнице (Sandbox);
>> эмуляторные техники в случаях, когда антиэмулятор-
ные механизмы не срабатывают;
>> наличие отладчика и любого другого средства работы
вирусного аналитика;
>> наличие средств мониторинга системы и сетевого тра-
фика;
>> наличие неизвестного антивируса, не попадающего
под используемые техники обхода.
Из статистики «Лаборатории
Касперского»: доля целевых
атак составляет 1%
от общего числа мировых
угроз,но целевые атаки
наносят больше ущерба,
чем оставшиеся 99%
угроз совокупно,каждый
раз увеличивая этот
антирекорд
У вас может возникнуть ложное ощущение, что все пере-
численные средства применяются в каждой целевой атаке,
но это не так. В случае гипотетической атаки на компанию
«А» хакеры будут использовать конкретный набор инстру-
ментов. Он может состоять из одного Dropper с основным
модулем Payload. Весь перечень инструментов, приведен-
ный выше, лишь демонстрирует разнообразие технологий
в арсенале киберпреступников.
Перейдем к применяемым техникам обхода стандарт-
ных средств защиты, таких как Firewall, IPS, Blacklisting/
Whitelisting, контроль приложений и антивирус.
Обход стандартных средств защиты
На сегодняшний день стандартные решения информа-
ционной безопасности обладают большим количеством
функций, обеспечивающих высокий уровень по контролю
и фильтрации данных. Этот факт сильно усложняет работу
киберпреступников и вынуждает их изобретать и использо-
вать различные техники, позволяющие обмануть либо обой-
ти защитные механизмы.
Опишем наиболее известные из них:
>> Обфускация кода.Запутывание кода на уровне алгорит-
ма с помощью специальных компиляторов для усложне-
ния его анализа антивирусом.
18
угрозы
>> Шифрование.Многоуровневое шифрование применяет-
ся для сокрытия части кода от детектирующих механиз-
мов. Часто обфускация применяется с частичным много-
уровневым шифрованием кода.
>> Инжектирование процесса. Техника по динамическому
внедрению собственного кода в чужой процесс. Позво-
ляет использовать все привилегии легитимного процесса
в своих целях, не обращая на себя внимание установлен-
ных средств защиты. Данный метод позволяет обойти
различные системы контроля безопасности, в том чис-
ле контроля приложений. Инжектирование применяется
на уровне Windows API:
»» Определение дескриптора нужного процесса.
»» Создание нового потока в виртуальном простран-
стве процесса.
>> Mimikatz. Инструмент перехвата паролей открытых
сессий в Windows, реализующий функционал Windows
Credential Editor. Способен извлекать аутентификацион-
ные данные залогиневшегося в системе пользователя
в открытом виде. Из практики «Лаборатории Касперско-
го»: каждая целевая атака строится на повышении прав
доступа и реализуется под правами суперпользователя.
>> Руткит. Это средство используется для обхода защиты,
закрепления во взломанной системе и сокрытия следов
присутствия. Для Unix-среды пакет утилит (который вклю-
чает также сканер, сниффер, кейлогер) содержит и тро-
янские программы, которые заменяют собой основные
утилиты Unix. Для Windows пакет перехватывает и мо-
дифицирует низкоуровневые API-функции, позволяя ма-
скировать свое присутствие в системе (скрывая процес-
сы, файлы на диске, ключи в реестре). Многие руткиты
устанавливают в системы свои драйверы и службы (они
также являются «невидимыми»). Руткит также может быть
использован как средство доставки, способное выгру-
зить все необходимое хакеру после заражения машины.
>> Обход эмулятора. Антивирусный эмулятор проверяет
исполняемый файл в изолированной среде, анализируя
логику его работы. Обнаружение вредоносного кода про-
исходит сигнатурным либо эвристическим методом. Ха-
керы используют различные практики по изменению ал-
горитма кода, не позволяя эмулятору определить логику
выполнения зловредной программы.
>> Обход поведенческого анализа. Такой метод детекти-
рования применяется песочницей в целях обнаружения
угроз нулевого дня. Так как время проверки песочницей
ограничено ее функциональными возможностями, хаке-
ры используют замедлитель, и исполняемый код «засы-
пает» на некоторое время, чтобы предотвратить обнару-
жение.
Важно отметить факт присутствия уязвимостей в различ-
ном программном обеспечении, в первую очередь от извест-
ных производителей. Зачастую эксплуатирующий персонал
не отслеживает бюллетени безопасности производителей
и не устраняет проблемы своевременно, оставляя хакерам
шанс на проникновение.
Эксплуатация уязвимостей
Само определение уязвимости говорит о потенциальном
недостатке в программном обеспечении. Такое случается
май 2016 системный администратор
 угрозы
вследствие просчетов проектирования либо допущенных
ошибок разработчиками ПО, ведь программы пишут люди.
Этот недостаток может быть использован киберпреступ-
ником в собственных целях. Уязвимость эксплуатируется
через внедрение кода в уже запущенную ОС или програм-
му – таким образом изменяется штатная логика работы ПО,
что позволяет злоумышленникам выполнять не деклариро-
ванные функции, зачастую с правами администратора.
Уязвимости программного обеспечения можно разде-
лить на два типа:
>> Известные– имеющие стандартно классифицированное
CVE (Common Vulnerabilities and Exposures) описание и го-
товые исправления в обновлениях разработчика. CVE –
открытая база известных уязвимостей.
>> Неизвестные, или уязвимости нулевого дня,
не устраненные и еще не обнаруженные разработчиками
и исследователями угрозы. Такого рода угрозы являются
неплохим заработком для черных исследователей, зара-
батывающих на продаже выявленных уязвимостей на ха-
керских рынках.
Приведем несколько примеров эксплуатации уязвимости
в процессе проникновения в инфраструктуру.
Переполнение буфера (buffer overflow) – может вы-
зывать аварийное завершение или зависание программы
(отказ в обслуживании). Отдельные виды переполнений по-
зволяют злоумышленнику загрузить и выполнить произволь-
ный машинный код от имени программы и с правами учетной
записи, под которой эта программа запущена. Например,
пользователь с правами администратора на своем компью-
тере может получить письмо с вложенным PDF-документом,
в который будет вшит эксплойт. При открытии или предва-
рительном просмотре приложенного документа запустится
процесс переполнения буфера, что позволит злоумышлен-
нику получить права локального администратора на этом
компьютере.
USB-устройства в сочетании с уязвимостью и мето-
дом социальной инженерии. Пример заражения через
подключенные USB-устройства чрезвычайно прост в реа-
лизации. Например, известны случаи, когда в офисе компа-
нии (на парковке, у входа, в лифте) были разбросаны ин-
фицированные USB-флешки с документом под заманчивым
для простого сотрудника наименованием (годовой отчет,
финансовый план), в который был вшит эксплойт.
Второй пример еще более простой: злоумышленник
приходит на собеседование в целевую компанию и просит
секретаря распечатать резюме, которое он якобы забыл,
с его флеш-карты.
Целевой фишинг (Spear phising) в сочетании с соци-
альной инженерией. Абсолютно все современные компа-
нии используют специализированные средства контроля
электронной почты. Наличие таких сервисов, как антиспам
и антивирус, является обязательным условием для работы
корпоративной почты. Многие пользователи привыкли до-
верять входящей корреспонденции, прошедшей, как они
предполагают, профессиональную проверку специализиро-
ванными средствами контроля безопасности. К сожалению,
это не относится к социальной инженерии, когда хакеры це-
ленаправленно готовят письма для обхода фильтров и анти-
вируса.
системный администратор май 2016
Безопасность
Примеры проникновения из реальных атак
1) Атака Carbanak известна как большое банковское ограбление. Суммар-
ный ущерб от нее, по оценкам экспертов «Лаборатории Касперского», со-
ставил один миллиард долларов.
Первое заражение производилось с помощью фишинговых писем,
в которых содержались вложения с именами файлов «Соответствие
ФЗ‑115 от 24.06.2014г.doc», «Запрос.doc», «Анкета.doc». Внутри каждого
файла был встроен эксплойт с набором следующих уязвимостей, каждая
из которых позволяла выполнять произвольный код:
>> CVE-2014-1761 – уязвимость в Microsoft Office;
>> CVE-2013-3906 – уязвимость в Microsoft Office компонента Microsoft
Graphics;
>> CVE-2012-0158 – уязвимость ActiveX.
2) Duqu 2.0 – кампания кибершпионажа, созданная для сбора конфиденци-
альных данных и гостайны различных государств.
Киберпреступники также комбинировали е-mail рассылки с фишингом
через размещенную в письмах URL, которая вела на инфицированный
сайт. Для проникновения в сеть использовалась уязвимость нулевого дня
с инжектированием svchost процесса и еще одна уязвимость нулевого дня
в Kerberos для получения прав доступа администратора домена.
Так, секретарь может получить электронное письмо с вло-
жением якобы от своего руководства либо партнера (кибер-
преступники могут подделать адрес отправителя или просто
сделать его похожим на нужный е-mail, видоизменив один
символ). При открытии или предварительном просмотре до-
кумента произойдет инфицирование любым из описанных
выше инструментов с вытекающими последствиями разви-
тия атаки.
Разновидности использования почты как точки входа:
>> подделка/имитация адреса отправителя;
>> опасное вложение (различные документы и изображе-
ния с вшитым эксплойтом);
>> ссылка на HTML-страницу с заранее размещенным ин-
струментом проникновения.
По данным исследования «Лаборатории Касперского»
среди российских компаний, ключевыми рисками внутри
по-прежнему остаются уязвимости в ПО (их отметили 48%
от общего числа опрошенных компаний), а также незнание
правил ИТ-безопасности сотрудниками, приводящее к утеч-
кам данных (отметили 37% респондентов). Исходя из этого
мы приравниваем методы социальной инженерии к угрозам,
не меньшим по важности, чем программные.
Комбинированные техники
Все организаторы целевой атаки используют комбини-
рованный подход, включающий различные технические
средства для реализации проникновения. Очевидный при-
мер – когда хакер делал рассылку по электронным адресам
сотрудников компании, предварительно войдя в контакт
с ними в социальной сети под вымышленным именем и со-
брав данные о них. Это комбинация методов социальной ин-
женерии с фишингом.
Когда мы говорим о комбинировании инструментов,
то уместно провести аналогию со швейцарским ножом,
который объединяет несколько лезвий, отверток и так да-
лее, что придает ему высокую универсальность. Эксплойт,
19
 Безопасность
сформированный аналогично швейцарскому ножу, может со-
держать большой набор уязвимостей и применять их после-
довательно. При этом часть инструментов по проникновению
могут сочетаться с легальным ПО, что позволяет минимизи-
ровать обнаружение атаки, так как доверенные программы
внесены в «белые списки» систем безопасности. Для нагляд-
ности приведем несколько примеров таких программ:
>> Продукты удаленного администрирования, RDP, VNC.
>> Программы переключения языков клавиатуры, имею-
щие возможность легитимно использовать логирова-
ние клавиатуры.
>> Сетевые сканеры и т.д.
Среди российских компаний
ключевыми рисками внутри
по-прежнему остаются
уязвимости в ПО (их отметили
48% от общего числа
опрошенных компаний),
а также незнание правил ИТ-
безопасности сотрудниками,
приводящее к утечкам данных
(отметили 37% респондентов)
Инвентаризация сети
После выполнения автоматических уклонений от обнару-
жения и системных тестов на соответствие операционной
среде Payload активирует основные функциональные мо-
дули, устанавливая закрытое шифрованное соединение
с командными центрами и сигнализируя о своем активном
статусе. На этой стадии киберпреступники приступают
к консольной работе, используя терминал подконтрольной
машины. Им очень важно быстро сориентироваться внутри,
чтобы сохранить свое присутствие и закрепиться в сети.
Первоочередным по важности является поднятие уровня
доступа до привилегированного, после чего сразу же начи-
нается изучение топологии сети. Для выполнения этой за-
дачи обычно применяют свободно распространяемое ПО,
например Netscan.
Фаза третья. Распространение
ОС учетом собранных данных по топологии сети происхо-
дит ручной отбор ключевых рабочих станций и серверов.
Выбранные машины киберпреступники берут под свой кон-
троль и используют под новые задачи. На этом шаге хаке-
ры уже имеют административные права и все их действия
по отношению к системам безопасности абсолютно легаль-
ны. Используя стандартные средства удаленного доступа,
они выбирают наиболее удобные с точки зрения их задач
серверы и рабочие станции.
Шаг 1. Закрепление внутри инфраструктуры
Под закреплением понимается комплекс мероприятий, на-
правленный на организацию гарантированного доступа
20
угрозы
в инфраструктуру жертвы. Дело в том, что первичной точкой
проникновения являются, как правило, компьютеры сотруд-
ников с фиксированным рабочим графиком, а это означает,
что время доступа в инфраструктуру для злоумышленников
будет ограниченным.
Лучше всего этапы закрепления проиллюстрируют при-
меры из реальных кибератак, расследованных экспертами
«Лаборатории Касперского»:
>> Duqu 2.0. В этой кампании киберпреступники исполь-
зовали подписанный компанией Foxconn сертификат
(Foxconn – известный производитель оборудования). Ха-
керы создали клон библиотеки DLL, которая присутство-
вала на компьютере жертвы и после модификации стала
выполнять роль загрузчика Payload. Это позволяло за-
гружать вредоносный модуль при включении компьютера
и выгружать его при выключении. Тем самым злоумыш-
ленники не оставляли следов на жестких дисках зара-
женных машин, но при этом сохраняли свое присутствие
внутри, распространяя такой метод внутри инфраструк-
туры. Для основной точки входа использовался главный
контроллер домена компании.
>> Carbanak.Закрепление происходило методом копирова-
ния Payload в системную папку %system32%\com с име-
нем svchost.exe, назначая файлу следующие атрибуты:
системный, скрытый, только для чтения. Для автозапуска
использовался специально созданный сервис со схожим
системным именем, отличающийся одной точкой.
Шаг 2. Распространение
Значимым аспектом является наличие постоянных актив-
ных точек входа, обычно для этого используются серверы
с малым временем простоя, хорошо подходящие для выпол-
нения одного из правил целевой атаки Persistent. На таком
уровне для заражения достаточно подключиться в выбран-
ной машине удаленным RDP-клиентом и запустить вредо-
носный модуль, предварительно скопировав его одним кли-
ком мыши.
Шаг 3. Обновление
Случается, когда определенная функция отсутствует в ар-
сенале уже задействованного в атаке основного модуля,
например, такой функцией может являться запись звука
с внешнего микрофона. Возможность обновить модуль за-
ранее предусмотрена разработчиком атаки и может быть
активирована при необходимости.
Шаг 4. Поиск ключевой информации
и методов достижения целей
Выполнение этапа может сильно варьироваться по време-
ни, ведь информация может быть разной. Если целью ки-
берпреступников является, например, финансовая инфор-
мация, сконцентрированная в одной системе, то это сильно
упрощает им задачу. Но если целью являются шпионаж
и долгосрочный сбор разрозненных данных, то и количе-
ство устройств, хранящих нужную хакерам информацию,
существенно возрастает, что влияет на сроки обнаружения
целей и на продолжительность этапа.
Приведем пример из Carbanak: ключевой информацией
для киберпреступников являлась работа кассиров-опера-
ционистов банка, которые совершали платежные операции.
май 2016 системный администратор
 угрозы
Дело в том, что киберпреступники не обладали опытом ра-
боты с платежными системами. Помимо вычисления и рас-
пространения на машины кассиров-операционистов, ими
был применен метод записи экранов их работы в целях об-
учения. Это заняло довольно продолжительное время и уве-
личило по срокам подготовительный этап.
Фаза четвертая. Достижение целей
Шаг 1. Выполнение вредоносных действий
В завершающей фазе мы подходим к ключевой точке целе-
вой атаки. На этом этапе киберпреступники уже могут вы-
полнить любое действие, направленное против атакуемой
компании. Перечислим основные типы угроз:
Пример 1. Хищение ключевой информации. Чаще
всего компании сталкиваются с хищением информации.
В коммерции это целый бизнес, основанный на конкуренции
и больших деньгах. В государственных структурах это шпио-
наж, реже получение информации, содержащей конфиден-
циальные данные, для последующей перепродажи. В финан-
совом секторе это информация о платежных и биллинговых
системах, счетах крупных клиентов и другая финансовая ин-
формация для проведения незаконных транзакций.
Само хищение происходит максимально незаметно
для систем мониторинга компании, маскируя сетевую актив-
ность под работу известного интернет-сервиса с наимено-
ванием домена, сильно напоминающего реальный. Обычно
это выглядит как активная шифрованная сессия, где веб-
адрес часто похож на популярные сетевые ресурсы (напри-
мер, почтовые сервисы, поисковики или новостные сайты).
Пример 2. Изменение данных. Пример целевой атаки
Metel, от которой пострадали сотни финансовых организа-
ций: киберпреступники, используя контроль над платежной
системой, изменяли доступный кредит на балансе кредит-
ной карты, тем самым позволяя сообщнику несколько раз
обналичивать средства с одной и той же карты.
А в случае киберограбления Carbanak хакеры, изучив ра-
боту операционистов, действовали от имени сотрудников,
используя онлайн-банкинг для перевода средств на подкон-
трольные киберпреступникам счета. Также они удаленно
управляли конкретными банкоматами, отправляя команды
на выдачу наличных средств, в то время как сообщник даже
не вставлял в банкомат никаких карточек.
При этом если смотреть со стороны самих компаний,
то статистика «Лаборатории Касперского» говорит о том,
что в организациях наиболее серьезными последствиями
киберинцидентов признаются потеря доступа к критически
важной для бизнеса информации (59% российских компа-
ний отметили этот фактор), репутационный ущерб (50%)
и потеря важных деловых контактов или бизнес-возможно-
стей (34%).
Пример 3. Манипуляции с бизнес-процессами
и шантаж. Наглядный случай произошел с компанией
Sony Pictures, которая подверглась таргетированной атаке
в 2014 году. В результате были похищены тысячи файлов
и документов, финансовых данных, а также к киберпре-
ступникам в руки попали фильмы, готовящиеся к прокату.
В компании рассказали, что большинство ее компьютеров
вышло из строя, а на экранах рабочих станций отобража-
лась фраза «мы завладели вашими секретами». Все данные
системный администратор май 2016
Безопасность
на жестких дисках рабочих компьютеров были стерты, ки-
берпреступники грозились опубликовать информацию,
если компания не подчинится их требованиям.
В организациях наиболее
серьезными последствиями
киберинцидентов признаются:
потеря доступа к критически
важной для бизнеса
информации (59%),
репутационный ущерб (50%)
и потеря важных деловых
контактов или бизнес-
возможностей (34%)
Уничтожение данных – другой не часто встречающийся
пример развития целевой атаки: в августе 2012-го поряд-
ка 30 тысяч персональных компьютеров, принадлежащих
крупнейшей в мире нефтедобывающей компании Saudi
Aramco, были выведены из строя. Киберпреступники пре-
следовали две цели: первая – хищение закрытой инфор-
мации, вторая – полная остановка бизнес-процессов ком-
пании. В результате атаки компания была вынуждена почти
на месяц прекратить свою операционную деятельность, от-
ключив филиалы от сети Интернет.
Шаг 2. Сокрытие следов
На протяжении всей целевой атаки киберпреступники ста-
раются маскировать свое присутствие под легитимный
процесс, в крайних случаях, когда это невозможно, хакеры
вручную очищают журналы событий. Как правило, большая
часть активности протекает под административным досту-
пом, не вызывая подозрения.
Шаг 3. Точка возврата
На финальном этапе атаки многие киберпреступники стара-
ются оставить внутри средство, позволяющее им в случае
необходимости вернуться обратно в инфраструктуру. Таким
средством обычно является управляемый загрузчик, спо-
собный по команде закачать исполняемый модуль.
В завершении статьи еще раз подчеркнем три основных от-
личия целевой атаки:
>> адресность; >> результативность.
>> скрытность;
В третьей части цикла статей «Анатомия целевой атаки»
мы рассмотрим актуальные способы профилактики и проти-
водействия процессу, именуемому целевой атакой.  EOF 
[1] Левцов В., Демидов Н. Анатомия таргетированной атаки.
Часть 1. //«Системный администратор», №4, 2016 г. –
С. 36‑39 (http://samag.ru/archive/article/3170).
21
 Безопасность механизмы защиты

Визитка

АНДРЕЙ ДУГИН,
инженер по защите информации, CCNP Security, andrew_dugin@ukr.net

Защита от DDoS подручными средствами

Часть 1. DNS Amplification
Рассмотрим DDoS-атаки типа «усиление» (amplification) с использованием
сервиса DNS и защиту от них

Чтобы сделать свой вклад в защиту всемирного киберпро- google.com. 271 IN A 173.194.122.230
странства от DDoS, совсем не обязательно покупать до- google.com. 271 IN A 173.194.122.225
google.com. 271 IN A 173.194.122.226
рогостоящее оборудование или подписываться на сервис. google.com. 271 IN A 173.194.122.232
Любой администратор сервера может поучаствовать без до- google.com. 271 IN A 173.194.122.231
<skipped>
полнительных материальных вложений, используя только
;; MSG SIZE rcvd: 204
знания и немного времени.

DNS amplification На DNS-сервере запустим в это время tcpdump:

Суть атаки заключается в том, чтобы в ответ на DNS-запрос
приходил ответ, в несколько раз больший, чем запрос. По- dns-server# tcpdump -n -s 0 host 192.168.10.129 and port 53
скольку протокол DNS основан на UDP, в запросе подме-
няется адрес отправителя на адрес жертвы и генерируется tcpdump: verbose output suppressed, use -v or -vv for full
трафик к большому количеству IP-адресов, на которых об- protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size
наружена возможность рекурсии. 262144 bytes
Источниками вредоносного трафика могут быть: 22:11:20.965578 IP 192.168.10.129.47551 > 192.168.10.128.53:
28004+ A? google.com. (28)
>> третьи лица;
22:11:20.989697 IP 192.168.10.128.53 > 192.168.10.129.47551:
>> клиенты хостинг-провайдера; 28004 11/0/0 A 173.194.32.136, A 173.194.32.129,
>> абоненты интернет-провайдера. A 173.194.32.142, A 173.194.32.135, A 173.194.32.132,
A 173.194.32.128, A 173.194.32.133, A 173.194.32.130,
A 173.194.32.134, A 173.194.32.131, A 173.194.32.137 (204)
Как такая атака выполняется? Предположим, есть у нас
такие участники:
>> 192.168.10.128– рекурсивный DNS-сервер; Видно, что запрос от клиента происходит всего один,
>> 192.168.10.129– клиент. далее рекурсивный сервер самостоятельно обращается
к вышестоящим DNS, выясняя необходимую информацию,
Выполняем элементарный DNS-запрос по FQDN, у кото- и в итоге клиент получает один ответный пакет во много раз
рого гарантированно большое количество соответствую- больше размером (204 байта полезной нагрузки), чем ис-
щих ему IP-адресов: ходный (28 байт). И это притом что каждый пакет содержит
еще 42 байта заголовков:
client:~$ dig @192.168.10.128 google.com >> 14 – Ethernet;
>> 20 – IP;
<skipped> >> 8 – UDP.
;; QUESTION SECTION:
;google.com. IN A
Итого: при запросе типа А по google.com 70-байтный за-
;; ANSWER SECTION: прос возвращает 246-байтный ответ.
google.com. 271 IN A 173.194.122.227
Дальше – больше. Теперь давайте попробуем запросить
google.com. 271 IN A 173.194.122.238
google.com. 271 IN A 173.194.122.228 не только A, но и все записи, касающиеся запрашиваемого
google.com. 271 IN A 173.194.122.229 FQDN.
google.com. 271 IN A 173.194.122.233
google.com. 271 IN A 173.194.122.224
client:~$ dig @192.168.10.128 -t ANY google.com

22 май 2016 системный администратор

 механизмы защиты Безопасность

<skipped> Отключение сервиса DNS

;; QUESTION SECTION: Если размещенный в сети Интернет сервер не выполняет
;google.com. IN ANY
функцию DNS-сервера, то необходимо, чтобы сервис об-
;; ANSWER SECTION: работки запросов DNS на нем не был активен. В информа-
google.com. 271 IN A 173.194.122.227
ционной безопасности принято такое равенство: лишний
google.com. 271 IN A 173.194.122.238
....... сервис = лишняя уязвимость.
google.com. 271 IN A 173.194.122.232 Проверить, какие сетевые службы запущены и готовы
google.com. 271 IN A 173.194.122.231
google.com. 571 IN MX 50 alt4.aspmx.l.google.com.
обрабатывать запросы, на Unix-сервере можно с помощью
google.com. 571 IN MX 10 aspmx.l.google.com. команды:
google.com. 571 IN MX 20 alt1.aspmx.l.google.com.
google.com. 571 IN MX 30 alt2.aspmx.l.google.com.
client:~$ netstat -nap | egrep 'udp|tcp'
google.com. 571 IN MX 40 alt3.aspmx.l.google.com.
google.com. 20439 IN NS ns2.google.com.
google.com. 20439 IN NS ns1.google.com. В случае наличия DNS-сервера увидим приблизительно
google.com. 20439 IN NS ns3.google.com.
google.com. 20439 IN NS ns4.google.com. следующее:
google.com. 20439 IN TYPE257 \# 19
0005697373756573796D616E7465632E636F6D Proto Recv-Q Send-Q Local Address Foreign Address
google.com. 31 IN SOA ns2.google.com. dns-admin. State PID/Program name
google.com. 118858953 900 900 1800 60 <skipped>
google.com. 2439 IN TXT "v=spf1 include:_spf. tcp 0 0 192.168.10.128:53 0.0.0.0:*
google.com ~all" LISTEN 589/named
tcp 0 0 127.0.0.1:53 0.0.0.0:*
<skipped> LISTEN 589/named
udp 0 0 192.168.10.128:53 0.0.0.0:
;; MSG SIZE rcvd: 509 * 589/named
udp 0 0 127.0.0.1:53 0.0.0.0:
* 589/named
На сервере tcpdump показывает ответ большего разме- <skipped>
ра, чем в прошлом случае, поскольку клиенту возвращается
информация о записях всех типов по домену google.com: Если запущенный сервис в действительности не исполь-
зуется, а запущен исторически, то необходимо:
dns-server# tcpdump -n -s 0 host 192.168.10.129 and port 53 >> остановить сервис DNS;
>> удалить службу DNS-сервера из загрузочных скриптов
22:09:45.058655 IP 192.168.10.129.42278 > 192.168.10.128.53: системы;
2825+ ANY? google.com. (28) >> деинсталлировать DNS-сервер.
22:09:45.094795 IP 192.168.10.128.53 > 192.168.10.129.42278:
2825 23/0/0 A 173.194.32.128, A 173.194.32.136,
A 173.194.32.135, A 173.194.32.134, A 173.194.32.130, Во многих реализациях ОС все три действия могут быть
A 173.194.32.137, A 173.194.32.131, A 173.194.32.133,
выполнены при удалении пакета программ DNS-сервера
A 173.194.32.132, A 173.194.32.129, A 173.194.32.142,
NS ns4.google.com., NS ns1.google.com., NS ns3.google.com., (деинсталляции).
NS ns2.google.com., MX aspmx.l.google.com. 10, MX alt1.
aspmx.l.google.com. 20, MX alt4.aspmx.l.google.com. 50,
MX alt2.aspmx.l.google.com. 30, MX alt3.aspmx.l.google.com. 40,
Защита DNS-серверов
Type257, SOA, TXT "v=spf1 include:_spf.google.com ~all" (509) Если же роль DNS-резолвера актуальна, то необходимо
обеспечить максимальную защиту сервера от атак извне.
То есть один только ответ на запрос типа ANY по зоне Методы защиты используем следующие:
google.com на момент в ответном пакете 509 + 42 = 551 байт. Метод 1. Отсутствие запущенных неиспользуемых сете-
Есть такое понятие, как коэффициент усиления, кото- вых сервисов и протоколов – проверяется той же командой:
рый является соотношением размеров пакета-инициатора
и ответного пакета. В описанных выше случаях он доволь- client:~$ netstat -nap | egrep 'udp|tcp'
но небольшой (246/70 = 3.5 и 551/70 = 7.87, чего явно недо-
статочно для серьезной DDoS-атаки), но если количество с последующей остановкой и удалением пакетов, не исполь-
записей увеличить, то ответ может составлять несколько зуемых на сервере. Если в перечне видно подобное:
килобайт.
Злоумышленник, выполняющий атаку DNS amplification, udp6 0 0 :::53 :::* 589/named
для увеличения ее эффективности будет использовать сле-
дующие приемы: это говорит об использовании IPv6.
>> манипуляция размерами записей в DNS – чтобы ответ При обслуживании запросов исключительно по IPv4, не-
и коэффициент усиления были больше; обходимо отключить IPv6 (помним равенство «лишний сер-
>> IP spoofing – чтобы ответ прилетел к жертве; вис = лишняя уязвимость»), указав в /etc/sysctl.conf строку:
>> высокая интенсивность DNS-запросов от имени жерт-
вы. net.ipv6.conf.all.disable_ipv6 = 1

Еще с 2000 года документы BCP38 и RFC2827 дают ре- и выполнив команду:
комендации, как противодействовать DDoS. Рассмотрим
их практическую реализацию. $ sudo sysctl -p /etc/sysctl.conf

системный администратор май 2016 23

 Безопасность
Полный комплекс по защите ОС не описывается, по-
скольку объем материала уведет от основной мысли статьи.
Метод 2. Разрешение управляющих протоколов только
из внутренней сети компании и доверенных IP достигает-
ся либо ограничением с помощью внешнего firewall/VPN-
концентратора (при наличии), либо системного iptables/
ipfw/и т.п. в зависимости от архитектуры сегмента сети, в ко-
тором расположен сервер.
Метод 3. Разрешено только то, что разрешено. Явно
не разрешенные доступы запрещаются.
Метод 4. Установка последних стабильных обновлений
и патчей ОС, а также используемых прикладных сервисов.
Ограничение рекурсии
Если DNS-сервер исключительно авторитативный, то обра-
ботка рекурсивных запросов на нем не нужна. Он должен
отвечать только на запросы по своей зоне, не перенаправ-
ляя их. Для этого на примере Bind в раздел options конфигу-
рационного файла добавляются строки:
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
Если же сервер выполняет роль и авторитативного, и ре-
курсивного DNS, необходимо разрешить выполнять запро-
сы только из доверенных подсетей, модифицируя конфигу-
рационный файл следующим образом:
acl "trusted_ip" {
192.168.0.0/16;
10.0.0.0/8;
localhost;
localnets;
};
options {
<skipped>
allow-recursion { trusted_ip; };
allow-query-cache { trusted_ip; };
<skipped>
};
В случае когда под управлением администратора нахо-
дится не сервер, а сетевое оборудование конечного пользо-
вателя (маршрутизаторы уровня доступа), необходимо убе-
диться в том, что функция DNS-relay не используется либо
не активирована на интерфейсе, доступном из интернета.
Также через внешний интерфейс не должна быть доступна
функция управления устройством.
EDNS0
В RFC6891 описаны требования к поддержке Extension
Mechanisms for DNS (EDNS0) серверами во избежание атак
типа DNS amplification и при этом совместимости с RFC1035.
По умолчанию для обработки запросов используется про-
токол UDP, но в случае когда размер UDP-сообщения в от-
ветном пакете превышает 512 байт, должна происходить
инициация запроса по протоколу TCP.
Например, запрос:
client:~$ dig @192.168.10.128 -t ANY irs.gov
показывает следующее:
24
механизмы защиты
;; Truncated, retrying in TCP mode.
<skipped>
;; QUESTION SECTION:
;irs.gov. IN ANY
;; ANSWER SECTION:
irs.gov. 7077 IN RRSIG SOA 7 2 7200
20160416030058 20160409020058 13368 irs.gov.
mmRD+b1bZHI+nKC3uc4zHtbfspUwMARdGVkWgsoYd0sRKwvKzxJyWzJ9
2/4zeNTB/nAFGcZAF3Cu5fklQ+WbrpsSk3Nq7emzZPo45DXWLk0/JcaH
2ydEGLXqJC5iF4uBhMxRoIOtzvFzXn4RqtiVRHUImv04ddjE8hdky2U1 0rA=
irs.gov. 7077 IN SOA ns1.irs.gov.
it\.aciouns\.external\.dns\.admin.irs.gov. 2010085496 3600
1800 2419200 900
irs.gov. 7077 IN RRSIG NSEC3PARAM
7 2 7200 20160416030058 20160409020058 13368 irs.gov.
MTDhI91CSla/AsANt3j9Bu5KmPyL0ZCbosh3V8qNIC89C+Ra0PofExcr
FhGCSLNA518UgbcLp+a9CXWfkg4Pnc/Phm5aZQK1SqXW8kORlGTcR9l5
c3Liy01hG3ddooCH/fseY3htzvcfe8OIxj2emRougRhdWt3vB4Cl7NpT CR4=
irs.gov. 7077 IN NSEC3PARAM 1 0 100
AABBCCDD
<skipped>
;; MSG SIZE rcvd: 3334
где за счет размеров и количества записей объем сообще-
ния будет более 3 килобайт, то есть коэффициент усиления
атаки будет уже порядка 50 при использовании протокола
UDP. Но, как видно, в связи с тем, что был получен усечен-
ный UDP-пакет, клиент переинициировал запрос, используя
TCP. Красным выделено то, на что следует обратить внима-
ние: переинициация по TCP и размер сообщения.
В дампе трафика переход на TCP выглядит так:
20:10:11.512845 IP 192.168.10.129.47720 > 192.168.10.128.53:
62574+ ANY? irs.gov. (25)
20:10:11.513048 IP 192.168.10.128.53 > 192.168.10.129.47720:
62574| 4/0/0 RRSIG, SOA, RRSIG, Type51 (450)
20:10:11.513561 IP 192.168.10.129.60506 > 192.168.10.128.53:
Flags [S], seq 1836767364, win 29200, options [mss
1460,sackOK,TS val 78657 ecr 0,nop,wscale 7], length 0
20:10:11.513580 IP 192.168.10.128.53 > 192.168.10.129.60506:
Flags [S.], seq 1926843090, ack 1836767365, win 28960,
options [mss 1460,sackOK,TS val 89135 ecr 78657,nop,wscale
7], length 0
20:10:11.513710 IP 192.168.10.129.60506 > 192.168.10.128.53:
Flags [.], ack 1, win 229, options [nop,nop,TS val 78657 ecr
89135], length 0
20:10:11.513755 IP 192.168.10.129.60506 > 192.168.10.128.53:
Flags [P.], seq 1:28, ack 1, win 229, options [nop,nop,TS val
78657 ecr 89135], length 2737688+ ANY? irs.gov. (25)
20:10:11.513762 IP 192.168.10.128.53 > 192.168.10.129.60506:
Flags [.], ack 28, win 227, options [nop,nop,TS val 89135 ecr
78657], length 0
20:10:11.513988 IP 192.168.10.128.53 > 192.168.10.129.60506:
Flags [P.], seq 1:3337, ack 28, win 227, options [nop,nop,TS
val 89135 ecr 78657], length 333637688 31/6/12 RRSIG, SOA,
RRSIG, Type51, RRSIG, RRSIG, A 166.123.218.220, RRSIG, TXT
"v=spf1 ip4:152.216.0.0/20 ip6:2610:30::/32 include:qai.irs.
gov -all", RRSIG, MX emg6.irs.gov. 10, MX emg5.irs.gov. 10,
MX emg3.irs.gov. 10, MX emg2.irs.gov. 10, MX emgw.irs.gov.
20, MX emg1.irs.gov. 10, MX emg4.irs.gov. 10, RRSIG, RRSIG,
DNSKEY, DNSKEY, DNSKEY, DNSKEY, RRSIG, DS, NS ns2.irs.gov.,
NS ns6.irs.gov., NS ns4.irs.gov., NS ns5.irs.gov., NS ns3.
irs.gov., NS ns1.irs.gov. (3334)
20:10:11.514121 IP 192.168.10.129.60506 > 192.168.10.128.53:
Flags [.], ack 3337, win 281, options [nop,nop,TS val 78657
ecr 89135], length 0
20:10:11.518986 IP 192.168.10.129.60506 > 192.168.10.128.53:
Flags [F.], seq 28, ack 3337, win 281, options [nop,nop,TS
val 78658 ecr 89135], length 0
20:10:11.519093 IP 192.168.10.128.53 > 192.168.10.129.60506:
Flags [F.], seq 3337, ack 29, win 227, options [nop,nop,TS
val 89136 ecr 78658], length 0
20:10:11.519312 IP 192.168.10.129.60506 > 192.168.10.128.53:
Flags [.], ack 3338, win 281, options [nop,nop,TS val 78658
ecr 89136], length 0
май 2016 системный администратор
 механизмы защиты
Response Rate Limiting (RRL)
Функционал EDNS0 спасает не всегда. Например, если
DNS-запросы рекурсивно перенаправляются открытыми
резолверами наших клиентов либо сетевым оборудовани-
ем уровня доступа, на котором доступен всем функционал
DNS-relay. В этом случае сам клиент является легитимным,
а принудительный переход на TCP только увеличит потре-
бление ресурсов сервера в случае атаки.
1. Авторитативный сервер
Чтобы не давать возможности использовать авторитативный
DNS-сервер как источник для атаки, необходимо настроить
ограничение на количество ответов в секунду, которые сер-
вер предоставит одному IP-адресу. Подобное ограничение
позволит сэкономить ресурсы сервера и снизить интенсив-
ность атаки. Для использования Response Rate Limiting (RRL)
данная функция должна быть активирована при компиляции
DNS-сервера (--enable-rrl).
В конфигурационном файле BIND необходимо прописать
как минимум такие параметры применимо к одному клиенту:
>> slip – количество пакетов, ответные пакеты на которые
отправляются усеченными (truncated);
>> responses-per-second– количество ответов в секунду.
Например:
slip 2
responses-per-second 5
Данный функционал рекомендуется использовать толь-
ко для авторитативных серверов, поскольку значения
Рисунок 1. DNS-запрос
системный администратор май 2016
Безопасность
для рекурсивных носят поведенческий неселективный ха-
рактер и должны определяться самостоятельно, что чревато
влиянием на легитимный трафик.
2. Рекурсивный сервер
Для рекурсивных серверов подойдет другое решение обес-
печения RRL. Логично, что большинство запросов к DNS-
серверам имеют тип A либо CNAME. Интенсивность query
type ANY, TXT, RRSIG, DNSSEC в норме, на порядки ниже.
Значит, частоту их обработки необходимо контролиро-
вать. Предположим, разрешить одному клиенту выполнять
за 10 секунд не более трех запросов type ANY. Несмотря
на то что подобная фильтрация более характерна для спец-
ифических решений класса Application Firewall, задача аб-
солютно выполнима с помощью всем известного инструмен-
та iptables.
Любой DNS-запрос может быть идентифицирован как не-
кая последовательность символов в пакете. Главное – понять
вид последовательности, в каком месте искать и как указать
это iptables. Рассмотрим пример запроса.
Из рис. 1 видно, что запрос типа ANY идентифицируется
двухбайтовой последовательностью символов 00ff, идущих
под номерами 63-64 в данном пакете. Iptables считает по-
следовательность символов с IP-заголовка, поэтому искать
данную последовательность в этом случае нужно будет на-
чиная с 49-го байта. Соответственно, смещение для iptables
будет равняться 48.
В соответствии с RFC 1034 и 1035 под query type выде-
лено 2 байта с максимальным десятичным значением 255.
Значения типов DNS-запросов:
>> ANY– 255 (0x00FF)
25
 Безопасность
>> RRSIG– 46 (0x002e)
>> DNSKEY– 48 (0x0030)
>> TXT– 16 (0x0010)
Следующим в пакете идет класс запроса. Согласно RFC
это также 16-битная величина, значения которой находятся
в диапазоне от 0x0001 до 0x00FF. То есть байт, следующий
после типа запроса, будет также равен 0x00.
Сам по себе байт, предшествующий query type, также
всегда будет равен двум нулям (0x00), поэтому для более
четкого описания последовательности символов для поиска
возьмем 0000FF00.
Самым коротким будет DNS-запрос к зоне root (.), где query
type будет идти в 55-56-м байтах, и фрагмент 0000FF00 нуж-
но считать начиная с 40-го байта для iptables. Ограничение
на размер query name – 63 байта и зона.
Если выполнить:
$ dig -t ANY qwertyuiopqwertyuiopqwertyuiopqwertyuiopq ↵
wertyuiopqwertyuiop123.northwesternmutual
то в нем байты, обозначающие query type, будут идти под но-
мером 138-139, и поиск 4-байтного 0000FF00 нужно начи-
нать с 123-го байта. Не самый большой запрос, но и вероят-
ность подобных запросов очень невелика.
Соответственно, чтобы минимизировать возможный
DDoS, нужно сконфигурировать iptables следующим обра-
зом:
>> пропускать за 10 секунд три DNS-запроса типа ANY
с одного IP;
>> в UDP-пакетах с портом назначения 53;
>> считая запросом типа ANY последовательность
0000FF00 в 40-127-м байтах пакета.
В итоге искомая последовательность команд iptables бу-
дет иметь следующий вид:
iptables -N DNS_ANY
iptables -v -A DNS_ANY -m recent --name dns_any ↵
--update --seconds 10 --hitcount 3 -j DROP
iptables -v -A DNS_ANY -m recent --name dns_any ↵
--set -j ACCEPT
iptables -v -A INPUT -p udp --dport 53 -m string ↵
--from 40 --to 123 --algo bm ↵
--hex-string '|0000FF00|' -j DNS_ANY
При необходимости фильтровать интенсивность запро-
сов других типов (TXT, DNSSEC, RRSIG) частота легитимных
запросов может варьироваться в зависимости от использую-
щих их сервисов. Если все же принято решение фильтровать
Рисунок 2. Схема подключения
26
механизмы защиты
интенсивность, для правил iptables вместо 0000FF00 выби-
раем следующие последовательности:
>> RRSIG– 00002E00
>> DNSKEY– 00003000
>> TXT– 00001000
uRPF-check. В случае когда зараженный клиент, ини-
циирующий трафик с поддельных IP-адресов, на уровне
L3 терминируется на вашем оборудовании, защититься
от спуфинга из этой подсети можно, используя технологию
Unicast Reverse Path Check (uRPF). Суть ее для подобных
подключений в том, чтобы обрабатывать пакеты, влетающие
на определенный интерфейс, только в случае присутствия
IP-адреса в таблице маршрутизации через этот же интер-
фейс.
Предположим, в схеме подключения, обозначенной
на рис. 2, необходимо выпускать в интернет только пакеты
из «честных» подсетей клиента 192.0.2.0/24 и 198.51.100.0/24,
не пропуская адреса из других подсетей.
3. Подключение клиента
Соответствующая команда Cisco IOS будет выглядеть следу-
ющим образом:
CE(config-if)# ip verify unicast source reachable-via rx
и может быть применена как на интерфейсе Gi0/1 маршру-
тизатора PE (provider edge router – граничный маршрутиза-
тор провайдера, к которому подключается нетранзитный
клиент), так и на интерфейсах VLAN2 и VLAN100 маршрути-
затора CE (маршрутизатор клиента).
Выполнив описанные настройки, мы напрямую не защи-
тимся от атак на нашу сеть и серверы, но сделаем невоз-
можным использование своих ресурсов для атак на других,
а также минимизируем количество оснований для кричащих
заголовков в прессе «Русские хакеры атаковали...».
Итого: уменьшить количество DDoS-атак типа DNS
amplification и минимизировать участие своего инфраструк-
турного сегмента можно с помощью следующих действий,
не требующих дополнительных финансовых вложений:
>> Отключение неиспользуемых сервисов на всех серве-
рах.
>> Управление обновлениями.
>> Ограничение рекурсивной обработки запросов только
для клиентов предоставляемого сервиса.
>> Поддержка EDNS0.
>> Ограничение интенсивности ответов (Response Rate
Limiting) на DNS-серверах посредством настроек Bind
либо iptables.
>> Применение проверок uRPF на активном сетевом обо-
рудовании.
И если так поступит каждый администратор серверов,
доступных из сети Интернет, цифровой мир приблизится
еще на один шаг к совершенству.  EOF 
Ключевые слова: DNS, DDoS, DNS amplification, безопасность,
BIND.
май 2016 системный администратор
 аудит
ЗАО «НИП Информзащита», системный архитектор, mex_inet@rambler.ru
Часть 2. Сбор необходимой информации
Правильная идентификация версий ОС и ПО является неотъемлемой частью
успешной атаки. В статье мы поговорим о том, как это можно сделать
В предыдущей статье [1] мы провели аудит доступа к бес-
проводной сети. Теперь будем считать, что злоумышленник
уже проник в корпоративную сеть и ему нужно собрать не-
обходимую для взлома информацию. Для этого понадобится
правильно идентифицировать установленные в сети прило-
жения и перехватить как можно больше сетевого трафика,
из его содержимого узнать о том, какие протоколы исполь-
зуются, и постараться перехватить учетные данные пользо-
вателей.
Разнообразие приложений, протоколов, ОС и прошивок
к оборудованию ставит перед потенциальным взломщиком
задачу по точной идентификации как самой программы,
так и ее версии, архитектуры и других важных для атаки пара-
метров. Ведь не бывает универсальных эксплоитов, каждый
из них рассчитан на уязвимости в определенных условиях.
Не забываем о людях
Собирать информацию о целевых сервисах можно не толь-
ко техническими средствами, но и с помощью социальной
инженерии. Основные способы сбора информации (под-
робнее в [2]):
>> Анализ оборудования и ПО, упоминающихся в ваканси-
ях организации.
>> Получение данных посредством общения с техниче-
скими специалистами организации.
>> Сбор сведений о закупаемом оборудовании и ПО из отк-
рытых источников (например, goszakupki.ru).
>> Анализ информации, которую размещают сотрудники
компании, и особенно технические специалисты, в со-
циальных сетях.
>> Телефонные звонки сотрудникам от имени техническо-
го персонала.
Первый метод позволит злоумышленнику получить базо-
вое представление о тех сервисах, которые могут исполь-
зоваться в компании. Само по себе это даст мало полезной
информации, поэтому на следующем шаге хакер под видом
соискателя может попытаться пройти собеседование и по-
лучить более детальные данные по оборудованию и ПО.
системный администратор май 2016
Безопасность
Визитка
АНДРЕЙ БИРЮКОВ,
Проводим пентест
Государственные организации обязаны все свои зака-
зы размещать в открытом доступе, поэтому ресурсы типа
goszakupki.ru являются дополнительным источником ин-
формации. Например, среди заказов можно встретить лоты
на продление лицензий на ПО. К лотам должно быть при-
креплено техническое задание или аналогичный документ,
из которого тоже можно почерпнуть массу полезной инфор-
мации.
Серьезной проблемой для информационной безопас-
ности могут стать социальные сети. Конечно, никто не будет
размещать пароли или другую конфиденциальную инфор-
мацию на своей странице. А вот телефонный номер, ICQ,
личную почту очень даже может. Ну и само собой фотогра-
фия лишней не будет.
Ну а дальше социальная инженерия во всей красе. С по-
мощью полученной контактной информации злоумышлен-
ник может связаться с сотрудниками компании и получить
необходимую информацию. Обратите внимание, все приве-
денные выше действия вряд ли можно хоть как-то подвести
под статьи уголовного кодекса.
В качестве практической части ко всему вышесказанно-
му можно попытаться собрать информацию о технических
специалистах своей компании в социальных сетях. Посмо-
треть, какая информация о корпоративной сети есть в от-
крытом доступе. Не лишним будет кому-либо из специалис-
тов, проводящих аудит, позвонить сотрудникам компании
и от имени, например, техподдержки попытаться узнать
пароль выхода в корпоративную сеть. Подобные экспери-
менты позволяют получить представление об общем уровне
осведомленности об ИБ в компании.
На этом, я думаю, с социальной инженерией можно за-
кончить и перейти к техническим способам сбора инфор-
мации.
Осматриваемся в сети
Для сбора информации нам снова потребуется Kali Linux.
Подключившись к сети, первое, что мы можем сделать,
это посмотреть вывод команды ifconfig. Если мы получи-
ли IP-адрес по DHCP, то знаем размер подсети, в которой
27
 Безопасность
находимся, и можем смело приступать к сканированию.
В случае если нам не выдали адрес, придется выставлять
его самостоятельно. Для этого необходимо запустить сниф-
фер и посмотреть, какой трафик «гуляет» по сети. В этом
нам поможет Wireshark (см. рис. 1).
Наличие пакетов из и в сеть 192.168.1.х позволяет сде-
лать вывод о том, какая адресация используется, а бродка-
сты дают возможность оценить размер сети и маску. IP-ад-
рес придется выставлять наугад, разыскивая свободный,
рекомендую начать с верхних адресов предполагаемого
диапазона.
Теперь запускаем сканирование подсети для поиска уяз-
вимых узлов. Для этого можно воспользоваться утилитой
nmap, в составе Kali также есть и GUI… Однако мы вос-
пользуемся командной строкой. Для сканирования подсе-
ти 192.168.1.0/24 выполним команду:
root@kali:~# nmap –sS -O 192.168.1.0/24
Здесь мы проводим скрытое SYN-сканирование
всех 255 машин сети 192.168.1.0/24 (опция -sS). Также будет
произведена попытка определения операционной системы
на каждом работающем хосте (опция -O).
Через несколько минут мы получим информацию о рабо-
тающих в данный момент в сети узлах. Как видно, процесс
сканирования не слишком сложен.
Вывод может быть аналогичен следующему:
Nmap scan report for 192.168.1.2
Host is up (0.0080s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
Рисунок 1. Перехваченные Wireshark пакеты
28
аудит
139/tcp open netbios-ssn
445/tcp open netbios-ssn
912/tcp open vmware-auth VMware Authentication Daemon 1.0
(Uses VNC, SOAP)
5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
MAC Address: 00:25:22:12:C7:7F (ASRock Incorporation)
Service Info: OS: Windows
Прежде чем двигаться дальше, посмотрим, какие еще
полезные для автоматизации сканирования сети функции
есть у nmap.
В случае если злоумышленник хочет, чтобы его дейст-
вия были менее подозрительными и не были обнаружены
системами обнаружения атак (IDS), он может разбить свою
атаку на части, сканируя только небольшие диапазоны
адресов.
Приведенная ниже команда запускает перебор хостов
и TCP-сканирование первой половины всех (из доступ-
ных 255) адресов подсети 192.168.1.0. Также опция -p прове-
ряет, запущены ли SSH, DNS, POP3 или IMAP с использова-
нием их стандартных портов и использует ли какое-нибудь
приложение порт 4564. Если какой-нибудь из этих портов
открыт, то будет произведена попытка определения работа-
ющего с этим портом приложения.
root@kali:~# nmap -sV -p 22,53,110,143,4564 198.168.1.1-127
Практический смысл следующей команды может по-
казаться сомнительным, потому что она указывает nmap
выбрать случайным образом 100 000 хостов и проскани-
ровать их на наличие запущенных на них веб-серверов
(порт 80). Однако я бы рекомендовал при проведении ауди-
та выполнить данную команду, дабы сымитировать действия
май 2016 системный администратор
 аудит
злоумышленника, уже проникшего в сеть и пытающегося
использовать корпоративные ресурсы для осуществления
атак на другие узлы.
При этом перебор хостов отключен опцией -PN, т.к. по-
сылка пары предварительных запросов в целях определе-
ния доступности хоста является нецелесообразной, когда
интересует всего один порт на каждом хосте.
root@kali:~# nmap -v -iR 100000 -PN -p 80
Если требуется просканировать большое количество
узлов, то имеет смысл сохранять полученные результаты
в файл. К тому же в случае, если злоумышленник будет об-
рабатывать полученные результаты с помощью сценариев
в целях автоматизации процесса взлома, вывод в файл так-
же будет необходим. Написание сценариев для автоматиза-
ции задач аудита мы подробно рассмотрим в одной из сле-
дующих статей цикла.
Следующей командой будут просканированы 4096 IP-ад-
ресов (без предварительного пингования), а выходные дан-
ные будут сохранены в формате XML и формате, удобном
для просмотра утилитой grep (grepable-формат).
root@kali:~# nmap -PN -p80 -oX logs/pb-port80scan.xml ↵
-oG logs/pb-port80scan.gnmap 216.163.128.20/20
Когда нужна скорость
Nmap является, пожалуй, наиболее известным средством
сканирования сети. Однако, помимо него, существуют так-
же и другие средства. Например, в случае если необходимо
просканировать сеть в несколько тысяч узлов на предмет
наличия хостов с открытыми портами, то наиболее подходя-
щим будет массовый сканер портов MASCAN.
Это приложение способно отправлять до 10 миллионов
пакетов в секунду. По утверждениям разработчиков, он мо-
жет сканировать весь интернет за 6 минут. Этот инстру-
мент полезен для обзора сетей большого масштаба – таких
как интернет или крупные внутренние сети. Этот сканер
построен на технологии асинхронного сканирования пор-
тов, когда одновременно отправляется большое количество
пакетов на порты хоста. К тому же он достаточно гибкий,
позволяет выбирать произвольные диапазоны адресов
и портов.
Важной особенностью MASSCAN, о которой не стоит забы-
вать, является то, что он использует кастомный (то есть спе-
циально изготовленный) TCP/IP-стек. То есть любое другое
действие, которое выходит за пределы простого сканиро-
вания, приведет к конфликту с локальным TCP/IP-стеком.
Это означает, что либо нужно использовать опцию -S для ис-
пользования раздельных IP-адресов, либо настроить опера-
ционную систему так, чтобы файрвол обрабатывал порт,
который использует masscan [3].
Теперь перейдем непосредственно к работе с данной
утилитой.
root@kali:~# masscan <ip адрес/диапазон> -p порты опции
Предположим, результаты предварительного аудита с по-
мощью методов, описанных выше, показали, что на многих
машинах в сети могут быть открыты порт 80 и группа портов
системный администратор май 2016
Безопасность
от 7000-го до 7100-го, которые используют самописное при-
ложение. Также у нас имеется сеть 10.0.0.0/8. Мы хотим най-
ти, на каких из этих машин открыты порт 80 и диапазон пор-
тов с 7000-го по 7100-й. При этом нам необходимо провести
сканирование как можно быстрее, но с учетом пропускной
способности каналов связи. Таким образом, нам надо от-
правлять 100 000 пакетов в секунду. Для этого выполним
команду:
root@kali:~# masscan -p80,7000-7100 10.0.0.0/8 --rate=100000
В результате мы получим список машин с обнаруженны-
ми открытыми портами (см. рис. 2).
Для удобства работы с собранной информацией ее не-
обходимо сохранять в файл. В следующем примере в файл
будут сохранены приветственные сообщения, которые по-
казывают узлы при обращении к открытому порту 80.
root@kali:~# masscan -p80 10.0.0.0/8 --banners -oB <имя_файла>
Еще одной полезной опцией, которая может быть исполь-
зована при проведении аудита, является возможность ука-
зания IP и MAC-адреса интерфейса, отправляющего пакеты
для сканирования.
Вот пример использования утилиты с заданными IP
и MAC, сканирующей сеть 10.0.0.0/8 на наличие открытых
портов 137-139.
root@kali:~# masscan 10.0.0.0/8 –p137-139 ↵
--adapter-ip 192.168.1.111 ↵
--adapter-mac 00-11-22-33-44-55
Для автоматизации и ускорения процесса сканирования
можно создать конфигурационный файл, в котором указать
необходимые параметры для IP и MAC-адресов. Например:
adapter-ip = 192.168.1.111
adapter-mac = 00-11-22-33-44-55
И затем запустить утилиту с ключом -с.
root@kali:~# masscan -c <имя_файла>
Для генерации конфигурационного файла из текущих
настроек наберите опцию --echo. Это остановит програм-
му от обычного запуска, и вместо этого она просто напе-
чатает текущую конфигурацию. Это полезно для генерации
Рисунок 2. Обнаруженные узлы
29
 Безопасность
первого конфигурационного файла или для просмотра спи-
ска параметров.
На этом, я полагаю, тему идентификации узлов и при-
ложений с помощью сетевых сканеров можно завершить.
Собранная на данном этапе аудита информация нам потре-
буется в следующей статье, когда мы будем выявлять уяз-
вимости и пытаться эксплуатировать их. А теперь перейдем
к сбору информации посредством перехвата сетевого тра-
фика.
Анализируем трафик
Нам потребуется Wireshark, позволяющий перехватить ин-
формацию, передаваемую по сети в открытом виде. Напри-
мер, некоторые самописные веб-приложения, работающие
в корпоративных сетях, до сих пор не используют SSL-
шифрование, вследствие чего передача учетных данных
и другой информации ведется в открытом виде и легко пере-
хватывается.
Для мониторинга трафика с помощью Wireshark необхо-
димо на активном интерфейсе запустить прослушивание.
Для поиска «интересной» информации в уже собранном
трафике необходимо остановить перехват и сделать филь-
трацию по интересующему порту или протоколу. Например,
по порту 80. Так как вся информация в HTTP передается
в текстовом виде, найти, к примеру, пароль, переданный
формой, можно довольно просто. Достаточно сделать по-
иск в собранных пакетах по тегу hidden. Рядом с этим тегом
и будет пароль.
Помимо Wireshark, существуют и другие не менее инте-
ресные средства. Одним из них является Driftnet [4]. Эта ути-
лита ориентирована на воспроизведение перехваченного
медийного контента, который передается по сети. Конечно,
с точки зрения безопасности нас мало интересует, какие
видео смотрят пользователи в рабочее время. Хотя исполь-
зование корпоративного доступа в сеть Интернет тоже мож-
но отразить в отчете об аудите, особенно если к нему можно
приложить иллюстрирующие доказательства. Однако нас
больше интересует передача по сети сканов различных до-
кументов и других изображений, содержащих конфиденци-
альную информацию.
Пользоваться Driftnet довольно просто, для этого до-
статочно запустить Applications → Kali Linux → Sniffing/
Spoofing → Web Sniffers → driftnet. После запуска появится
небольшое окно, которое желательно растянуть.
А дальше просто смотрим, что проходит через сеть.
Боремся с коммутаторами
Что делать в случае, если, подключившись к сети, сниффер
показывает только пакеты, идущие к или от нашей машины?
В современных сетях такая ситуация достаточно распро-
странена, так как повсеместно используемые коммутаторы
в отличие от концентраторов не ведут широковещательных
рассылок поступающего трафика на все порты.
Однако эту «защиту» достаточно легко преодолеть с по-
мощью инструментов, входящих в состав Kali. Но сначала
немного теории для лучшего понимания процесса.
На коммутаторах для преобразования IP-адресов и MAC-
адресов используется протокол ARP (Address Resolution
Protocol). Информация о соответствии IP и MAC хранит-
ся в ARP-таблицах. Атака ARP-poison (отравление ARP)
30
аудит
сводится к тому, что подменяем в ARP-таблице MAC-адрес
узла, вследствие чего в корпоративной сети становится
возможным контролировать трафик всех узлов в пределах
доступности ARP-ответов с контролируемого узла вне зави-
симости от свойств физической сетевой инфраструктуры.
То есть мы сможем получать копии трафика с других портов
коммутатора.
Перейдем к практической части. Для этого воспользу-
емся утилитой Ettercap. Конечно, описанные ниже действия
можно реализовать и с помощью Wireshark, однако Ettercap
немного удобнее для реализации данной атаки.
Запустим утилиту с графическим интерфейсом.
root@kali:~# ettercap –G
Далее выбираем тип перехвата трафика Unified
или Bridged. Первый производит простой перехват трафи-
ка, в то время как второй предназначен для вмешательства
в процесс передачи трафика. Выберем unified. Далее ука-
зываем используемый сетевой интерфейс. Можно указать
как проводной, так и беспроводной варианты.
Далее определяемся с тем, у кого мы хотим перехваты-
вать трафик. Для этого необходимо просканировать сеть
на наличие активных узлов. Как видно, функционал Ettercap
частично перекликается с описанным ранее сканерами.
Для запуска сканирования выбираем Hosts, далее Scan for
hosts. Получаем список активных узлов с IP и MAC-адресами.
Выбираем нужный узел и нажимаем Add To Target 1. В этом
окне еще имеется кнопка Add To Target 2. В случае если хо-
тим перехватывать только трафик между двумя конкретны-
ми узлами, необходимо указать второй узел и нажать Add
To Target 2, если планируем перехватывать весь трафик
для данного узла, то второй узел выбирать не надо.
Затем запускаем сканирование, нажав Start, Start Sniffing.
Далее завершаем процесс отравления ARP, выбрав MITM/
ARP Poisoning. Опция Sniff Remote Connections должна быть
включена.
Далее уже в Wireshark можно осуществлять перехват тра-
фика по аналогии с тем, как мы это делали ранее.
По окончании сбора пакетов в Ettercap необходимо от-
ключить ARP-poison, нажав Start/Stop sniffing.
Становимся посредником
Злоумышленник, попав в сеть, может осуществить атаку
типа «человек посередине» (Man in the middle), то есть попы-
таться стать посредником между легальными узлами. С по-
мощью MitM можно реализовать много различных атак, свя-
занных не только с прослушиванием, но и с модификацией
проходящего трафика. Но в контексте темы данной статьи
мы реализуем перехват паролей, заодно познакомившись
еще с парой полезных утилит из состава Kali Linux.
Итак, мы уже знаем, какие узлы сейчас активны в сети.
Так как машина злоумышленника выступает в роли по-
средника, для начала разрешаем пересылку IP-пакетов (ip
forwarding). Сделать это можно следующим образом:
root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward
Теперь проводим ARP spoofing (подменяем MAC-ад-
реса для определенных IP-адресов). Машина злоумыш-
май 2016 системный администратор
 аудит
ленника будет посредником между шлюзом по умолчанию
и локальной сетью. Если адрес шлюза 192.168.1.1, а наш
адрес 192.168.1.100, то для подмены нам необходимо вы-
полнить следующее:
root@kali:~# arpspoof –t 192.168.1.1 192.168.1.100
Утилита arpspoof как раз предназначается для подмены
MAC-адресов.
Для корректной работы ARP spoofing обязательно дела-
ем подмену и в обратную сторону.
root@kali:~# arpspoof –t 192.168.1.100 192.168.1.1
Начинаем перехват трафика. Правда, в отличие от преды-
дущих примеров здесь мы будем перехватывать, а вернее,
отображать не весь трафик, а только пароли от различных
приложений. Для этого мы воспользуемся утилитой dsniff [5].
root@kali:~# dsniff
---------------
05/21/00 10:49:10 bob -> unix-server (ftp)
USER bob
PASS dontlook
---------------
05/21/00 10:53:22 karen -> lax-cisco (telnet)
karen
supersecret
---------------
05/21/00 11:01:11 karen -> lax-cisco (snmp)
[version 1]
private
В результате работы мы перехватили несколько паролей,
передававшихся в незашифрованном виде.
Dsniff позволяет перехватывать пароли, отправлен-
ные методом HTTP POST данные, HTTP Basic and Digest
authentications, FTP,IRC, POP, IMAP,SMTP, NTLMv1/v2 (HTTP,
SMB, LDAP и т.п.).
На этом, я думаю, практическую часть сегодняшней ста-
тьи можно завершить и перейти к рассмотрению резуль-
татов.
Что в результате
Защищаться от социальной инженерии не так просто,
как может показаться на первый взгляд. Необходимо на ре-
гулярной основе производить мониторинг той информации,
которая есть о компании в интернете, на предмет наличия
сведений о приложениях, используемых в корпоративной
сети. Особое внимание здесь следует уделить социальным
сетям, так как в них зачастую публикуют «лишнюю» инфор-
мацию.
Теперь перейдем к технике. После выполнения тех дейст-
вий, которые описаны в статье, я бы рекомендовал обра-
титься к средствам защиты информации и мониторинга
событий ИБ, которые установлены в корпоративной сети.
Прежде всего необходимо посмотреть в консоли систем об-
наружения и предотвращения вторжений, какие атаки они
увидели. Если IDS не зафиксировал ничего, то, может, он,
конечно, и не настроен, но скорее всего у вас просто не ве-
дется мониторинг трафика внутри сети. Очень часто IDS/IPS
контролируют только каналы, ведущие в интернет и DMZ,
системный администратор май 2016
Безопасность
а вот про внутреннюю сеть обычно забывают. В результате,
если злоумышленнику каким-либо образом удалось проник-
нуть во внутреннюю сеть, он может совершенно безнака-
занно проводить различные атаки, оставаясь при этом не-
заметным для средств защиты.
В случае если IDS/IPS все-таки что-то обнаружили,
то я рекомендую внимательно посмотреть, какие именно
атаки были найдены и какие сообщения были выведены
в консоль. Лучше всего по отдельности провести каждую
из атак и посмотреть, реагирует ли на нее IDS, и если ре-
агирует, то как именно. Возможно, есть смысл написать
собственные правила или подправить уже существующие.
Также современные антивирусные системы умеют обнару-
живать некоторые виды сетевых атак, прежде всего скани-
рование портов на хосте. Поэтому нелишним будет прове-
рить журналы событий антивирусных систем.
Что касается активной защиты от описанных атак,
то здесь лучше всего справится именно система предотвра-
щения вторжений, установленная в разрыв. Если архитекту-
ра сети позволяет, то правильно настроенная IPS даст воз-
можность заблокировать большинство описанных в статье
атак.
Также межсетевые экраны, блокирующие все, кроме
нужного трафика, будут хорошим средством защиты от ска-
нирования портов. Бороться с прослушиванием трафика
достаточно сложно. Конечно, если целевое приложение
поддерживает шифрование трафика, например SSL, то не-
обходимо его использовать. Однако если какая-либо старая
программа работает только по HTTP или FTP, то здесь един-
ственным решением может стать шифрование на уровне
IPSec.
Но для выявления того, прослушивают ли вашу сеть, мож-
но прибегнуть к помощи узла-приманки (honeypot). Создаем
поддельный сервис, на который периодически производит-
ся подключение под как бы административной учетной за-
писью по нешифрованному протоколу с одного и того же
узла. На узле-приманке настраиваем журналирование всех
попыток входа. И ведем регулярный мониторинг журналов
приманки. Если обнаруживаются входы с IP-узла, отличного
от того, с которого мы подключаемся, значит, кто-то прослу-
шивает нашу сеть.
На этом тему сбора информации о сети и защиты от данного
типа атак можно завершить. В следующей части мы начнем
подробное рассмотрение того, как можно получить доступ
на целевые узлы атакуемой сети.  EOF 
[1] Бирюков А. Проводим пентест. Часть 1. Проникаем в беспро-
водную сеть. // «Системный администратор», №4, 2016 г. –
С. 40-44 (http://samag.ru/archive/article/3171).
[2] Бирюков А. А. Информационная безопасность: защита и на-
падение. ISBN: 978-5-94074-647-8.
[3] Статья по работе с masscan – https://kali.tools/?p=976.
[4] Описание утилиты DriftNet – http://goo.gl/x0pZK3.
[5] Описание работы с dsniff – http://256bit.ru/Secure/Glava%2010/
Index10.html.
[6] Список всех ключей nmap – http://xgu.ru/xg-ids/ch06.html.
Ключевые слова: безопасность, пентест, аудит, Kali.
31
 Базы данных
Визитка
ВЛАДИМИР ТИХОМИРОВ,
директор по информационным технологиям
СПАО «Ингосстрах», Vladimir.Tikhomirov@ingos.ru
Распараллеливание операций в Oracle
Часть 2. Особенности и ограничения
В статье рассматриваются вопросы распараллеливания DDL-операций, SQL‑запросов
и других операций в Oracle, а также особенности и ограничения, связанные
с распараллеливанием
В первой части статьи [1] были рассмотрены вопросы
распараллеливания DML-операций: Insert, Update, Delete,
Merge, особенности и ограничения процессов распаралле-
ливания обычных (не секционированных) таблиц [1]. Во вто-
рой части разберемся с возможностями Oracle по распа-
раллеливанию DML-операций секционированных таблиц.
Также осветим вопросы распараллеливания SQL-запросов
(parallel query) и распараллеливания DDL-операций (таких
как Create tables, Create index и Rebuild index). Рассмотрим
возможности использования параллелизма при сборе ста-
тистики таблиц и индексов.
На степень параллелизма существенное влияние оказы-
вает ряд таких факторов, как число процессоров на серве-
ре, значения параметров инициализации экземпляра базы
данных, параметры, установленные на уровне сессии, про-
фили пользователей и их параметры ресурсов и т.д.
Параметры инициализации
Они отвечают за параллелизм во всех сессиях, и их значе-
ния можно увидеть по запросу:
Select name, value, description from v$parameter ↵
where name like ‘%parallel%’ order by 1;
Основные параметры инициализации, отвечающие за па-
раллелизм, приведены в таблице 1.
Профили пользователя
Профиль (Profile) – это коллекция атрибутов, связанных с ис-
пользованием ресурсов и паролей, которая может быть на-
значена пользователю. В профилях задаются, в том числе,
предельные значения степени параллелизма для пользова-
теля. Для параллелизма интерес представляет параметр ре-
сурсов Session_per_user, который указывает максимальное
количество сессий (параллельных процессов), которые мо-
гут быть параллельно открыты пользователем.
Наличие профиля у пользователя AIF и его ограничения
по ресурсам, например по Session_per_user, можно увидеть
через запрос:
32
инструменты
Визитка
ВАЛЕРИЙ МИХЕИЧЕВ,
эксперт Oracle, ОСАО «Ингосстрах»,
Valery.Mikheitchev@ingos.ru
Select u.username, p.profile, p.resource_name, p.limit ↵
from dba_profiles p, dba_users u ↵
where u.profile=p.profile ↵
and resource_name ='SESSIONS_PER_USER' ↵
and u.username='AIF';
где в username подставляется имя схемы пользователя.
При этом на профиль пользователя накладывает ограни-
чения ресурсов только в том случае, когда параметр иници-
ализации Resource_limit установлен в true. Увидеть значение
параметра инициализации можно из запроса:
Select name,value from v$parameter where name='resource_limit';
Параметры параллелизма на уровне сессии
(сессионные параметры)
Их можно увидеть из представления v$ses_optimizer_env че-
рез запрос:
Select name, isdefault, value from v$ses_optimizer_env s ↵
where sid = sys_context('USERENV', 'SID') ↵
and name like 'parallel%' order by 1;
Среди всех сессионных параметров особый интерес
представляют следующие три параметра:
>> Parallel_dml_mode, определяющий параллелизм DML-
операций (по умолчанию принимает значение disabled);
>> Parallel_ddl_mode, определяющий параллелизм DDL-
операций (по умолчанию принимает значение enabled);
>> Parallel_query_mode, определяющий параллелизм SQL-
запросов (по умолчанию принимает значение enable).
Первый параметр Parallel_dml_mode имеет значение
disable, блокирующее (выключающее) режим распараллели-
вания процессов DML-операций, например таких, как Insert,
Delete Update, Merge. Чтобы распараллеливание заработа-
ло, необходимо включить его в режим enable командами:
Alter session enable parallel DML
Alter session force parallel DML
май 2016 системный администратор
 инструменты Базы данных

Как работают эти команды и их особенности описаны
в первой части статьи. Первая команда требует еще активи-
зации процесса распараллеливания либо через хинт (под-
сказка оптимизатору) Parallel, либо указанием параллелиз-
ма фразой Parallel при создании таблицы командой Create.
Второй параметр Parallel_ddl_mode сообщает, что в сес-
зировать параллелизм через указание в таблице фразы
parallel, либо через хинт parallel, либо путем выполнения пе-
ред запуском сессии команды Alter с фразой force, например:
Alter session force dml
Alter session force dml parallel 32

сиях включен режим enabled, разрешающий проводить рас-

параллеливание процессов при DDL-операциях (например,
при создании или перестройке индекса). Однако следует
заметить, что это не подразумевает автоматического вклю-
чения процесса распараллеливания, требуется провести
работу по активизации процессов распараллеливания.
Третий параметр parallel_query_mode по умолчанию при-
нимает значение enabled, разрешающее распараллелива-
ние SQL-запросов. При этом можно изменить значение па-
раметра с enabled на force в сессии командой Alter session
force parallel query. При этом в команде может быть добав-
лена еще одна фраза parallel со степенью параллелизма,
например, Alter session force parallel query parallel 16.
Параллелизм DML и SQL-операций
c секционированными таблицами
Для секционированной таблицы, чтобы заработал парал-
лелизм при выполнении DML-операций, достаточно активи-
где 32 – степень параллелизма.
Таким образом, первый способ активизации секциони-
рованной таблицы – это указать в таблице параллелизм
при ее создании в команде Create. Для этого используется
фраза parallel с указанием степени параллелизма (degree of
parallelism или сокращенно DOP), при этом возможен вари-
ант без указания степени параллелизма во фразе parallel.
Другим способом активизации параллелизма в секциони-
рованной таблице является использование хинта (подсказ-
ка оптимизатору) parallel с указанием в нем степени парал-
лелизма (возможен вариант без указания в хинте DOP).
Ниже приводится пример секционированной таблицы
AIF.TARIFF, секционированной по полю HEADISN с интерва-
лом секционирования 100 по методу RANGE, с автоматиче-
ским созданием секции фразой interval(100). Параллелизм
в таблице задается фразой parallel со степенью паралле-
лизма DOP=32.

Таблица 1. Документированные параметры инициализации, ответственные за параллелизм

Имя параметра Назначение параметра

LICENSE_MAX_SESSIONS
PARALLEL_ADAPTIVE_
MULTI_USER
PARALLEL_DEGREE_LIMIT
PARALLEL_DEGREE_
POLICY
PARALLEL_EXECUTION_
MESSAGE_SIZE
PARALLEL_FORCE_LOCAL
PARALLEL_MAX_SERVERS
PARALLEL_MIN_SERVERS
PARALLEL_MIN_PERCENT
PARALLEL_MIN_TIME_
THRESHOLD
PARALLEL_SERVERS_
TARGET
PARALLEL_THREADS_
PER_CPU
PROCESSES
Определяет максимальное количество параллельно выполняющихся сеансов, которые могут существовать в любой заданный
момент времени (значение, используемое по умолчанию: 0)
Включает адаптивный алгоритм, разработанный для того, чтобы улучшить производительность в многопользовательских
средах с использованием параллельного выполнения. Алгоритм автоматически уменьшает требуемую степень параллелизма
на основе системной загрузки во время выполнения запроса. Эффективная степень параллелизма основана на степени
параллелизма по умолчанию или степени параллелизма из таблицы или хинтов
Оптимизатор автоматически определяет степень параллелизма для операторов на основе потребности их в ресурсах. При этом
оптимизатор будет ограничивать степень параллелизма используемого для обеспечения параллельных процессов сервера
в случае их лавинообразного роста в системе до определенного предела. Данный предел и определяется значением этого параметра
Определяет, будет ли автоматическая степень параллелизма
Определяет размер сообщений, используемых для параллельного выполнения (параллельный запрос, параллельные DML-
операции, параллельное восстановление, репликация)
Контролирует параллельные выполнения в среде Oracle RAC
Параметр определяет максимальное число параллельных серверных процессов, заданное для экземпляра
Определяет минимальное число параллельных серверных процессов, заданных для экземпляра. Значение является числом
процессов параллельного выполнения, которые Oracle создает, когда экземпляр запускается
Позволяет определять минимальный процент числа процессов параллельного выполнения, требуемых для выполнения
параллельного запроса. Установка этого параметра гарантирует, что параллельные операции не будут выполняться, если
соответствующие ресурсы не будут доступны
Определяет минимальное время выполнения, после которого для оператора включается автоматическая степень
параллелизма. По умолчанию параметр устанавливается в значение, равное 10 секундам. Автоматическая степень
параллелизма разрешена, только если параметр PARALLEL_DEGREE_POLICY устанавливается в значение AUTO или LIMITED
Определяет, какое количество серверных параллельных процессов разрешено для операторов параллельного выполнения,
прежде чем в действие вступит очередь операторов. Если параметр установлен на AUTO, Oracle поставит в очередь SQL-
операторы, которые требуют параллельного выполнения, если необходимые параллельные процессы сервера будут
недоступны. Организация очереди операторов начнется тогда, когда число активных серверных параллельных процессов
в системе будет равно или больше, чем значение этого параметра
Параметр описывает число выполняющихся параллельных процессов или потоков, которые ЦП может обработать во время
параллельного выполнения
Значение параметра устанавливает верхний предел для числа процессов операционной системы, которые могут параллельно
подключаться к базе данных

системный администратор май 2016 33

 Базы данных
CREATE TABLE AIF. TARIFF
( ISN NUMBER, NAME VARCHAR2(200), PRICE NUMBER, HEADISN NUMBER)
PARTITION BY RANGE (HEADISN)
INTERVAL( 100)
( PARTITION P_1 VALUES LESS THAN (100))
PARALLEL 32;
Число секций, созданных в таблице, можно увидеть
по запросу:
Select p.* from dba_tab_partitions p where p.table_owner='AIF' ↵
and p.table_name=’TARIFF' order by partition_position;
Если при создании таблицы во фразе parallel не указать
степень параллелизма DOP, то в таблице при ее создании
по умолчанию появляется фраза:
PARALLEL (DEGREE DEFAULT INSTANCES DEFAULT)
При этом DEGREE DEFAULT говорит о том, что степень
параллелизма DOP автоматически рассчитывается Oracle
на основании параметров инициализации, в первую очередь
на основании таких параметров, как Cpu_cout и Parallel_
threads_per_cpu.
При этом число задействованных параллельных процес-
сов на основании данных параметров рассчитывается как:
Cpu_cout * Parallel_threads_per_cpu + 1 (добавляется еще
один процесс, представляющий собой координатор процес-
сов). Назовем полученное значение Degree default и будем
на него ссылаться далее в статье. Для определения Degree
default можно воспользоваться запросом:
Select value*(select value from v$parameter ↵
where name='parallel_threads_per_cpu')+1 ↵
from v$parameter where name='cpu_count';
Пример DML-операции с секционированной таблицей
с использованием хинта parallel:
Update /*+ parallel(32) */ aif.tariff set price=price+100 ↵
where isn=1000000; commit;
операция с параллелизмом должна быть обязательно за-
вершена по commit или rollback.
Число DOP в таблице можно скорректировать командой:
Alter table aif.rtariff parallel 64
в том числе задать DOP, если при создании таблицы не ука-
зали фразу parallel.
При выполнении SQL-запросов к секционированной та-
блице наличие фразы parallel в таблице позволяет распа-
раллеливать запрос исходя из значения DOP, указанного
в таблице. При отсутствии фразы parallel в таблице распа-
раллеливать запрос позволяет использование хинта parallel
в запросе:
Select /*+ parallel(32) * / t.* from aif.tariff t…
Если идет обращение по Select к какой-то секции табли-
цы, то использование хинта parallel позволяет выполнять
34
инструменты
параллельное чтение секции, например распараллеливани-
ем извлечения строк из секции sys_p48283 по запросу:
Select /*+ parallel(32) */ t.* ↵
from aif.tariff partition(sys_p48283) t;
Следует учесть также, что для секционированных таблиц
распараллеливание поддерживается в том числе для опера-
ций с секциями Move, Split и Coalesce.
Замечание. Как показала практика предпочтительнее
указывать DOP во фразе parallel как в таблице, так и в хин-
те, поскольку число параллельных процессов по умолчанию
может оказаться велико, что может привести к потере про-
изводительности SQL-запроса.
Увидеть результаты распараллеливания DML-операций
и SQL-запросов позволяет представление Oracle v$px_
session через запрос запущенный в другой сессии:
Select * from v$px_session where qcsid=241
При этом qcsid – это sid сессии, в которой запущен за-
прос, например 241, где sid можно найти по запросу:
Select sid from v$session where audsid in ( ↵
select userenv('sessionid') from dual)
Данный запрос покажет сессии, образованные в ре-
зультате выполнения параллельных операций (например,
при DOP=32 будет 33 сессии, где одна из них будет сессия-
координатор с sid=241).
Параллелизм SQL-запросов
Одним из способов инициировать распараллеливание вы-
полнения SQL-запросов является использование хинта
parallel c указанием в нем степени параллелизма DOP. На-
пример:
Select /*+ parallel(a 32) */ a.* from aif.buch_t a
где a – алиас таблицы (если его нет, то ставится имя табли-
цы). В Oracle 11g и 12c алиас (имя таблицы) можно не ста-
вить, т.е. хинт имеет вид /*+ parallel(32) */.
Кроме того, в хинте parallel значение DOP можно не ста-
вить, например писать /*+ parallel */. В этом случае Oracle
вычисляет DOP на основании значений параметров инициа-
лизации по формуле, описанной выше, принимая значение
Degree default.
Другой вариант распараллеливания SQL-запросов, об-
ращающихся к таблице, – это задания в таблице паралле-
лизма через фразу parallel со значением DOP при создании
таблицы. Например:
Create table aif.buch_t (…) parallel 32
где 32 – степень параллелизма.
Если же таблица уже создана, то задать параллелизм
в таблице позволяет команда Alter table имя таблицы parallel
степень параллелизма (при этом по умолчанию в таблице
DOP=1). Например, указать в таблице aif.buh_t параллелизм
с DOP=16 позволяет команда:
май 2016 системный администратор
 инструменты
Alter table aif.buh_t parallel 16
Увидеть наличие параллелизма в таблице можно по за-
просу:
Select degree from all_tables where owner='AIF' ↵
and table_name='BUH_T'
Для удаления параллелизма в таблице следует выпол-
нить команду:
Alter table aif.buh_t noparallel
Правда, в этом случае может возникнуть ошибка:
ORA-00054:resource busy and acquire with NOWAIT specified or
timeout expired
которая сообщает, что убрать параллелизм в структуре та-
блицы пока не представляется возможным в силу работы
с таблицей (надо ждать освобождения ресурсов таблицы
или выполнить указанную команду, например, в период пе-
резагрузки базы данных).
Следует заметить, что поддаются распараллеливанию
также следующие конструкции внутри одной команды Select:
>> Distinct, >> Union и Union all,
>> Group by, >> Cube и Rollup,
>> Order by, >> агрегатные функции, на-
>> Not in, пример Sum и Max.
Замечание. Установка описанного выше сессионно-
го параметра parallel_query_mode в режим disable (от-
ключение) через Alter session disable query при наличии
фразы parallel в таблице блокирует работу параллелизма
SQL-запросов к таблице. Вместе с тем если используем
в запросе хинт parallel, то параллелизм срабатывает вне
зависимости от значения сессионного параметра parallel_
query_mode. Дополнительные возможности дает использо-
вание фразы force в команде:
Alter session force parallel query parallel 32
выполняемой при запуске сессии (в команде указывается
степень параллелизма). Фраза force инициирует паралле-
лизм выполнения запроса, что позволяет распараллеливать
запросы в сессии без хинта parallel или фразы parallel в та-
блице.
Следует заметить, что при интенсивной работе с парал-
лельными запросами целесообразно иметь ненулевой боль-
шой пул (large pool).
Увидеть, что запрос выполняется в параллельном режиме,
позволяет Oracle представление v$px_session по запросу:
Select count(*) from v$px_session
запущенному в другой сессии.
Полезен также запрос:
Select sql_id, (select v.sql_text from v$sql v ↵
where v.sql_id=s.sql_id and rownum=1) sql_text, p.* ,s.* ↵
системный администратор май 2016
Базы данных
from v$process p,v$session s where s.paddr=p.addr ↵
and p.pname like 'P%' order by s.sid;
Использование распараллеливания
DDL‑операций
Создание таблиц с использованием
параллельных процессов
Распараллеливание можно использовать для сокращения
времени при создании таблицы через конструкцию as select.
В этом случае в Select указывается хинт parallel , например:
Create table aif.buh_t parallel 32 as ↵
select /*+ parallel(32) */ * from aif.buh_isx;
При этом если в таблице есть фраза parallel, то парал-
лелизм ввода также произойдет и без хинта со степенью,
указанной во фразе parallel команды Create.
Создание и перестройка индексов с использованием
параллельных процессов
Активизация параллелизма индекса при его создании и пе-
рестройке осуществляется либо через хинт parallel, либо че-
рез указание в индексе фразы parallel при создании индекса
в команде Create. Если индекс уже создан, то изменить сте-
пень параллелизма в индексе позволяет команда Alter index
имя индекса parallel степень параллелизма. При этом уви-
деть степень параллелизма индекса, например aif.x_buh_t,
можно запросом:
Select degree from all_index where owner='AIF' ↵
and index_name='X_BUH_T'
Создание индекса
Сократить время создания индекса, например x_buh_t_isn,
за счет параллелизма позволяет команда:
Create index aif.x_buh_t_isn on aif.buh_t(isn) parallel 32 ↵
nologging online tablespace prise
где степень параллелизма равна 32. Если индекс уже соз-
дан, то задать режим parallel и степень параллелизма DOP
в индексе можно командой:
Alter index имя индекса parallel 32
Если после фразы parallel не указывается степень па-
раллелизма, то число параллельных процессов равно зна-
чению Degree default (как вычисляется, описано выше).
Степень параллелизма индекса можно увидеть из запроса
в столбце degree:
Select degree, i.* from dba_indexes i ↵
where index_name='X_BUH_T_ISN'
При этом если не указывать степень параллелизма
в Create index, то в столбце degree будет стоять default.
Замечание. При создании индекса с фразой parallel мо-
жет сократиться время выполнения, вместе с тем создает-
ся запись о создании индекса в журнале redo_log, которая
35
 Базы данных
помещается в журнал последовательно. Это может стать
узким местом, в силу чего добавление фразы nologging по-
зволяет избежать этой опасности, отказавшись от ведения
журнала при создании индекса.
Ведение фразы parallel при создании индекса дает эф-
фект не только при создании, перестройке и сбору статисти-
ки по индексу, но и ускорению выполнения SQL-запросов,
использующих хинты – например, index_ffs для обычно та-
блицы и хинта parallel_index для секционированной таблицы.
Перестройка индекса
Перестройка Rebuild большого индекса может потребовать
существенного времени, которое можно сократить, приме-
няя распараллеливание процесса перестройки.
Например, перестройка в параллельном режиме индекса
aif.x_buh_t_isn выполняется по команде:
Alter index aif.x_buh_t_isn rebuild parallel 32 ↵
online nologging
где в команде DOP=32, значение фразы nologging описа-
но выше. Фраза online предлагает перестройку индекса
в онлайновом режиме, повышая доступность перестройки
для крупных таблиц. Вместе с тем, когда уже выполняются
DML-операции над таблицей, распараллеливание пере-
стройки индекса отключается.
Отследить наличие DML-операций над таблицей позво-
ляет запрос (его следует запустить несколько раз, чтобы
выявить динамику DML-операций по вставке, удалению и из-
менению строк таблицы):
Select timestamp, u.name owner,o.name table_name,m.inserts, ↵
m.deletes, m.updates from sys.mon_mods$ m, ↵
sys.obj$ o,sys.user$ u where o.owner#=u.user# ↵
and o.obj#=m.obj# and u.name='AIF' ↵
and o.name='BUH_T';
Сбор статистики таблиц и индексов
в параллельном режиме
Сбор статистики таблиц
Для ускорения сбора статистики по таблице используется
параллелизм. Для этого в команде сбора статистики в пакете
dbms_stats.gather_table_stats указывается степень паралле-
лизма DOP либо чрез фразу degree =>DOP, либо установку
в седьмом поле значения DOP. Например, команда по сбору
статистики таблицы aif.obj_attrib c процентом сбора стати-
стики 20% и степенью параллелизма DOP=32 имеет вид:
Execute dbms_stats.gather_table_stats ( ↵
'aif','obj_attrib',null,20,null, ↵
'for all indexed columns size auto',32);
Если в таблице при ее создании указать фразу parallel
со значением DOP, то степень параллелизма в команде сбо-
ра статистики можно не указывать, т.к. Oracle возьмет DOP
из таблицы.
Сбор статистики для индекса
Параллелизм позволяет ускорить сбор статистики по индек-
су. При этом в команде сбора статистики следует указать
36
инструменты
степень параллелизма DOP в пакете dbms_stats в поле
degree=>DOP. Например, для индекса aif.x_attrib с процентом
сбора статистики 20 и степенью параллелизма DOP=32 ко-
манда сбора статистики выглядит следующим образом:
Execute dbms_stats.gather_index_stats ('aif', 'x_attrib, ↵
null,20, degree=>32);
Можно фразу degree не указывать, но тогда DOP следует
указать в восьмом поле команды:
Execute dbms_stats.gather_index_stats ('aif',
'x_test_statist_ISN', null,20, null, null, null, 32);
Замечание. Возможен вариант, когда в восьмом поле
указывается фраза dbms_stats.default_degree или dbms_
stats.auto_degree (в последнем случае степень параллелиз-
ма регулируется автоматически).
Еще одним вариантом является отсутствие указания
степени параллелизма в команде сбора статистики, одна-
ко в этом случае требуется указать степень параллелизма
при создании индекса фразой parallel с DOP:
Create index aif.x_attrib…parallel 32
Если же индекс уже создан, то ввести параллелизм в ин-
декс позволяет команда:
Alter index aif.x_attrib parallel 32
Если DOP не указывать во фразе parallel при создании
(или модификации индекса через Alter), то степень паралле-
лизма равна degree default.
Таким образом, полезность указания параллелизма в ин-
дексе в том, что при автоматическом сборе статистики, вы-
полняемом Oracle по мере необходимости, будет ускорен
ее сбор путем распараллеливания в соответствии с DOP
индекса.
Выводы
>> Распараллеливание DML-операций в секционирован-
ной таблице требует активации параллелизма через
хинт, либо через установку параллелизма в секциони-
рованной таблице, либо через команду Alter с фразой
Force.
>> Параллелизм SQL-запросов требует активации парал-
лелизма либо через хинты, либо через установку па-
раллелизма в обрабатываемой таблице.
>> Параллелизм DDL-операций используется для ускоре-
ния создания таблицы через as select, создания и моди-
фикации индекса.
>> Ускорить сбор статистики таблиц и индексов позволяет
распараллеливание этой операции.  EOF 
[1] Тихомиров В., Михеичев В. Распараллеливание операций
в Oracle. Часть 1. // «Системный администратор», №4, 2016 г. –
С. 48-52 (http://samag.ru/archive/article/3173).
Ключевые слова: Oracle, СУБД, распараллеливание операций,
DML-операции.
май 2016 системный администратор
 изучаем 1С
АНТ-Информ, заместитель начальника отдела разработки, comol@mail.ru
Под капотом платформы 1С 8.3
В этой статье мы начнем знакомство с внутренним устройством
платформы 1С 8.3 с самого важного – взаимодействия с СУБД
После прочтения заголовка хочется спросить: «Зачем мне
это знать? Зачем заглядывать под капот машины?» Действи-
тельно, если у вас новый автомобиль и вы ездите на нем
в городской среде на небольшие расстояния, – незачем.
А теперь представьте, что вы участвуете в ралли: каждая
остановка – путь к поражению, постоянные изменения ре-
жима эксплуатации, работа в режиме 24x7, особые требова-
ния к скоростному режиму и расходу топлива, повышенные
нагрузки, обслуживание должно производиться «на лету».
Мне лично больше знаком второй режим эксплуатации
информационных систем. Дело в том, что современный
бизнес больше похож на ралли, поэтому современные ин-
формационные системы становятся более похожими на го-
ночные машины. Тут и экстремальные условия, и тонкий тю-
нинг, и отсутствие технологических пауз для обслуживания.
В 1С, к сожалению, для этого достаточно мало штатных
средств. Поэтому для того, чтобы успешно эксплуатировать
Рисунок 1 Метаданные платформы 1С
системный администратор май 2016
Базы данных
Визитка
ОЛЕГ ФИЛИППОВ,
Часть 1. Работа с СУБД
информационную систему в таких условиях, важно и нужно
понимать, как она устроена внутри.
Сразу оговорюсь, что в данной статье не буду переписы-
вать широко известную документацию о структуре таблиц
БД. Эту информацию вы легко можете найти в официальных
источниках либо воспользоваться функцией ПолучитьСтрук-
туруХраненияБазыДанных платформы 1С или ее оформлен-
ными вариациями [1]. В этой статье постараемся рассмо-
треть детали, о которых обычно не пишут.
Для начала стоит сказать, что структура хранения таблиц
в БД у 1С относительно других систем имеет ряд особен-
ностей:
>> Названия реквизитов и таблиц БД никак напрямую
не связаны с названиями реквизитов и таблиц метадан-
ных, которые видит прикладной разработчик.
>> При создании базы данных на СУБД и загрузке ее сред-
ствами 1С названия таблиц и реквизитов могут поме-
няться. Названия таблиц и реквизитов вообще могут
поменяться произвольным образом при любых измене-
ниях метаданных 1С.
>> Вообще прямое обращение к БД является нарушением
лицензионного соглашения с 1С. Но данный пункт со-
глашения добавлен, конечно же, больше в целях отка-
за от ответственности.
Что такое метаданные? Если выражаться простым язы-
ком, то это выглядит примерно как на рис. 1.
То есть вся прикладная логика платформы «зашита»
в метаданных. В соответствии с ними строится структура
БД, в них содержится программный код, их модифициру-
ет прикладной разработчик. А что собой представляют
«метаданные» внутри 1С? Как это ни печально, но мета-
данные 1С – набор бинарных файлов, и большая часть
проблем в платформе, так или иначе, связана с этим ар-
хитектурным решением. Эти бинарные файлы разрушают-
ся, не передаются по обмену, неправильно кэшируются,
долго распаковываются, не соответствуют БД и прочая,
и прочая… Можно только гадать, почему данный механизм
не претерпел изменений со времен платформы 1С 7.7.
37
 Базы данных
Скорее всего потому, что в этом варианте достаточно лег-
ко адаптироваться под различные СУБД. Привязка логики
к таблицам БД все-таки требует определенной зависимо-
сти. В 1С же слой DBMS (работа с СУБД) настолько от-
делен от интерфейсного, что платформа работает почти
(очень почти!) одинаково как на СУБД Oracle Database,
так и в файловом варианте.
Более-менее официальная информация о служебных
таблицах 1С содержится в специальном разделе ИТС [2].
Но того, что пишет 1С, недостаточно, опыт эксплуатации
систем на платформе 1С подсказывает, что об этих табли-
цах нужно написать еще пару строк:
>> Таблица v8users– список пользователей. Пароли их со-
держатся в другом месте в зашифрованном виде. Инте-
ресно то, что банальная очистка данной таблицы будет
означать отсутствие пользователей ИБ, а, следователь-
но, вход без пароля с полными правами любому желаю-
щему.
>> Таблица Params– в бинарном виде содержит некоторые
файлы ИБ 1С, знакомые нам еще по платформе 7.7: тут
можно увидеть и users.usr (да, правильно – тот, в котором
пароли в «условно зашифрованном» виде), и locale.inf –
языковые настройки, и log.inf – настройки журнала реги-
страции, и много чего другого. Видимо, что-то «изобре-
тать» в 1С не очень хотели и по доброй старой традиции
сохранили файлы настроек в бинарном виде.
>> Таблицы Config и ConfigSave. В них, собственно, в би-
нарном виде лежат те самые метаданные, о которых речь
шла выше. Таблицы интересны тем, что «падение базы
при обновлении», как правило, лечится путем манипуля-
ции с этими таблицами примерно следующим образом:
»» Очищаем ConfigSave – пробуем.
»» Удаляем последнюю запись Config – пробуем.
»» Восстанавливаем резервную копию и переносим от-
туда таблицу Config.
»» Обязательно добавляем реквизит в какой-нибудь
объект и повторяем попытку обновления.
Если база поднялась после какого-то из этапов, следу-
ющие можно не повторять. Кроме разве что пункта (d) –
его желательно выполнить в любом случае. Еще по этим
таблицам запросто можно определить, обновлена конфи-
Рисунок 2. Профайлер MS SQL-системы 1C, только отобразившей диалог выбора пользователя
38
изучаем 1С
гурация или не обновлена и когда было последнее об-
новление. В 8.3 появились еще копии данных таблиц, со-
держащие «CAS» в названии, но относятся они к работе
в модели сервиса, поэтому вряд ли кого-то всерьез ин-
тересуют.
>> Таблица _UsersWorkHistory, по сути, позволяет следить
за всеми действиями пользователя, но в оригинале ис-
пользуется для других целей – для удобства.
>> Таблицы *Settings* – их название пусть вас не обманы-
вает: там хранятся просто пользовательские настройки
для конкретных объектов, будь то отчет или форма спи-
ска. Раньше эти настройки сохранялись в профиле поль-
зователя, где-то рядом с кэшем метаданных, но, посколь-
ку кэш мы периодически чистим, а пользователю очень
не нравится терять свои настройки, их вынесли отдельно
и, надо сказать, весьма удачно.
Больше ничего особенного в базе 1С нет. Никаких хра-
нимых процедур, триггеров, представлений на стороне
СУБД 1С не использует. Наверное, отчасти поэтому воз-
никает так много проблем со службой регистрации изме-
нений в распределенной базе, которая по сути всей своей
логики должна бы выполняться непосредственно на СУБД,
т.е. от репликации отличаться только сложными правилами
фильтрации.
Все прочие таблицы строятся примерно по одному прин-
ципу и неплохо описаны в документации [2], поэтому разо-
браться в них не составит особого труда.
Теперь, пожалуй, перейдем от просмотра к действию –
посмотрим, как 1С обращается к СУБД при запуске.
Для начала не помешает ознакомиться с тем, что про-
исходит при запуске информационной базы. Удивительно,
как же много всего 1С выполняет только для того, чтобы
просто отобразить диалог выбора пользователя: в профай-
лере MS SQL появляется примерно следующее (см. рис. 2).
Вся эта куча запросов содержит примерно один и тот же
текст:
exec sp_executesql N'SELECT Creation,Modified,Attributes,
DataSize,BinaryData FROM Config WHERE FileName = @P1 ORDER
BY PartNo',N'@P1 nvarchar(128)',N'a4a8693b-dc91-4762-92e6-
35360c8768db'
май 2016 системный администратор
 изучаем 1С
В принципе из этого можно сделать два вывода:
>> 1С все запросы выполняет через хранимую процедуру
sp_executesql (т.е. использует так называемые динами-
ческие запросы).
>> 1С постоянно обращается к таблице Config, нужно
это или не нужно.
Если пункт 1 – достаточно полезный и правильный путь,
который тем не менее мало к чему приведет, потому как ди-
намически генерируемые запросы в платформе 1С все рав-
но оказываются очень разнообразными, а если в запросе
участвуют еще ограничения RLS, то шансов случайно нат-
кнуться на похожий запрос практически нет.
А вот пункт 2 выглядит достаточно бессмысленным, с уче-
том того, что существует еще и кэш метаданных, такое по-
ведение платформы кажется более чем странным.
Таким образом, если вдруг решитесь разнести БД на раз-
ные файловые группы и на разные диски – размещайте
таблицу Сonfig 1С на самые быстрые. Весит она немного,
но обращения происходят постоянно.
Покопавшись в профайлере, можно найти еще несколь-
ко интересных запросов:
SET LOCK_TIMEOUT 20000
Вопросы, каково будет время ожидания, перед тем как «от-
валится» транзакция, отпали сами собой.
SET TRANSACTION ISOLATION LEVEL READ COMMITTED
Весь основной функционал 1С работает на уровне изо-
ляции Read Committed. Хотя отчеты, которые мы строим
в 1С, выполняются вне транзакции и могут читать Read
UnCommitted.
SELECT TOP 2147483647 ID, Name, Descr, OSName, Changed,
RolesID, Show, Data, EAuth, AdmRole, UsSprH
FROM v8users WITH(READCOMMITTED)
Есть ограничение на количество пользователей в инфор-
мационной системе.
Собственно, это все, что происходит при запуске 1С
как в режиме конфигуратора, так и предприятия. Куча за-
просов к одной и той же таблице, иногда с отбором по од-
ному и тому же значению. Главный вывод, который здесь
можно сделать, – при запуске 1С обращения к СУБД про-
исходят неоптимально, ключевая таблица для ускорения за-
пуска – Config. Если ее, к примеру, вычленить в отдельную
файловую группу и переложить на отдельный диск, то мож-
но существенно ускорить старт 1С.
Теперь попробуем разобраться, как 1С производит чте-
ние данных. Откроем список какого-либо справочника:
exec sp_executesql N'SELECT TOP 45
T1._OwnerIDRRef,
T1._Description,
T1._Fld1076RRef,
T1._Fld1077,
Можно было бы и пропустить этот момент, если бы не одна
деталь: в формах списков 1С читает данные порциями
системный администратор май 2016
Базы данных
по 45 элементов. Вопрос: почему именно 45? Магическая
цифра? К сожалению, суть в том, что эта настройка нигде
не задается. Но стоит всегда держать в уме, сколько запро-
сов «полетит» к СУБД, если вы откроете большой список
на большом экране и попытаетесь его быстро листать.
При чтении самого элемента происходит еще больше
всего интересного: первое, что сразу бросается в глаза, –
при открытии формы элемента справочника выполняется
порядка тридцати (конечно, зависит от справочника) запро-
сов к БД.
Итак, чтобы открыть форму одного элемента справочни-
ка, 1С отправляет следующие обращения к СУБД:
>> Читает метаданные конфигурации этого справочника –
притом разные элементы.
>> Проверяет, не наложена ли на этот справочник тран-
закционная блокировка СУБД.
>> Читает кучу констант, связанных с функциональными
опциями, которые могут примеряться для элементов
данного справочника (да, чем больше функциональных
опций, тем больше обращений к СУБД).
>> Читает настройки пользователя для открываемой фор-
мы данного справочника.
>> Наконец читает сам элемент справочника.
>> Читает некоторые данные из связанных с ним по ссылке
элементов справочника (в основной таблице есть толь-
ко ссылка, а пользователю на экране нужно отобра-
зить наименование).
Если сравнить с логом профайлера по другим системам
(SAP, Dynamics Ax), напрашиваются определенные выводы
о неоптимальности обращений к подсистеме хранения у 1С.
Хотя SAP – другая крайность. Число обращений к СУБД ми-
нимизировано даже в ущерб удобству пользователя.
Во всем сказанном выше стоит отметить полезный в прак-
тике момент: каждая функциональная опция увеличивает от-
крытие формы на время чтения соответствующей константы
из СУБД. Пользовательские настройки справочника тоже
читаются из СУБД при каждом открытии формы.
Мы только начали погружаться в логику внутреннего устрой-
ства 1С. Конечно, многое, с чем столкнулись уже в начале
пути, вызывает достаточно негативную реакцию. Но, зная,
что и как происходит внутри системы, можно минимизиро-
вать отрицательный эффект от определенных архитектур-
ных решений, принятых в платформе 1С. Сами подобные
решения, вполне вероятно, принимались не только из прин-
ципов простоты реализации, а скорее удобства для поль-
зователя и прикладного разработчика. В конце концов
стоимость серверных мощностей снижается с каждым го-
дом (не берем в расчет курс рубля, конечно же), поэтому
будущее за теми решениями, которые «лицом к пользова-
телю».  EOF 
[1] Обработка получения структуры хранения базы данных – http://
infostart.ru/public/147147.
[2] Официальная информация о служебных таблицах БД 1С –
http://its.1c.ru/db/metod8dev/content/1591/hdoc.
Ключевые слова: 1C, СУБД, производительность, запросы.
39
 Базы данных
Визитка
ТИМУР ШАМИЛАДЗЕ,
руководитель, ООО «БухКонсалтинг», timurshamiladze@yandex.ru
Общая схема оптимизации
производительности 1С
Существует множество причин, из-за которых система на 1С может медленно
работать. Рассмотрим общий подход для оптимизации производительности,
чтобы исключить ненужные действия
Без системного подхода к анализу производительности 1С
многие сразу пытаются сделать апгрейд оборудования, что-
бы заставить систему быстрее работать, на что идут огром-
ные средства. В результате тратятся большие деньги на бо-
лее мощное «железо», а 1С при этом быстрее не работает.
Бывают еще такие случаи: пользователи жалуются
на медленную работу 1С, программист вносит изменения
в базу, и в результате она начинает быстрее работать.
Но при сдаче работ по оптимизации пользователи говорят,
что все равно медленно работает, и не хотят принимать
работы. Этого можно было бы избежать, если бы в начале
работ было зафиксировано текущее и желаемое состояние
работы системы в измеряемых показателях.
Чтобы избежать возможных проблем при оптимиза-
ции, можно воспользоваться общей схемой оптимизации
(см. рис. 1).
Рассмотрим основные пункты схемы.
Рисунок 1. Общая схема оптимизации производительности
40
изучаем 1С
Определение текущего состояния по APDEX.
Регулярный мониторинг производительности
Для начала работ по оптимизации производительно-
сти 1С сначала необходимо выяснить текущее состояние
системы. И сделать это нужно в конкретных показателях
(«хорошо»/«плохо»), чтобы можно было сравнить состояние
системы до оптимизации и после. Без такой оценки все дей-
ствия могут не иметь никакого смысла, т.к. конечный резуль-
тат не с чем сравнить и он будет приблизительный.
Фирма «1С» рекомендует для оценки производитель-
ности системы использовать методику APDEX (Application
Performаnce Index), которая состоит из определенных ша-
гов, позволяющих получить конкретную оцифрованную
оценку.
Рассмотрим эти шаги.
Шаг 1. Определить список «ключевых операций»
К ключевым операциям относим: критичные для бизнес-про-
цессов предприятия, имеются жалобы на производитель-
ность этих операций, выполняется большим количеством
пользователей. Список ключевых операций необходимо со-
гласовывать с заказчиком (пользователем).
Примеры ключевой операции:
>> проведение документ;
>> формирование отчета;
>> открытие формы.
Количество ключевых операций не ограничено, но обыч-
но их выбирают около пятнадцати.
Шаг 2. Определяем приоритет у каждой операции
Необходимо отсортировать операции по убыванию их важ-
ности.
Шаг 3. Определяем целевое время выполнения
по каждой операции
Целевое время – максимальное время исполнения опера-
ции, при котором она считается выполненной за приемле-
мое время и удовлетворяет заказчика (пользователя).
май 2016 системный администратор
 изучаем 1С Базы данных

Шаг 4. Получаем данные по времени выполнения Таблица 1. Шкала APDEX

всех ключевых операций в реальной системе
Здесь необходимо собрать фактические данные по рабо- Значение Оценка
чей системе, чтобы сделать оценку ее производительности. от до
Удобным способом получения длительности выполнения клю- 0.00 0.49 Неприемлемо
чевых операций и их интегральных оценок по шкале APDEX 0.50 0.69 Очень плохо
является встраивание подсистемы «Оценка производитель-
0.70 0.84 Плохо
ности» из состава «Библиотеки стандартных подсистем».
0.85 0.94 Хорошо

Шаг 5. Вычисляем значение индекса 0.95 1.00 Отлично

производительности для каждой ключевой операции
Индекс вычисляется по формуле:
Таблица 2. Оценка системы 1С по методике APDEX

(NS + NT/2)/N
Операция Приоритет Т APDEX

где: Индекс Оценка

>> N– количество раз выполнения операции: чем оно боль- Открытие информационной 1 10 1.0 Отлично
ше, тем индекс точнее; базы каждым пользователем
>> NS– количество операций, выполненных за целевое вре- Открытие справочника 2 2 0.90 Хорошо
мя T; «Контрагенты»
>> NT– количество операций, выполненных за время от 0 до 4T. Запись нового элемента 3 2 0.87 Хорошо
справочника «Контрагенты»

В таблице 1 показано, каким количественным значениям Открытие журнала 4 2 0.90 Хорошо

показателя APDEX соответствуют качественные значения. «Заявок на кассовый расход»

Собираем все данные в таблицу. Это и будет фиксацией Проведение документа 5 3 0.60 Очень
«Заявка на кассовый расход» плохо
исходного состояния системы, которую можно использовать
для оценки проделанных работ. Пример полученной оценки
производительности в таблице 2.
Рисунок 2. Включение и выключение замера производительности
Индекс APDEX позволит:
>> оценить состояние системы в любой момент времени;
>> оценить состояние системы после оптимизации;
>> оценить объем работ по оптимизации и приоритеты.

Выполнение регламентных заданий

Нужно убедиться, что в системе выполняются все необходи-
мые регламентные задания, чтобы обеспечить максималь-
ную производительность базы данных. Какие регламентные
задания необходимо проверить:
>> обновление статистики;
>> очистка процедурного кэша;
Рисунок 3. Результат замера производительности
>> дефрагментация индексов;
>> реиндексация индексов.

Если эти задания не выполняются, то необходимо на-

строить их выполнение, чтобы исключить их влияние
на производительность. Для MS SQL Server регламентные
операции можно автоматизировать с помощью «Планов об-
луживания».
Рисунок 4. Результат анализа 1С ЦУП
Например: если в системе неактуальная статистика,
то запросы будут медленно работать, т.к. будут формиро-
ваться неоптимальные планы запросов. Кроме того, неоп-
тимальные запросы могут приводить к ожиданиям на бло-
кировках.

Воспроизведение проблемы
в однопользовательском режиме
Прежде чем использовать такие инструменты, как «Центр
управления производительностью», чтобы проанализиро-
вать проблемы, необходимо воспроизвести ситуацию в од-
нопользовательском режиме.

системный администратор май 2016 41

 Базы данных изучаем 1С

Например: если ситуация медленного проведения доку- >> ожидания на блокировках;

мента «Реализация» воспроизводится в однопользователь-
ском режиме, то сначала необходимо выполнить его прове-
дение в режиме «Замер производительности». Включение
и выключение режима происходит в конфигураторе инфор-
мационной базы в меню «Отладка → Замер производитель-
ности» (см. рис. 2).
Оптимизация
>> взаимоблокировки.
Так как в конфигурации программист 1С может испра-
вить либо ее код, либо структуру метаданных, то все про-
блемные места, найденные ЦУПом, привязываются к строч-
ке кода и к объекту метаданных.
Если просуммировать вес каждой неоптимальной строки
кода, наверху оказываются строки, которые оказали самый
большой вклад в медленную работу 1С, на которые и необ-

производительности 1С – 
очень сложный процесс,
но в нем можно выделить
определенные постоянные
действия,которые помогут
облегчить труд оптимизатора
В результате будет выдана таблица, показывающая
в процентных и абсолютных данных самые медленные опе-
рации, выполнявшиеся во время замера производительно-
сти и ту строчку кода, которая их вызвала (см. рис. 3).
Также при необходимости на данном этапе могут ис-
пользоваться такие инструменты, как технологический жур-
нал 1С и SQL Profiler.
Например: с помощью SQL Profiler удобно анализиро-
вать неоптимальные запросы, т.к. можно получать планы за-
проса в графическом и текстовом представлении, а также
сами тексты запросов.
Анализ данных с помощью ЦУП
Если ситуация сложная и в однопользовательском режиме
не воспроизводится, то это проблема, связанная с парал-
лельной работой пользователей.
Так как часто такие случаи трудны для расследования,
то необходимо использовать такой инструмент, как «Центр
управления производительностью» (ЦУП), который входит
в «Корпоративный инструментальный пакет» (КИП).
1С ЦУП представляет собой отдельную информацион-
ную базу, которая подключается, собирает и анализиру-
ет «узкие места» в исследуемой системе за выбранный
период.
ЦУП анализирует следующие типы проблем:
>> неоптимальные запросы;
ходимо обратить внимание (см. рис. 4). Без этого инструмен-
та получить интегральную оценку производительности было
бы очень сложно.
Анализ загруженности оборудования
К апгрейду оборудования необходимо прибегать, только
когда точно известно, что оно не справляется с текущей
нагрузкой. Анализируют обычно работу серверов, где рас-
положены СУБД, сервер 1С:Предприятия и терминальный
сервер.
Для определения загрузки оборудования для серверов
на Windows Server можно применять утилиту Performance
Monitor.
С помощью нее можно проанализировать:
>> недостаток оперативной памяти;
>> недостаточную производительность процессоров;
>> недостаточную производительность дисковой подси-
стемы;
>> недостаточную пропускную способность сетевого ин-
терфейса.
Если система на 1С очень медленно работает, а обо-
рудование загружено совсем незначительно, то тут точно
можно сказать, что апгрейд сервера не поможет решить
проблему.
В таблице 3 приведены описания основных счетчиков
Performance Monitor и предельные значения для каждого
из них. При превышении этих значений следует рассмо-
треть вопрос об увеличении производительности соответ-
ствующего компонента.
Оптимизация кода конфигурации
и структуры метаданных
После того как убедились, что выполняются все регламент-
ные операции и проблема не в загрузке оборудования, на-
ступает этап, когда необходимо оптимизировать саму кон-
фигурацию.

Таблица 3. Описания счетчиков

Группа Счетчик Описание Критерий

Memory Pages/sec Интенсивность обмена между дисковой Среднее: около 0
подсистемой и оперативной памятью Максимальное: не более 20
Processor [_total] % Processor Time Загруженность процессоров Не более 70% в течение длительного времени
System Processor Queue Length Очередь к процессорам Не более 2 * количество ядер процессоров в течение
длительного времени
Physical Disk Avg. Disk Queue Length Очередь к дискам Не более 2 * количество дисков, работающих параллельно
Network Interface Bytes Total/sec Скорость передачи данных через сеть Не более 65% от пропускной способности сетевого адаптера

42 май 2016 системный администратор

 изучаем 1С
В этом нам помогут следующие инструменты:
>> центр управления производительности;
>> замер производительности;
>> SQL Profiler;
>> технологический журнал и др.
Основными причинами медленной работы 1С являются:
>> неоптимальная работа запросов;
>> ожидания на блокировках;
>> взаимоблокировки.
Кстати, именно поэтому 1С:ЦУП анализирует именно
эти параметры.
Если наша проблема воспроизводилась в однопользова-
тельском режиме, то скорее всего имеется проблема с не-
оптимальными запросами, и с помощью «Замера произво-
дительности» мы его сможем найти.
Найденный запрос можно проанализировать, посмотрев
его код либо план этого запроса при выполнении.
В общем случае рекомендуется начинать разбор про-
блем с производительностью с анализа запросов, потому
что, если исправить неоптимальные запросы, могут исчез-
нуть проблемы с ожиданиями на блокировках и взаимобло-
кировки.
По результатам анализа всех проблем могут быть приня-
ты различные решения, например:
>> добавление нового индекса;
>> изменение запроса в коде конфигурации;
системный администратор май 2016
Базы данных
>> установка управляемых блокировок и др.
После изменения кода конфигурации и структуры мета-
данных делается снова повторный замер индекса произво-
дительности для того, чтобы подтвердить, что оптимизация
удалась.
С ростом количества данных, добавлением новых пользо-
вателей, изменением функциональности системы необходи-
мо постоянно проверять, соответствует ли производитель-
ность системы заявленным требованиям. Самое главное
в этой схеме, что она имеет точку входа, но не имеет точки
завершения, т.к. оптимизация – это постоянный процесс, ко-
торый необходимо выполнять, чтобы обеспечить и поддер-
живать хорошую производительность.
Хоть оптимизация производительности 1С – очень сложный
и разнообразный процесс, но в нем можно выделить опре-
деленные постоянные действия, которые помогут облегчить
труд оптимизатора.  EOF 
[1] Описание 1С:ЦУП – http://v8.1c.ru/expert/pmc/pmc_overview.htm.
[2] Описание APDEX – http://www.apdex.org.
[3] Описание БСП (библиотека стандартных подсистем) – http://
v8.1c.ru/libraries/ssl/index.htm.
Ключевые слова: 1C, мониторинг, производительность, оптимиза-
ция, запросы.
43
 Разработка
Визитка
АНДРЕЙ ПАХОМОВ,
Android-разработчик, mailforpahomov@gmail.com
Пишем мобильные приложения быстрее
Паттерн Наблюдатель и реактивное программирование
Выпуская на рынок пусть еще сырое, но востребованное приложение, разработчик
пробует захватить внимание аудитории и уйти в отрыв от конкурентов. Ранний старт
дает возможность увидеть, насколько сама идея пришлась по душе пользователям,
и скорректировать дальнейшую бизнес-стратегию
Собственно, именно в целях быстрого создания конечно-
го продукта было и придумано объектно-ориентированное
программирование. Благодаря возможностям ООП можно
за считанные дни создать с нуля приложение, которое за-
няло бы гораздо более длительное время при функциональ-
ном программировании.
Паттерны
Проблема создания поддерживаемого кода, наверное,
существует столько же, сколько и само программирова-
ние. Поскольку ООП-разработка существенно упрости-
ла сам процесс написания кода, основной задачей ста-
ло грамотное планирование архитектуры приложения.
Использование ООП возлагает на разработчика большую
ответственность за продумывание общей структуры прило-
жения – того, как будут организованы связи между класса-
ми или объектами.
При написании классов большую роль играет так на-
зываемая связность кода – то, насколько сильно исходные
коды задействованных классов переплетены между собой.
В процессе развития приложения некоторые функции мо-
гут быть существенно переделаны или вообще исключены,
а также добавлен ранее не запланированный функционал.
В погоне за временными рекордами легко написать Java-
код, который будет практически невозможно поддержи-
вать в следующих версиях приложения, в худших случаях
Рисунок 1. Схема паттерна Наблюдатель
44
мобильные приложения
придется переписывать практически весь проект с чистого
листа. Такая ситуация не только отодвинет выпуск долго-
жданных обновлений, но и летний отпуск.
Разработчики часто сталкиваются с похожими задачами,
которые уже были успешно решены в предыдущих проек-
тах. Опыт решений однотипных проблем позволил вырабо-
тать своего рода архитектурные шаблоны ООП кода – иначе
говоря, паттерны проектирования.
Сегодня мы разберем один из самых популярных паттер-
нов – паттерн Наблюдатель. Он настолько удобен, что в не-
которых ООП-языках доступна его готовая реализация, бо-
лее того, во многом благодаря ему появился новый стиль
разработки мобильных приложений.
Наблюдатель
Наш журнал уже не раз (статьи [1] и [2]) писал о потоках
и сервисах в Android, которые позволяют параллельно
в фоне выполнять какие-то операции. Даже в совсем ма-
леньких программах может возникнуть ситуация, когда
работа одного объекта или группы зависит от состояния
какого-то другого, параллельно выполняющегося процесса.
К примеру, может возникнуть потребность постоянно сле-
дить за тем, что печатает пользователь, и выводить на экран
дополнительную информацию.
Именно для такого случая создан паттерн проектирова-
ния Наблюдатель: он позволяет организовать между объек-
тами связь «один ко многим», то есть при изменении состоя-
ния одного объекта будут вызваны методы других объектов.
Объект, данные в котором могут измениться в любой мо-
мент, называется Observable (субъект наблюдения), а один
или несколько объектов, ждущих обновлений, – Observer
(подписчики). Для организации связи субъекту Observable
требуется указать, кто именно будет за ним наблюдать,
и при обновлении данных Observable подаст сигнал подпис-
чикам, и те, в свою очередь, выполнят требуемые действия.
Система мониторинга
Паттерн Наблюдатель может существенно облегчить созда-
ние системы по мониторингу состояния ресурсов. Создадим
май 2016 системный администратор
 мобильные приложения
приложение, которое поможет системному администратору
следить за состоянием веб-сервера: в случае его недоступ-
ности мобильное устройство подаст звуковой сигнал. По-
скольку паттерн Наблюдатель позволяет подключить сразу
несколько подписчиков, воспользуемся этим – звуковое
уведомление будем дублировать СМС-сообщением коллеге
системного администратора.
Компания Oracle уже реализовала его функции в Java-
классах Observer и Observable, а нам остается только доба-
вить их в нужные места и переопределить методы.
Сетевой функционал приложения будет сосредоточен
в классе CheckServer. Это субъект наблюдения, поэтому
при его определении необходимо расширить Observable.
public class CheckServer extends Observable{
Главная задача этого класса – передача результата
сетевого запроса к серверу. Для этого создадим метод
isServerOnline, который будет возвращать булевые значе-
ния.
public void isServerOnline(String url){
NetworkClient nClient = new NetworkClient(url);
if (!nClient.getRequest()){...
Механику сетевых запросов в Android мы уже неодно-
кратно рассматривали – к примеру, в статье [1] были разо-
браны особенности работы с библиотекой Retrofit. Я уверен,
что вы сможете применить на практике уже накопленные
знания, а мы пойдем дальше.
Для уведомления подписчиков об изменениях требуется
вызвать два метода: setChanged установит флаг, означа-
ющий, что в субъекте наблюдения произошли изменения,
а notifyObservers оповестит об этом подписчиков.
if (!nClient.getRequest()){
setChanged();
notifyObservers();}}
Теперь приступим к написанию кода подписчиков. Для от-
правки СМС создадим класс SmsSender, а в нем реализуем
интерфейс Observer.
public class SmsSender implements Observer {
Для работы паттерна нам нужно переопределить метод
onUpdate, который вызывается каждый раз, когда в субъек-
те наблюдения происходят какие-либо изменения.
@Override
public void update(Observable observable, Object data) ↵
{sendSms();}
Отправлять сообщения возможно, используя класс
SmsManager. Он позволяет отправлять SMS и MMS-сообще-
ния и даже поддерживает отправку SMS на определенный
порт – это был когда-то популярный способ сетевого взаи-
модействия между приложениями. Отправить сообщения со-
всем несложно: достаточно создать объект, а затем вызвать
нужный метод, указав номер телефона и текст сообщения.
системный администратор май 2016
Разработка
private void sendSms(){
SmsManager alertSms = SmsManager.getDefault();
alertSms.sendTextMessage(number,null,text,null,null);}
Ввиду ограничений ОС Android нам требуется указать
в манифест-файле, что приложению требуется возмож-
ность отправки сообщений.
<uses-permission android:name="android.permission.SEND_SMS" />
Второй подписчик, отвечающий за звуковое уведомле-
ние, будет написан похожим образом.
public class Notify implements Observer {
@Override
public void update(Observable observable, Object data) {
makeBeep();}...}
Для завершения паттерна нужно создать объекты на ос-
нове классов и заполнить их необходимыми данными.
CheckServer netRqv = new CheckServer();
Notify notify = new Notify();
SmsSender smsSender = new SmsSender("+7999...", ↵
"Wake up, something happened!");
Чтобы получать сообщения от субъекта наблюдений, за-
регистрируем подписчиков методом addObsever.
netRqv.addObserver(notify);
netRqv.addObserver(smsSender);
Все, паттерн Наблюдатель реализован! Если в резуль-
тате сетевого запроса метод getRequest вернет значение
«ложь», то в каждом из подписчиков будет вызван метод
onUpdate. Таким образом, в случае недоступности сервера
созданное приложение мгновенно разошлет уведомления
системному администратору.
При использовании
паттерна Наблюдатель
нужно внимательно следить
за жизненным циклом
объектов,участвующих
в обработке данных
Остается добавить, что при использовании такого пат-
терна нужно внимательно следить за жизненным циклом
объектов, участвующих в обработке данных: наблюдаемый
субъект ничего не знает о состоянии своих подписчиков
и будет рассылать сообщения каждому из них бесконечно.
Возможна ситуация, когда какой-либо из подписчиков будет
уничтожен, а затем создан заново и опять подписан на по-
лучение сообщений. В результате у субъекта наблюдения
будет постоянно расти число подписчиков и, как следствие,
количество рассылаемых сообщений – такое поведение
приводит к утечкам памяти и нестабильной работе прило-
жения.
45
 Разработка
Для отмены подписки требуется вызвать метод delete
Observer. Поскольку в языке Java нет деструкторов, то раз-
работчику придется самостоятельно выбрать момент, когда
можно будет отписать объект от получения новых уведом-
лений.
netRqv.deleteObserver(smsSender);
Реактивное программирование
Пользователи мобильных устройств требуют от разработ-
чиков создавать такие продукты, которые будут работать
плавно, красиво и, самое главное, мгновенно. Связать
все эти составляющие возможно только при максимальном
использовании ресурсов устройства.
Реактивное программирование –
это следствие использования
паттерна Наблюдатель
и дополнительных потоков
В мире разработки мобильных приложений популярность
набрал тренд под названием «реактивное программирова-
ние». Этот подход подразумевает создание клиент-сервер-
ного приложения с максимально широким использованием
многопоточного программирования. Вычисления поделены
на блоки, каждый из которых обрабатывается в отдельном
потоке, при этом между блоками организован постоянный
обмен данными.
По сути, реактивное программирование – это следствие
использования паттерна Наблюдатель и дополнительных
потоков. Объединение двух этих технологий позволило су-
щественно ускорить разработку приложений и задейство-
вать всю мощность процессоров мобильных устройств.
Рисунок 2. Подключение RxJava через Gradle
Рисунок 3. Принцип работы фильтров в RxJava
46
мобильные приложения
Но такой подход к разработке требует большого вни-
мания к каждому участку кода. Синхронизация состояний,
обработка ошибок, контроль утечек памяти – все эти проб-
лемы могут привести к нестабильной работе приложений.
К счастью, в мире мобильной разработки полно энтузиа-
стов, которые создают решения для самых сложных задач.
ReactiveX
Разрабатывать Android-приложение со сложной логикой,
большим количеством сетевых запросов, пользовательским
интерфейсом и анимацией не так легко. В таких ситуаци-
ях следует внимательно следить за каждым параметром,
что может превратить разработку в каторгу. Набор библио-
тек ReactiveX позволяет скинуть часть проблем на реализо-
ванные в ней классы и заняться творчеством.
Создатели этой библиотеки объединили паттерн Наблю-
датель с многопоточными вычислениями. Вполне вероятно,
что хороший программист сможет самостоятельно генери-
ровать потоки, написав свой вариант Observer и Observable,
но создание вспомогательного кода и его тестирование могут
занять приличное время, а по сути в самом проекте практи-
чески ничего не изменится. Использование такого проверен-
ного инструмента, как ReactiveX, позволит существенно сэ-
кономить время, избежать ошибок и повысить качество кода.
Библиотека RxJava
ReactiveX доступен для всех популярных языков высокого
уровня. В статье будут приводиться примеры кода на языке
Java, поэтому мы станем говорить об адаптации этой библи-
отеки под названием «RxJava» [3].
RxJava создана для обработки реакций на происходящие
события, а также облегчения взаимодействия между объек-
тами при многопоточной разработке. Использование этой
библиотеки во многом упрощает решение проблем, возни-
кающих при использовании в Android-проектах многопоточ-
ности и асинхронных запросов. Уже знакомый нам паттерн
Наблюдатель существенно расширен и дополнен несколь-
кими полезными функциями.
Библиотека RxJava состоит из нескольких классов, раз-
беремся, чем же они могут нам помочь. Разбирать работу
библиотек лучше на практике, поэтому расширим функцио-
нал приложения по мониторингу с помощью новых возмож-
ностей. Но для начала нужно подключить модули библиоте-
ки в Android Studio. Для ее использования через сборщик
Gradle нужно подключить еще один репозиторий.
repositories {maven { url 'https://oss.jfrog.org/ ↵
libs-snapshot' }}
Android-проекты развиваются довольно быстро, актуаль-
ную версию лучше искать на официальном сайте проекта.
compile 'io.reactivex:rxjava:1.1.2-SNAPSHOT'
В RxJava тоже есть класс Observable, но его функцио-
нал в отличие от реализации Oracle существенно шире.
Метод just создает субъект наблюдения из любых данных,
поданных ему на вход. Он позволяет конвертировать в тип
Observable все, что может быть необходимо, – от объектов
до массива переменных.
май 2016 системный администратор
 мобильные приложения
Observable.just(new NetworkFunc(). ↵
isServerOnline("server.addr"))
.subscribe(new Subscriber() {...
Подписка на Observable организуется через класс
Subcriber, в простом случае достаточно создать новый объ-
ект и переопределить несколько методов. Для обработки
каждого события из Observable существует метод onNext.
Также есть возможность отловить последнее сообщение
от субъекта наблюдения через метод onCompleted и обра-
ботать ошибки в реализации через метод onError.
@Override
public void onNext(Object o) {
notify.showNotification();
smsSender.sendSms();}});
Вообще философия RxJava состоит в организации глу-
бокой обработки данных, поступающих из субъекта наблю-
дения. Для этого уже реализовано несколько десятков ме-
тодов, которые помогут организовать фильтрацию данных,
поступаемых из Observable.
Продолжим работу над проектом по мониторингу сете-
вых ресурсов и воспользуемся инструментами фильтрации.
Проверку сетевой доступности разумно производить по-
стоянно, и в классе Observable есть все для периодическо-
го запуска субъекта наблюдения. Сервер по адресу server.
addr будет проверяться бесконечно с интервалом в 5 се-
кунд – это удалось организовать с помощью методов repeat
и delay.
Observable.just(new NetworkFunc(). ↵
isServerOnline("server.addr"))
.delay(5,TimeUnit.SECONDS).repeat(). ↵
subscribe(new Subscriber() {...
Также тут доступна гибкая предобработка событий, про-
исходящих с Observable: их возможно частично отбрасы-
вать, объединять или отбирать на основе математических
условий. Если сетевой модуль будет регистрировать время
ответа от сервера, то мы можем реагировать только на са-
мые длительные паузы в ответах – в этом поможет метод
filter.
.filter(new Func1<Integer, Boolean>() {
@Override
public Boolean call(Integer integer) {
return integer>90;}
В некоторых случаях паттерн Наблюдатель требуется ор-
ганизовать для проверки выполнения одного-единственного
условия, тогда целесообразно использовать класс Single.
Синтаксис работы с этим классом одинаков с Observable,
отличие только в обработке событий – реакция на данные
из субъекта наблюдения отлавливается всего двумя метода-
ми: onSuccess и onError.
Single.just(new NetworkClient("a").getRequest())...
Многопоточность
Скорее всего для улучшения производительности при-
ложения вам понадобится запустить все вычисления
в отдельном потоке, а потом вернуть результат обратно
системный администратор май 2016
Разработка
в пользовательский интерфейс. По умолчанию все операции
с субъектом наблюдения и его подписчиками выполняются
в одном и том же потоке. Для того чтобы развести их между
собой, используются метод Subscribe и класс Scheduler.
Хотя библиотеки для работы с сетью самостоятельно
реализуют многопоточность, Scheduler может быть поле-
зен для других длительных вычислений, например генера-
ции объектов JSON-формата. Для выполнения вычислений
в новом потоке достаточно вызвать метод subscribeOn,
в качестве параметра он принимает один из методов класса
Schedulers.
Observable.just(JsonObject.create()). ↵
subscribeOn(Schedulers.newThread())...
Модуль работы с многопоточностью был разделен
на несколько частей, требуется также добавить через
Gradle-библиотеку RxAndroid.
compile 'io.reactivex:rxandroid:1.1.0'
Теперь есть возможность задействовать класс
AndroidSchedulers, который позволит легко вернуть резуль-
таты вычислений в пользовательский интерфейс.
Observable.just(mathOperation). ↵
subscribeOn(Schedulers.newThread())
.observeOn(AndroidSchedulers.mainThread())
.subscribe(new Action1<Integer>() {
@Override
public void call(Integer integer) {
textView.setText(integer.toString());}});
Популярность мобильных приложений растет с каждым
днем. Все больше людей довольствуются только носимыми
устройствами, и, возможно, уже очень скоро традиционные
компьютеры будут востребованы исключительно специали-
стами.
Инструментов для разработки для Android и iOS стано-
вится все больше, главным образом благодаря расшире-
нию количества доступных библиотек. Они существенно
упрощают задачи, которые совсем недавно были под силу
только опытным программистам.
Сегодня мы посмотрели набор библиотек ReactiveX, ко-
торый доступен для всех популярных платформ и уже стал
привычным для большинства разработчиков. Если вам еще
не приходилось работать с RxJava, уверен, теперь вы за-
хотите воспользоваться этой библиотекой в своих проектах.
Новые технологии могут сделать жизнь лучше, нужно только
верить в себя. Удачи!  EOF 
[1] Пахомов А. Современное клиент-серверное приложение
для Android. // «Системный администратор», №12, 2015 г. –
С. 44-47 (http://samag.ru/archive/article/3096).
[2] Пахомов А. Отображение систематизированных данных
в Android. // «Системный администратор», №10, 2015 г. – С 58-
61 (http://samag.ru/archive/article/3050).
[3] Страница RxJava – https://github.com/ReactiveX/RxJava.
Ключевые слова: Android, паттерны проектирования, реактивное
программирование.
47
 Разработка
Визитка
АННА СЕРГЕЕВА,
старший специалист службы обеспечения качества Alloy Software Inc., annserge@rambler.ru
Автоматизируем отчетность
по Cucumber-тестам в ExtentReports
Технология Cucumber позволяет не только совмещать спецификации на разработку
и тестирование продуктов в одном источнике, но и удобно настроить автоматическое
генерирование отчетов о прохождении таких тестов
Cucumber и с чем ее едят
В последнее время среди инструментов автоматизации про-
ектирования, разработки и тестирования ПО все большую
популярность набирает технология Cucumber.
Главная ее особенность заключается в возможности
выражать поведение программы естественным языком
(gherkin) [1]. Таким образом, легко достигается более высо-
кий уровень взаимного понимания и тесного сотрудничест-
ва между разработчиками, тестировщиками и заказчиками,
ведь вся спецификация продукта и его тестовая документа-
ция, по сути, являются одним и тем же документом.
Регулярная автоматическая прогонка таких тестов дает
уверенность в непрерывном соответствии кода специфи-
кации и в отсутствии в нем значительного числа критичных
Рисунок 1. Отчет о результатах тестирования, сгеренированный в ExtentReports
48
тестирование
дефектов, затрачивая при этом минимум усилий, избегая
ручного труда и высвобождая время высококвалифициро-
ванных специалистов на решение не менее актуальных,
но более сложных рабочих задач.
Вместе с тем для представления текущей ситуации
по разрабатываемому проекту и принятия управленческих
решений постоянно возникает необходимость документиро-
вания результатов проводимого тестирования. То есть, по-
мимо настройки запуска автоматических тестов, тестиров-
щики обязаны регулярно формировать производственные
отчеты, которые публикуются на внутренних сетевых ресур-
сах и в качестве официальных внутренних документов ком-
пании предоставляются руководству. Разумеется, создание
таких отчетов также следует автоматизировать. В данной
май 2016 системный администратор
 тестирование
статье пойдет речь о том, как генерировать отчеты о про-
хождении Cucumber-тестов в автоматическом режиме.
Как вести отчетность для Cucumber-JVM?
Технология Cucumber имеет ряд реализаций, среди которых
распространение получила Cucumber-JVM [2]. Она предна-
значена для наиболее популярных языков виртуальных ма-
шин Java (JVM), таких как Java, JavaScript, Groovy, Jython,
Jruby и т.д.
Каждый тестировщик, работающий с Cucumber-JVM,
рано или поздно сталкивается с вопросом: как же настроить
формирование пользовательских отчетов, например, в од-
ном из самых распространенных форматов – HTML? Можно,
конечно, потратить время на изучение и исследование мно-
жества деталей и реализовать собственный генератор отче-
тов, поместить его в библиотеку и в таком виде подключать
к своим тестовым проектам. Однако существуют и готовые
решения, экономящие время и бюджет, поскольку многие
из них находятся в открытом доступе.
Готовый вариант – библиотека ExtentReports
Одним из наиболее доступных решений является исполь-
зование готовой совместимой библиотеки с открытым ис-
ходным кодом ExtentReports. Она реализует автоматическое
создание html-отчетов о прохождении тестов на таких плат-
формах, как Java, .Net и Ruby [3].
Помимо свободного распространения, ее достоинство
еще и в том, что итоговые сгенерированные документы
включают достаточно детальное описание результатов
обработки. Именно то, что представляет интерес для QA-
специалистов. К тому же удобный для восприятия формат
отображения данных по достоинству оценят руководители
продуктов и проектов разработки ПО.
На рис. 1 приведен пример сгенерированного отчета.
Результаты логически сгруппированы по закладкам
и отображаются в виде таблиц с настаиваемой фильтраци-
ей, а также в виде линейных и круговых диаграмм.
Отображаются данные об общем количестве тестов (Total
Tests/Total Steps) с разбиением на диаграммы, в зависимо-
сти от статуса результата (общепринятые варианты: Pass/
Fail/Fatal/Error/Warning/Info/Skip/Unknown) и с отображением
общего показателя успеха прохождения всего тестового на-
бора (Pass Percentage).
Приводятся метрики общего времени суммарного и теку-
щего прогона тестов (Total Time Taken (Overall /Current Run),
время старта и завершения обработки (Start/Stop).
Дополнительно также доступна информация о тестовой
среде (Environment) и об обработанных категориях тестов
(Categories).
Объединяем возможности ExtentReports
и Cucumber
На многих профессиональных форумах можно найти об-
суждение специфики использования ExtentReports в качест-
ве перехватчика (listener) для Java-тестов, обрабатываемых
во фреймворке TestNG.
Что же касается взаимодействия с виртуальной ма-
шиной Java, Cucumber-JVM, применяемой для обработки
Cucumber-кода, полезную информацию отыскать значи-
тельно сложнее.
системный администратор май 2016
Разработка
Тем не менее существует и успешно используется в авто-
матизации тестирования специально разработанный плагин
CucumberExtentReporter. Его исходный код доступен на ре-
сурсе [4].
Подключение CucumberExtentReporter в проект
Если для сборки проектов запуска тестов применяется
фреймворк Apache Maven, то следует добавить в файл
описания проекта pom.xml зависимость от внешней биб-
лиотеки, которая будет генерировать пользовательские
отчеты:
<dependency>
<groupId>com.vimalselvam</groupId>
<artifactId>cucumber-extentsreport</artifactId>
<version>1.0.0</version>
</dependency>
Если Apache Maven для сборки проекта не используется,
можно скачать jar-файл с сетевого ресурса [5] и добавить
путь к нему в значение переменной CLASSPATH.
Настройка параметров класса запуска
При использовании Cucumber-JVM создается класс запуска
тестов (раннер), в который нужно добавить параметры ис-
пользования плагина.
По умолчанию без указания аргументов для Extent
CucumberFormatter отчеты будут создаваться в директории
{project directory}/output/Run_{timestamp}/report.html.
@RunWith(Cucumber.class)
@CucumberOptions(plugin = ↵
{"com.cucumber.listener.ExtentCucumberFormatter:"})
public class RunCukesTest {
}
Здесь важно следить за указанием символа двоеточия
в конце значения, поскольку это обязательное требование
Cucumber.
Также можно размещать генерируемые отчеты в любом
другом месте, конкретно указав его в значении параметра
ExtentCucumberFormatter:
Таблица 1. Набор ключей командной строки для запуска ExtentMerge
Ключ Описание
-h, --help Доступ к помощи по работе с приложением
-v, --version Отображение текущей версии приложения
-css Указание встроенного CSS-скрипта
-css-file Путь к пользовательскому CSS-скрипту
-dir Директория размещения набора html-отчетов,
сгенерированных в ExtentReports
-from Начальная дата сбора данных
-html Конкретный html-отчет, сгенерированный в ExtentReports
-js Указание встроенного JS-скрипта
-js-file Путь к пользовательскому JS-скрипту
-out Путь к итоговому файлу с расширением .html
-to Конечная дата сбора данных
49
 Разработка
@RunWith(Cucumber.class)
@CucumberOptions(plugin = ↵
{"com.cucumber.listener.ExtentCucumberFormatter: ↵
output/report.html"})
public class RunCukesTest {
}
В данном примере отчет с именем report.html будет раз-
мещен в директории output текущего проекта.
Допускается указывать неполный набор тестов для за-
пуска, например, так можно запустить все тесты с тегом
@search, находящиеся в каталоге /examples, и разместить
отчет в каталоге /search:
@RunWith(Cucumber.class)
@Cucumber.Options(features = ↵
"target/test-classes/cucumber/examples/", ↵
tags = {"@search"}, ↵
format = {"html:target/cucumber-report/search"})
public class RunCukesTest {
}
Объединяем отчеты с ExtentMerge…
В результате запуска серии тестов будет сгенерирован
определенный набор отчетов, которые, возможно, будут
расположены в различных директориях. Для повышения
удобства работы с ними на завершающем этапе конфигу-
рирования системы автоматической отчетности разработ-
чики ExtentReporter рекомендуют совместить все отчеты
в один.
Они предлагают свободно распространяемое консоль-
ное приложение ExtentMerge, которое на базе набора
html-отчетов дает возможность просматривать историю
прохождения наборов тестов, анализировать каждый инте-
ресующий запуск, выполнять сравнение и оценивать стати-
стику успешных и неуспешных исходов обработки.
Рисунок 2. Объединение результатов тестирования в ExtentMerge
50
тестирование
Так, например, на рис. 2 показаны тренды по статусу
результатов запуска по тестам и по функциональным ша-
гам (Report Trends By Status – Test/Step), список наиболее
популярных успешно/неуспешно пройденных тестов (Top
Passed/Top Failed). Для более гибкой работы с приложени-
ем определен набор документированных ключей командной
строки (см. таблицу 1).
Приведем несколько примеров удобного настраиваемого
запуска ExtentMerge.
Можно просканировать все содержимое каталога C:\
MyDirectory, найти все допустимые html-файлы, сгене-
рированные в ExtentReports, и поместить сводный отчет
ExtentMerge.html в директорию C:\PublicDirectory:
java -jar extentmerge.jar -dir "C:\MyDirectory" ↵
-out "C:\PublicDirectory\ExtentMerge.html"
Для объединения данных из конкретных html-отчетов нуж-
но указать каждый из них:
java -jar extentmerge.jar -html "C:\MyDirectory\Report1.html" ↵
-html "C:\MyDirectory\Report2.html" ↵
-out "C:\PublicDirectory\ExtentMerge.html"
Допускается включение в сводный отчет данных только
за указанный период времени. Обязательное требование:
границы интервала необходимо задавать в формате 'yyyy-
MM-dd hh:mm:ss':
java -jar extentmerge.jar -dir "locataion" -out "extent.html" ↵
-from "2016-01-02 00:00:00" -to "2016-03-04 23:59:59"
Для кастомизации сводных отчетов удобно подключать
внешние CSS и JS-скрипты:
май 2016 системный администратор
 тестирование
java -jar extentmerge.jar -dir "location" -out "extent.html" ↵
-css-file "css.css"
или:
java -jar extentmerge.jar -dir "location" -out "extent.html" ↵
-js-file "script.js"
Или использовать встроенный скрипт, прописав его не-
посредственно в командной строке:
java -jar extentmerge.jar -dir "location" -out "extent.html" ↵
-css ".tag { display: none; }"
или так:
java -jar extentmerge.jar -dir "location" -out "extent.html" ↵
-js "$(document).ready(function() ↵
{ alert('hello world'); });"
…или ExtentX Server
В качестве альтернативы консольному приложению
ExtentMerge разработчики ExtentReporter предлагают новый
совместимый плагин ExtentX Server, который подключается
в Maven POM-файле с помощью exec-maven-plugin. Он реа-
лизует веб-сервер для хранения отчетов и отображения ре-
зультатов в виде удобных для восприятия дашбордов, объ-
единяющих данные из множества html-файлов.
Среди поддерживаемых браузеров заявлены Chrome 35+,
Firefox 31+, Safari 7+, IE 10+.
Например, итоговый сводный отчет может выглядеть,
как показано на рис. 3. Кроме метрик, отображаемых
в ExtentMerge, здесь также доступны сводные показатели
для последних запусков тестов, сгруппированные по именам
Рисунок 3. Объединение результатов тестирования в ExtentX Server
системный администратор май 2016
Разработка
тестов и по статусу результата (Reports/Analysys (Last 5 Runs),
и указаны обработанные категории тестов (Categories).
К моменту написания статьи ExtentX Server находится
на завершающей стадии реализации и доступен только
для ознакомления [6].
Однако современные темпы разработки ПО, особенно
что касается всевозможных утилит и плагинов с открытым
исходным кодом, позволяют смотреть в будущее с опреде-
ленным оптимизмом. Не исключено, что к моменту публика-
ции данной статьи ExtentX Server уже будет завершен и до-
ступен для полноценного использования.
Применение подобных инструментов поможет тестировщи-
кам, практикующим выполнение тестов и генерирование от-
четности по ним в автоматическом режиме, добавить допол-
нительные плюсы в эффективность своей работы, удобство
взаимодействия всех участников команды разработчиков
и, что всегда так важно, взаимопонимание с заказчиками.  EOF 
[1] Сайт разработчиков технологии Cucumber – https://cucumber.io.
[2] Cucumber-JVM – https://github.com/cucumber/cucumber-jvm.
[3] Сайт разработчиков библиотеки ExtentReports – http://
extentreports.relevantcodes.com.
[4] Ресурс с плагином CucumberExtentReporter – https://github.com/
email2vimalraj/CucumberExtentReporter.
[5] Ресурс с плагином CucumberExtentReporter в формате jar – http://
search.maven.org/remotecontent?filepath=com/vimalselvam/
cucumber-extentsreport/1.0.0/cucumber-extentsreport-1.0.0.jar.
[6] Пример реализации ExtentX Server – http://extentx.herokuapp.com.
Ключевые слова: автоматизированное тестирование, генерирова-
ние отчетов, Cucumber, gherkin, Cucumber-JVM, Java, ExtentReports,
CucumberExtentReporter, ExtentMerge, ExtentX Server.
51
 Разработка
Визитка
АЛЕКСАНДР КАЛЕНДАРЕВ,
РБК Медиа, программист, akalend@mail.ru
Построение сайтов с использованием Hack
Рассмотрим построение сайтов с помощью нового языка Hack, который является
эволюцией PHP
Как уже говорилось в предыдущих частях статьи [1, 2],
в Hack запрещен закрывающий скриптовый тег ?>. В ос-
нове современного веб-приложения лежит MVC-концепция
(Модель-Представление-Контроллер). За слой Представле-
ние (View) отвечает специальный модуль, который называют
«шаблонизатор». Так как же нам построить шаблонизатор,
если запрещен закрывающий скриптовый тег ?>.
Что за зверь XHP?
Разработчики Hack придумали альтернативный шаблони-
затору вcтроенный инструмент XHP (XHTML for PHP), ко-
торый представляет собой разобранное XML-дерево PHP-
объектов.
Традиционный вывод в PHP для переменной $word =
'word':
<p><strong>Hello <?= $word ?></strong>!</p>
Или, используя вывод:
echo "<p><strong>Hello $word </strong>!</p>";
А вывод, используемый в XHP, будет следующим:
echo <p><strong>Hello {$word}</strong>!</p>;
С точки зрения грамматики изменения не принципи-
альны. В синтаксисе РНР при выводе свойств объектов
или элементов массивов присутствуют фигурные скобки.
Здесь при использовании XHP мы видим только отсут-
ствие двойных кавычек. Но разве только в этом разница?
И что дает нам XHP?
Во-первых, весь ввод/вывод будет автоматически про-
верен и все опасные символы будут заменены на escape-
последовательность и обратно. То есть использование
для ввода функции htmlspecialchars() будет проходить авто-
матически.
Во-вторых, XHP подразумевает построение HTML-стра-
ницы по правилам XHML: на каждый открывающий тег
52
особенности языка
должен быть парный закрывающий, а одиночный тег должен
включать закрывающий слеш (<br />).
Например, следующая конструкция:
echo <p><strong>Hello {$word}</strong>!;
(отсутствует закрывающий тег </p>) даст ошибку:
Fatal error: XHP: mismatched tag: 'p' not the same as 'p' in
test.php on line
В-третьих, идет проверка на правильность использова-
ния основных тегов HTML, например, между открывающим
и закрывающим тегами <select> запрещено использовать
любые другие теги. При вставке любого другого тега мы по-
лучим ошибку:
Fatal error: Element 'select' was rendered with invalid
children.
В-четвертых, используя объектную модель (DOM), можно
динамически строить необходимые HTML-конструкции.
И, в-пятых, можно самому придумывать пользователь-
ские теги, вроде пользовательских компонент в ASP.NET.
Пользовательские элементы в Hack
Рассмотрим эти элементы более подробно. Первоначально
необходимо проинсталлировать XHP-элементы. Это мож-
но сделать с помощью composer. Составим composer.json
файл:
{
"require": {
"facebook/xhp-lib": "~2.2"
}
}
и запустим:
hhvm composer
май 2016 системный администратор
 особенности языка Разработка

Некоторые конструкции,
на которых построены
популярные РНР-фреймворки,
в Hack не работают

Если появился каталог vendor/facebook/xhp-lib, то все ком-
поненты XHP проинсталлированы и готовы к использова-
нию. Включаем классы директивой:
include 'vendor/autoload.php';
При запуске наш скрипт сгенерит следующий вывод:
<form id="4e496c8eeb" method="post" action="http://www.
example.com" class="postLink"><a href="#" id="4e496c8eeb"
onclick="document.getElementById(&quot;4e496c8eeb&quot;).
submit(); return false;">переход через POST запрос</a></form>

Все элементы XHP являются экземплярами XHP-класса,
которые от остальных Hack-классов отличаются тем, что они
должны начинаться с символа двоеточия «:» и являются по-
томками базового класса :xhp.
Рассмотрим такой пример (ex1.php):
include 'vendor/autoload.php';
final class :a:post extends :x:element {
attribute :a;
use XHPHelpers;
protected function render(): XHPRoot {
$id = $this->getID();
Что мы видим в этом примере? Во-первых, мы как бы соз-
дали новый HTML-элемент <a:post/>. Данный элемент явля-
ется потомком класса x:element.
Все объекты XHP могут иметь атрибуты:
echo <input type="button" name="submit" value="Нажми меня" />;
Как мы еще заметили в первом примере, в отличие от РНР
вывод XHP-элементов не заключается в кавычки, а двойные
кавычки используются для значения атрибутов.
В выводе XHP-элементов могут присутствовать методы:

$anchor = <a>{$this->getChildren()}</a>; function renderIcon(User $user): XHPRoot {

$form = ( return
<form <x:frag>
id={$id} <img src={$user->getIconURI()} />
method="post" &nbsp;
action={$this->:href} {$user->getName()}
target={$this->:target} </x:frag>;
class="postLink" }
>{$anchor}</form>
);
Все XHP-объекты имеют DOM-интерфейс, с помощью ко-
$this->transferAllAttributes($anchor); торого можно создавать пользовательские объекты. Вот не-
$anchor->setAttribute( которые наиболее популярные методы:
'onclick',
'document.getElementById("'.$id.'").submit(); ↵ >> appendChild(mixed $child): this – добавляет дочерний
return false;', элемент;
); >> prependChild(mixed $child): this – добавляет дочерний
$anchor->setAttribute('href', '#');
элемент в начало списка дочерних элементов;
return $form; >> replaceChildren(...): this – заменяет дочерний элемент
}
на указанный;
}
>> getChildren(?string $selector = null): Vector<XHPChild>–
$post_link = выбирает дочерние элементы в соответствии с заданным
<a:post href="http://www.example.com"> ↵
переход через POST запрос</a:post>;
селектором;
>> getFirstChild(?string $selector = null): ?XHPChild – воз-
echo $post_link; вращает первый дочерний элемент;

системный администратор май 2016 53

 Разработка особенности языка

>> getLastChild(?string $selector = null): ?XHPChild – воз- >> тег <title>

вращает последний в списке дочерний элемент; >> теги <meta>
>> getAttributes(): Map<string, mixed>– возвращает список >> теги <script>
атрибутов;
>> getAttribute(string $name): mixed – возвращает атрибут Из них индивидуально для каждой страницы меняются
по его имени; в основном только теги <title> и <meta description> <meta
>> setAttribute(string $name, mixed $val): this – устанавли- keywords>. В принципе возможен для каждой страницы свой
вает значение конкретного атрибута; тег <script src="имя файла">, добавление которого делается
>> isAttributeSet(string $name): bool – проверяет наличие по аналогии с тегом meta.
атрибута; Исходя из вышесказанного можно составить следующий
>> categoryOf(string $cat): bool– проверяет, соответствует код (пример ex5.php):
ли объект заданной категории.
class :top extends :x:element {
Например, хорошей практикой считается установка атри- attribute string title;
attribute string description;
бутов HTML-элементов через метод setAttribute().
Пример ex2.php: use XHPHelpers;

protected function render(): XHPRoot {

function build_list(array<string> $names): XHPRoot { $description = $this->getAttribute("description");
$list = <ul />; return
foreach ($names as $name) { <head>
$list->appendChild(<li>{$name}</li>); <title>{$this->:title}</title>
} <meta name="description" ↵
return $list; content="$description"></meta>
} <script src="/js/example.js">
</head>;
$fruits = ["яблоки", "апельсины", "бананы"]; }
}
echo build_list($fruits); echo <top title="имя нашей страницы" ↵
description="некоторый краткий текст ↵
$hhvm ex0.php описания страницы"/>;
<ul><li>яблоки</li><li>апельсины</li><li>бананы</li></ul>

Что может быть интересно в данном коде? Ну, во-первых,

Как создать пользовательский HTML-элемент? Удобно ли в классе используется помощник (хелпер) XHPHelpers, ко-
это? Тут, я бы сказал, больше дело в идеологии построения торый позволяет извлекать с помощью метода getAttribute()
страницы веб-приложения либо в привычке. Это очень инди- информацию из атрибутов пользовательского тега <top>.
видуально и дискуссионно. Если кто пользовался шаблони- Для извлечения данных пользовательского тега использует-
затором Smarty, то XHP-элементы очень похожи на плагины ся свойство $this->:target.
Smarty. Создадим наш первый пользовательский элемент Во-вторых, необходимо объявить пользовательские атри-
<hello-word /> (ex3.php): буты. Доступ к атрибутам будет возможен, как доступ к за-
щищенным полям с тем же именем, но начинающимся с дво-
class :hello-world extends :x:element { еточия «:», пример: $this->:title.
protected function render(): XHPRoot { В-третьих, так как по умолчанию включена защита
return <em>Hello World</em>;
} от «левых» символов, то вывод атрибута content тега meta
} осуществляется через промежуточную переменную, иначе
echo <hello-word/>;
мы увидим следующий вывод:
$hhvm ex3.php
<em>Hello World</em> <meta name="description" content="{$this-&gt; description}">

Построение стандартной веб-страницы может быть раз- Пользовательский элемент <bottom /> содержит ту часть
делено на три пользовательских тега: HTML-тегов, которая отвечает за вывод нижней части веб-
страницы. Как правило, это копирайт, некоторые ссылки
echo на общие страницы, социальные кнопки, счетчики.
<html>
<top description="{$page->description}" ↵
title="$page->title}" /> И немного практики
<body> Самое интересное – это разработка контентной страницы.
<content id="{$page->id}" type="{$page->type}" />
Пусть мы имеем два типа контентной страницы: страни-
<bottom/>
</body> ца каталога и страница товара, и эти типы будут отличать-
</html>; ся частью url: www.host/catalog/category-name и www.host/
goods/goods-name. Это обычная практика использования
Первоначально рассмотрим, как реализован пользова- ЧПУ (человекопонятный url). Пусть где-то в коде мы разби-
тельский тег <top/>. В наиболее простом варианте в верх- раем переменную $_SERVER['REQUEST_URI'] и передаем
ней части страницы находится тег <header>, содержащий в класс page разобранный список в виде массива (разбор
в себе: $_SERVER['REQUEST_URI'] функцией explode).

54 май 2016 системный администратор

 особенности языка
Пример ex6.php:
enum PageType : int {
UNDEF = -1;
CATALOG = 0;
GOODS = 1;
} private function content(): XHPChild {
class Page {
private PageType $type = PageType::UNDEF;
public function __construct(private array $uri): void {
if ( count($uri) < 2) return;
if ($uri[0] == 'catalog') ↵
$this->type = PageType::CATALOG;
if ($uri[0] == 'goods') ↵
$this->type = PageType::GOODS;
} protected function render(): XHPRoot {
public function getType(): string {
// возвращает тип страницы
return (string)$this->type;
} }
public function getId(): string {
// возвращает контентную информацию
return $this->uri[1];
} Что еще примечательно в приведенном примере? Ну,
} во-первых, для формирования разных страниц, контентной
Что нового и интересного представлено в данном коде?
Первое, что мы использовали, – это новый тип перечисле-
ния enum. Программистами Си/С++, Java, Python и даже
SQL этот тип данных активно и давно используется.
Второе: мы использовали неявное объявление и присвое-
ние полю uri класса page в конструкторе класса. Об этом но-
вовведении в языке Hack говорилось во вводной статье [1].
В конструкторе класса в зависимости от входного разо-
бранного uri устанавливается тип страницы, которую необ-
ходимо выбрать, либо это страница каталога, либо страница
описания товара.
И последнее: при возвращении значения поля type необ-
ходимо сделать преобразование типа в string, иначе мы по-
лучим ошибку:
Catchable fatal error: Hack type error: Invalid return type
at ...
Рассмотрим упрощенную реализацию тега <content>
(пример ex7.php):
class :content extends :x:element {
attribute string type;
attribute string id;
use XHPHelpers;
private function renderGoods() : XHPChild {
$googs = New Goods();
$item = $goods->get($this->:id);
return <div class="googs">
<div class="goods-title">{item->getTitle()}</div>
<img class="goods-img" src="{item->getImage()}" />
<div class="goods-description"> ↵
{item->getDescription()}</div>
</div>;
} article/3177).
private function renderCatalog() : XHPChild {
$catalog = New Catalog();
$catalog->get($this->:id);
$list = <ul />;
foreach ($catalog as $id => $name) {
$a = <a>{$name}</a>;
системный администратор май 2016
Разработка
$a->setAttribute("href", '/goods/'.$id);
$list->appendChild(<li>{$a}</li>);
}
return $list;
}
if ($this->:type == (string)PageType::CATALOG)
return $this->renderCatalog();
if ($this->:type == (string)PageType::GOODS)
return $this->renderGoods();
return <p>undefined uri</p>;
}
return <div id="content">{$this->content()}</div>;
}
и страницы описания товаров, мы используем разные ме-
тоды: renderCatalog() и renderGoods(). Оба эти метода воз-
вращают набор XHP-элементов и поэтому должны иметь
возвращаемый тип XHPChild.
Второе, чем отличаются друг от друга методы
renderCatalog() и renderGoods(). Мы заметили, что при ре-
ализации метода renderCatalog() используется присвоение
XHP-элементов:
$list = <ul />;
а также для формирования контента и атрибутов использо-
вали DOM-модель.
В заключение хотелось бы напомнить, что некоторые
конструкции, на которых построены популярные РНР-
фреймворки, в Hack не работают. Это использование
конструкции двойной доллар ($$action), использование
конструкций типа $controller→$action(). Поэтому при разра-
ботке сайтов в Hack активно используются шаблоны про-
ектирования [3].
Конечно, обозрение в данных статьях [1, 2] не полное,
и поэтому официальную документацию никто не отменял [4].
Также, если желаете углубиться в эту тему, советую книгу
Овена Ямаучи (Owen Yamauchi) «Hack and HHVM» [5].  EOF 
[1] Календарев А. Введение в язык Hack. // «Системный адми-
нистратор», №3, 2016 г. – С. 46-50 (http://samag.ru/archive/
article/3150).
[2] Календарев А. Hack. Асинхронность. // «Системный адми-
нистратор», №4, 2016 г. – С. 66-71 (http://samag.ru/archive/
[3] Э. Гамма, Р. Хелм, Р. Джонсон, Дж. Влиссидес. Приемы объек-
тно-ориентированного проектирования. – СПб: «Питер», 2001.
[4] Язык Hack. Официальный сайт – www.hacklang.org.
[5] Owen Yamauchi. Hack and HHVM. – O’Reilly Media. 2015 – http://
oreilly.com/catalog/errata.csp?isbn=9781491920879.
Ключевые слова: Hack, разработка, веб.
55
 Разработка особенности языка

Визитка

АЛЕКСАНДР МАЙОРОВ,
Tutu.ru, руководитель отдела Frontend-разработки, alexander@majorov.su

ES Декораторы: разбираемся в деталях

В декораторах JavaScript вроде бы нет ничего особенного, каждому разработчику,
знающему теорию ООП, известен такой шаблон проектирования. Но только ли дело
в ООП? И почему они становятся популярны?

С ростом популярности таких инструментов, как TypeScript /**

и Babeljs, все больше разработчиков пробуют новые экс- * ConcreteComponent
* (класс для последующего декорирования)
периментальные фишки черновых, и не только, стандар- */
тов языка ECMAScript, именуемого по традиции JavaScript. class Coffee {
getCost(defCost:number = 1):number {
К таким экспериментальным фичам относятся и декораторы
return defCost;
(Decorator). Или аннотации… Так декораторы или аннота- }
ции? О, а что это такое вообще? }
С выходом новой версии Angular2 интерес к декорато- abstract class CoffeeItem {
рам/аннотациям возрастает, так как это часть стандартного protected cost:number;
процесса разработки и кодовой базы новой версии попу-
constructor(protected coffee:Coffee) {
лярного фреймворка. }
Давайте разбираться, что же это. А начнем мы с опреде-
лений, ведь мы же хотим разобраться, верно?.. public getCost():number {
return this.coffee.getCost() + this.cost;
}
ООП паттерн Декоратор }
В объектно ориентированном программировании паттерн
/**
Декоратор относится к структурным шаблонам проектиро- * Decorator A
вания. */
Структурные шаблоны – шаблоны проектирования, в ко- class Milk extends CoffeeItem {
protected cost = 0.5;
торых рассматривается вопрос о том, как из классов и объ- }
ектов образуются более крупные структуры.
/**
Классическое определение Декоратора – структурный
* Decorator B
шаблон проектирования, предназначенный для динамиче- */
ского подключения дополнительного поведения к объекту. class Whip extends CoffeeItem {
protected cost = 0.7;
Шаблон Декоратор предоставляет гибкую альтернативу }
практике создания подклассов в целях расширения функ-
циональности. /**
* Decorator C
Задача шаблона Декоратор проста и сводится к сле- */
дующему: объект, который предполагается использовать, class Sprinkles extends CoffeeItem {
выполняет основные функции, но при этом может потребо- protected cost = 0.2;
}
ваться добавить к нему некоторую дополнительную функци-
ональность, которая будет выполняться до, после или даже var coffee =
вместо основной функциональности объекта. new Milk(
new Whip(
Итак, вроде бы ничего сложного. У нас есть некоторый new Sprinkles(
класс или объект, который мы можем задекорировать – до- new Coffee()
бавить новый функционал или даже изменить существую- )
)
щий. );
Вариант классической реализации такого шаблона
console.log(coffee.getCost());
в ООП стиле может выглядеть так:

56 май 2016 системный администратор

 особенности языка Разработка

В JavaScript появилась
возможность работать
с декораторами
в функциональном стиле

Процесс инициализации в данном примере не очень удо- if (typeof obj != 'function') continue;
бен. Мы могли бы вынести код в некоторую функцию деко- newObj = new obj(newObj);
}
рирования, которая сама создавала новые задекорирован-
ные объекты. Как-то так: return newObj;
}

/** var coffee = new Coffee();

* ConcreteComponent var myCoffee = decorate(coffee, Milk, Whip, Sprinkles);
* (класс для последующего декорирования) console.log(myCoffee.getCost());
*/
class Coffee {
private cost:number = 1;
Но выходит, что каждый раз для разных объектов нам
getCost():number { return this.cost; }
} придется создавать свою функцию декоратор. А что если
мы создадим универсальную функцию и зафиксируем ин-
abstract class CoffeeItem {
protected cost:number;
терфейс декоратора? Он мог бы выглядеть следующим
образом:
constructor(protected coffee:Coffee) {
}
/**
* ConcreteComponent
public getCost():number {
* (класс для последующего декорирования)
return this.coffee.getCost() + this.cost;
*/
}
class Coffee {
}
private cost :number = 1;
/**
getCost() :number {
* Decorator A return this.cost;
*/ }
class Milk extends CoffeeItem { }
protected cost = 0.5;
} /**
* Decorator A
/** */
* Decorator B function milkDecorator() :void {
*/ this.cost += 0.5;
class Whip extends CoffeeItem { }
protected cost = 0.7;
} /**
* Decorator B
/** */
* Decorator C function whipDecorator() :void {
*/ this.cost += 0.7;
class Sprinkles extends CoffeeItem { }
protected cost = 0.2;
} /**
* Decorator C
function decorate(...args) { */
let newObj = args.shift(); function sprinklesDecorator() :void {
this.cost += 0.2;
for (let obj of args) { }

системный администратор май 2016 57

 Разработка
function decorate<T>(...args) :T {
let target = args.shift();
args.map((decor) => decor.apply(target));
return target;
} На сегодня JavaScript тоже не исключение. Данный опе-
var coffee = new Coffee();
var myCoffee = decorate<Coffee>(
coffee,
milkDecorator,
whipDecorator,
sprinklesDecorator
);
console.log(myCoffee.getCost());
Код примера приведен не на чистом JavaScript,
а на TypeScript. В принципе пример справедлив
и для ES2016 с применением аннотации типов Facebook Flow
и транспайлером Babeljs.
Получилась универсальная функция декорирования лю-
бого объекта. По сути, мы меняем содержимое созданного
объекта, не используя наследование.
Про Angular 2 и не только
Фреймворк Angular получил широкую популярность, и поэ-
тому разработчики решили выпустить вторую версию, улуч-
шенную. В качестве основного языка для фреймворка вы-
бран, как ни странно, TypeScript. Если зайти в документацию
Angular2 сегодня, сразу бросается в глаза пример «Hello
world!», где мы видим код такого вида:
import {Component} from 'angular2/core';
@Component({
selector: 'my-app',
template: '<h1>My First Angular 2 App</h1>'
})
export class AppComponent { }
Есть некоторый когнитивный диссонанс. У нас есть класс,
но в нем нет никакой реализации. При этом перед классом
вызов какой-то функции (а это похоже на вызов функции),
но перед ней стоит символ @. Сразу непонятно, как рабо-
тает этот код.
Или же открываем документацию на библиотеку Redux
и видим там такой пример:
import { connect } from 'react-redux';
@connect(mapStateToProps, mapDispatchToProps)
export default class MyApp extends React.Component {}
Опять не совсем понятно, как это работает и почему.
Оператор декорирования
Пока мы поняли, что декоратор – это удобный способ изме-
нения поведения некоторой функции, класса или объекта,
а также добавления различных метаданных. Для того чтобы
декораторами можно было удобно пользоваться, в некото-
рых языках программирования есть специальные операто-
ры. К примеру:
>> Java– объявление аннотации;
>> Python– объявление декоратора.
58
особенности языка
И тут вот есть уже различия, так как синтаксис похож
и вроде бы смысл одинаков, но в Python – это декораторы,
а вот в Java – аннотации.
ратор есть в стандарте ES. Ранее поддержка синтаксиса
декораторов была заявлена в стандарте ES7, который был
переименован в ES 2016. На сегодня реализация находится
в стадии stage 1, а это значит, что в стандарт ES 2016 деко-
раторы не попадают. Поэтому мы говорим «ES Декораторы»
или «ES.Next Декораторы». При этом синтаксис декорато-
ров добавлен в TypeScript, и там они живут своим жизнен-
ным циклом и имеют небольшие отличия от API декораторов
в Babeljs.
Основная задача оператора декорирования – это предо-
ставление удобного инструмента для расширения функци-
ональности объекта без использования механизма клас-
сического наследования. Следовательно, декораторы
необходимо использовать, когда требуется реализовать
много независимых расширений и не создавать множество
подклассов, что может привести к большой сложности сис-
темы.
Так как синтаксис декораторов пока находится в экспе-
риментальных стадиях, то в Babeljs их можно включить вот
таким образом:
$ npm install babel-plugin-transform-decorators
Usage:
{
"plugins": ["transform-decorators"]
}
В TypeScript для этого требуется аргумент (или запись
в tsconfig.json):
--experimentalDecorators
С точки зрения синтаксиса выглядит все достаточно про-
сто. Каждый вызов декоратора начинается с символа @.
ES DECOR@TOR
Если бы нам надо было дать определение, что такое ES Де-
коратор, то мы могли бы сказать следующее:
ES Декоратор – это выражение, принимающее на вход
аргументы target, key и descriptor и возвращающее дескрип-
тор, функцию или ничего. Оператор декорирования исполь-
зуется для:
>> Декорирования.
>> Аннотирования.
Разница заключается в работе с целевым объек-
том (target). Если декоратор меняет поведение объекта,
то это называется декорирование. Если декоратор исполь-
зуется для добавления дополнительных полей и информа-
ции, не меняющих поведение оригинального объекта, то та-
кое действие называется аннотированием. Сами данные,
добавляемые таким способом, называются метаданные.
Аннотации – способ добавления метаданных к объявле-
нию класса для использования во внедрении зависимостей
или директивах компилятора.
Аннотации были предложены командой разработки языка
AtScript из Google, но они не входят в стандарт. Декораторы
май 2016 системный администратор
 особенности языка
были предложены в качестве стандарта в ES7 для измене-
ния классов и свойств на этапе разработки.
С точки зрения разработчика у аннотаций и декораторов
абсолютно одинаковый синтаксис. Отличие в том, что раз-
работчик не контролирует то, как аннотации добавляют ме-
таданные в код.
Декораторы можно рассматривать как интерфейс для по-
строения чего-то, что ведет себя, как аннотации.
Что можно декорировать
>> Классы– @decorate class A {}
>> Методы– class A { @decorate foo(){} }
>> Свойства– class A { @decorate foo = 1; }
>> Аргументы– class A { foo(@decorate a){} }
Декоратор класса
Самый простой декоратор. Перед определением класса пи-
шем имя функции декоратора с символом @:
@classDecorator class A { }
function classDecorator(target) {}
Декоратор принимает на вход один аргумент – ссылка
на конструктор класса. Вернуть такая функция может новый
конструктор или ничего. В случае если ничего не возвраща-
ем, как было сказано ранее, мы не декорируем класс, а ан-
нотируем, добавляя некоторые метаданные.
Пример декоратора класса:
@Component
class MyComponent {
template = '<h1>Hello, Moscow!</h1>';
} методы. В Java есть аннотация deprecated. Чем мы хуже,
let mc = new MyComponent;
let html = mc.render();
function Component(target) {
target.prototype.render = function() {
return this.template;
} oldMethod(){ /.../ }
} }
В данном примере реализован декоратор Component
по аналогии с Angular2. Как видите из примера, декораторы
могут являться гибкой альтернативой множественному на-
следованию.
Декоратор метода
class A {
@methodDecorator foo(){ ... }
}
function decorator(target, key, descriptor) {
return dcr;
}
Декоратор метода позволяет декорировать и аннотиро-
вать конкретный метод. На вход декоратора передается три
аргумента:
>> target– ссылка на prototype класса;
>> key– имя метода;
>> descriptor– дескриптор.
системный администратор май 2016
Разработка
Возвращает функция дескриптор или ничего. Дескрип-
тор представляет собой объект конфигурации. Он достает-
ся с помощью метода Object.getOwnPropertyDescriptor.
API декоратора метода одинаково работает как в Babeljs,
так и в TypeScript.
Примеры декораторов методов. Когда программисты
узнают о новых возможностях языка и новый синтаксис,
не сразу понятно, какой можно получить профит. Вроде бы
и без «собачки» могли делать декораторы. Но если взгля-
нуть на Java или другие языки, то идей набирается с лихвой.
Допустим, в Java есть такая аннотация, как @override.
Она используется как подсказка компилятору при пере-
определении метода. В JavaScript нет абстрактных классов
и методов. В TypeScript есть абстрактные классы и методы.
Но не все используют TypeScript. Итак, мы могли бы описать
декоратор, проверяющий, был ли переопределен метод
или он вызывается в родительском классе:
class BaseComponent {
@override
render(){}
}
let MyComponent = new BaseComponent;
MyComponent.render(); // Throw error
class ChildComponent extends BaseComponent {
render(){
return "<h1>Hello!</h1>";
}
}
MyComponent = new BaseComponent;
MyComponent.render(); // Ok
Или такой пример использования: помечать устаревшие
мы можем реализовать декоратор, который будет выводить
в консоль предупреждение:
class BaseComponent {
@deprecated
let component = new BaseComponent;
component.oldMethod(); // Warning: deprecated ...
Я не пишу реализации декораторов, так как это заняло
бы много места. Но в конце статьи я расскажу, где взять ре-
ализации, готовые для использования.
Самый распространенный юзкейс использования деко-
раторов – это объявление функции логирования, которая
удобно заменит вызовы console.log() и позволит не засо-
рять код.
Допустим, у нас есть некий класс, и мы хотим зало-
гировать каждый вызов метода. Простой код примера
на TypeScript (для разнообразия, но он одинаково работа-
ющий и для Babeljs, нужно только нам с вами убрать описа-
ния типов):
function log<T>(target: T, key :string, descriptor :any): T {
var originalMethod = descriptor.value;
descriptor.value = function (...args :any[]) :any {
let result = originalMethod.apply(this, args);
59
 Разработка особенности языка

console.log(`Call: ${key} ↵ Для примера приведу простой декоратор для свойств

(${args.map(a=>JSON.stringify(a)).join()}) => ↵ с реализацией на Babeljs, так как реализация для TypeScript
${JSON.stringify(result)}`);
return result; займет намного больше строчек кода. Но главное – уло-
}; вить суть.
С приходом ES6 в JavaScript появилось ключевое слово
return descriptor;
} «const». С помощью него можно создавать переменные,
ведущие себя как константы. Но мы не можем объявить
class Coffee {
protected cost :number = 1.2;
константу внутри класса, к примеру. А порой такое очень
нужно. Все просто, мы можем реализовать декоратор
@log getCost() :number { return this.cost } @readonly:
@log someDo() { return 'some text' }
} class Cat {
@readonly name = 'Simon';
let myCoffee = new Coffee; }
let cost = myCoffee.getCost();
myCoffee.someDo(); let myCat = new Cat;
myCat.name = 'Murzik'; // Throw error
/*
Output: function readonly(target, key, descriptor) {
Call: getCost() => 1.2 descriptor.writable = false;
Call: someDo() => "some text" return descriptor;
*/ }

Если продолжать идеи для декораторов методов, В примере, как видите, была изменена конфигурация де-
то мы могли бы описать декоратор для мемоизации, обяза- скриптора. Теперь при попытке изменить свойство будет вы-
тельных аргументов и много чего еще. брасываться исключение.

Декоратор свойств Декораторы параметров

Декоратор свойств аналогичен декоратору методов. На вхо- Декоратор параметров есть только в TypeScript. Такой син-
де – три аргумента, на выходе – новый дескриптор или ниче- таксис не заявлен в стандарте ES. При этом это не декора-
го. Это справедливо в случае, если вы пользуетесь Babeljs. тор, а именно аннотатор, так как из функции ничего не воз-
В случае TypeScript есть отличия. вращается. Нельзя изменить поведение аргумента. Можно
Приведу вам простой код декораторов, чтобы показать только добавить метаданные, описывающие, как нужно ра-
разницу: ботать с ними.
На вход функции приходит три аргумента:
// Babeljs >> target– ссылка на prototype класса;
>> key– имя метода или undefined;
function DecorateProperty(target, key, descriptor){
>> index– номер аргумента.
let defaultValue =
descriptor.initializer();
Ничто не возвращается.
return descriptor; С метаданными можно работать через декоратор
класса, метода либо вовсе в какой-то логике фреймвор-
}
ка, который  знает про эти метаданные (как и делается
// TypeScript это в Angular 2).

function DecorateProperty(target, key) {

class Some {
constructor(@annotate x, @annotate y){}
// default value can get
foo(@annotate a, @annotate b){}
// with getter
}
return { new descriptor }

} Фабрика декораторов
Как говорилось мною ранее, декоратор может вернуть
Во-первых, в Babeljs есть метод для получения значения функцию. Это делается в случае реализации фабрики де-
по умолчанию, чего нет в TypeScript. В TS это придется де- коратора:
лать через реализацию геттеров и сеттеров.
Во-вторых, декоратор в TypeScript принимает только два function Factory(...params){
аргумента. Третьего – дескриптора – нет. При этом вы так- // do anything with params
return function Decorator(target, key, descriptor){
же можете вернуть дескриптор из метода, но вам придется // decorate or annotate target
его создать. // or descriptor
В-третьих, в Babeljs нет разницы при работе как со ста- // return any
тическими, так и не статическими свойствами и методами, }
}
в отличие от TypeScript.

60 май 2016 системный администратор

 особенности языка Разработка

В таком случае в декоратор можно передать любое коли- @type mixBar(@cast `int` arg :any) :number {
чество аргументов. При этом фабричная функция возвра- return this.bar + arg;
}
щает функцию декоратор, подчиняющуюся всем правилам,
описанным ранее. @type({
'arguments' : ['string', 'number'],
Пример фабричного декоратора:
'return' : 'string'
})
@Component({ someDo(a :string, b :number) :string {
selector: 'my-app' return a + b;
template: '<h1>My angular :)</h1>' }
})
class MyComponent {} // return type string
@type `string` static someDo(@tstring a :string, ↵
@tnumber b :number) :string {
В Angular2 почти все декораторы представляют собой return a + b;
фабрики. }
}

Динамическая типизация в JavaScript

Изучая на раскопках следы AtScript, который предлагалось Таким образом, мы можем проверять типы на стадии ком-
использовать изначально как альтернативу TypeScript, пиляции, используя аннотации вида :тип, так и аннотации
а точнее даже, ECMAScript наткнулся на упоминание для рантайма, используя синтаксис @тип. Установить и по-
RTTS – RunTime Type System. Предлагалось использо- пробовать можно из npm:
вать аннотации типов, синтаксис которых взяли из стан-
дарта ECMASCript 4, который был реализован в версиях npm install rtts-ts
ActionScipt. Но в отличие от TypeScript эти аннотации долж-
ны были проверяться не IDE на стадии компиляции (точнее, Версия библиотеки, пока 0.1, я еще не реализовал
не только на стадии компиляции), а и во время исполне- все возможности. Если интересно – присоединяйтесь [1].
ния кода.
Некоторые скептики часто приводят такой аргумент CORE-DECORATORS.JS
не в пользу TypeScript – мол, а что толку-то от статиче- Если вдруг вы созрели для использования синтаксиса деко-
ской типизации? На стадии компиляции сделали провер- раторов в JavaScript, то вам не обязательно все реализовы-
ку, а во время выполнения уже не отследить, и приходится вать самому. Есть готовая библиотека core-decorators.js [2],
либо добавлять в бизнес-логику проверку типов, либо пу- в которой уже реализовано достаточно много интересных
стить все на самотек – JS умный, он все приведет к нужному декораторов:
типу сам. >> @readonly >> @enumerable
Мне стало интересно: а что если сделать самому свой >> @nonconfigurable >> @override
синтаксис описания типов, которые будут проверять- >> @nonenumerable >> @debounce
ся в рантайме? Разбираться с AST и писать свой парсер >> @lazyInitialize >> @throttle
не хочу. Хочу использовать стандартные инструменты. >> @autobind >> @time
О! В предыдущих статьях было много сказано про декора- >> @deprecate >> @decorate
торы, оператор декорирования и аннотации, т.е. мы можем >> @suppressWarnings >> @mixin
использовать декораторы для контроля типов наших пере-
менных, используя простой и лаконичный синтаксис. Также эту библиотеку можно использовать как наглядный
В итоге родилась библиотека rtts-ts. Это декораторы учебник по декораторам.
для TypeScript-кода, которые позволяют аннотировать свой-
ства, методы и параметры. Как это выглядит:
В JavaScript появилась возможность работать с декоратора-
///<require path="rtts/typings.d.ts" /> ми в функциональном стиле. Ими уже можно пользоваться.
import 'rtts'; В нашей компании мы используем TypeScript и уже начали
@type // annotate constructor применять декораторы в проекте.  EOF 
class A {
[1] Библиотека rtts-ts – https://github.com/frontdevops/rtts-ts.
@tstring foo :string = 'abc';
[2] Библиотека core-decorators.js – https://github.com/jayphelps/
@tnumber static bar :number = 123;
core-decorators.js.
@tfloat foo :float = 123.321; [3] Видео с моего доклада о декораторах на MoscowJS 28 – https://
@tint foo :int = 123;
it.mail.ru/video/465.
[4] Презентация о декораторах – http://moscowjs.majorov.su.
/* @type */ constructor(@tnumber x :number) { [5] Проверка JSON с помощью декораторов в TypeScript – https://
// ... habrahabr.ru/post/262105.
}
[6] Подборка статей на тему декораторов – https://medium.com/@
@type mixFoo(@tstring arg :string) :string { frontman/статьи-про-es7-декор-торы-6b8d519049e4.
return this.foo + arg;
}
Ключевые слова: JavaScript, декораторы, TypeScript, ООП.

системный администратор май 2016 61

 Карьера/Образование
Нина Романчева:
«Совместная подготовка ИT-специалиста в паре
вуз – предприятие – это требование сегодняшнего дня»
В гостях у «Системного администратора» – декан факультета прикладной математики
и вычислительной техники МГТУ ГА, кандидат технических наук, доцент Нина Романчева
Подготовила Ирина Ложкина
Нина Романчева,декан факультета прикладной математики
и вычислительной техники МГТУ ГА, кандидат технических
наук, доцент
Cправка
В МГТУ ГА – 16 спортивных секций по 21 виду спорта. Начиная с 2010 года
студенты университета в общекомандном зачете выходят победителями
на Московских студенческих играх, регулярно становятся победителями
на спартакиадах транспортных вузов России. Команда по мини-футболу –
шестикратный победитель Общероссийской спартакиады транспортных
вузов. Дважды, в 2012-м и 2014-м, футбольная команда университета ста-
новилась чемпионом Москвы среди студенческих коллективов России.
62
alma mater российских ИТ
–  Вчерашний школьник решил прийти к вам учить-
ся. Чем отличается преподавание ИТ-специальностей
в МГТУ ГА? Его плюсы? Особенности?
–  Наши отличия – это наши плюсы!
>> индивидуальный подход к обучающемуся;
>> комплексность – сочетание академического образова-
ния и практической направленности (преподаватели
факультета имеют опыт работы в ИТ-отрасли граждан-
ской авиации);
>> интеграция в международное образовательное про-
странство – МГТУ ГА зарегистрирован в реестре Меж-
дународной организации гражданской авиации (ICAO).
Данный факт подтверждает, что наши образователь-
ные программы полностью ориентированы на потреб-
ности гражданской авиации и соответствуют между-
народным требованиям, предъявляемым к учебным
заведениям;
>> вовлечение с первого курса в научно-исследователь-
скую и методическую работу.
Начиная с первого курса, студенты посещают лекции,
которые читают представители международной компании
SITA – мирового лидера в области информационных и теле-
коммуникационных систем для авиатранспортной отрасли.
Все это позволяет не только освоить ИT-специальность,
но и дает возможность студентам сразу «нырнуть» в специ-
фику работы авиационной отрасли.
–  Сколько студентов вы готовите по ИТ-специальнос-
тям? Какие это специальности?
–  Факультет ведет обучение по направлениям подготовки
и специальностям, соответствующим приоритетным на-
правлениям модернизации и технологического развития
российской экономики (Распоряжение Правительства РФ
№17‑р от 6 января 2015 года):
>> бакалавриат – прикладная математика, информатика
и вычислительная техника;
>> специалитет – информационная безопасность телеком-
муникационных систем.
май 2016 системный администратор
 alma mater российских ИТ
В соответствии с контрольными цифрами приема, опре-
деляемыми учредителем вуза – Федеральным агентством
воздушного транспорта, выделяется 90 бюджетных мест.
–  Как трудоустраиваются ваши выпускники?
–  Более 70% выпускников работают на предприятиях от-
расли, оставшаяся часть – в госсекторе, ИT-компаниях
и ИT-подразделениях, а также в подразделениях, связанных
со сбором и обработкой информации (маркетинг, финансы,
аналитические отделы и т.п.) производственных компаний.
Кто-то продолжает учебу в аспирантуре и магистратуре.
Студенты сегодня рано начинают свою трудовую де-
ятельность, совмещая учебу с работой. Например, к нам
некоторые первокурсники приходят с опытом работы сис-
темным администратором в небольших организациях.
В МГТУ ГА проходят Дни карьеры. Приезжают пред-
ставители предприятий отрасли, работодатели напрямую
общаются со студентами, происходит «кадровый отбор
со студенческой скамьи».
Очень часто результатом такой работы является вы-
полнение курсовых и выпускных квалификационных работ
по заявкам данного предприятия с конкретными результа-
тами (акты о внедрении и практической значимости).
Сегодня все организации понимают, что ждать, когда вуз
подготовит специалиста, а потом его переучивать под свои
требования, – очень дорогостоящий путь. Поэтому со-
вместная подготовка ИT-специалиста в паре вуз – предпри-
ятие (как базовая кафедра или сетевой партнер) – это тре-
бование сегодняшнего дня: повысить качество обучения
и снизить неэффективные трудозатраты.
–  Расскажите о самых значимых проектах, мероприяти-
ях, в которых принимают участие ваши студенты.
–  Традиционное ежегодное мероприятие – Транспортная
неделя, которая проводится Министерством транспорта
РФ. В рамках Транспортной недели идут студенческие кон-
ференции, а также конкурс «Молодые ученые транспортной
отрасли». Неоднократно наши студенты и аспиранты полу-
чали дипломы победителей и памятные подарки из рук ми-
нистра транспорта РФ. Например, аспирантка Павлова Л.В.
с работой на тему «Концепция построения систем инфор-
мационно-аналитической поддержки принятия управленче-
ских решений в авиакомпании», аспирантка Филонова А.А.
с работой «Эволюция заполнения системы квантовых со-
стояний для оценки пропускной способности аэродромного
воздушного пространства» и другие.
На спартакиаде по компьютерному многоборью IT students
e-cup’2011 – соревнования по различным прикладным дис-
циплинам среди команд вузов, – проводившейся в рам-
ках 23-й международной выставки «Связь-Экспоком» и моло-
дежного фестиваля «Цифровой мир», получили два вторых
места, пятое место и командный кубок.
Cправка
В художественной самодеятельности университета принимает участие
каждый десятый студент. Ребята выступают на сценах Кремлевского двор-
ца съездов, Колонного зала дома Союзов, ЦДКЖ, Центрального музея
на Поклонной горе. А команда КВН неоднократно занимала призовые ме-
ста на соревнованиях среди транспортных вузов.
системный администратор май 2016
Карьера/Образование
Cправка
В университете работают свыше 620 научно-педагогических сотрудников,
в том числе 56 докторов и 170 кандидатов наук, а также 103 аспиранта.
Количество студентов – более 10 000. В 2015 году университет закончи-
ли 1973 выпускника.
Дважды студенты факультета занимали во втором туре
(зональном) Всероссийской олимпиады по иностранному
языку среди технических вузов второе командное место,
получив дипломы и сертификаты, и седьмое место в инди-
видуальном соревновании заключительного третьего тура.
Команды студентов активно принимают участие
в Московском фестивале спортивного программирования
им. И.Н. Векуа, проводимом в рамках Международной олим-
пиады по программированию; в четвертьфиналах Междуна-
родной олимпиады ACM по программированию Северно-
Западного региона.
Все базовые принципы,
подходы, методы,
на которых построены
современные технологии, –
это неотъемлемая часть
образовательного процесса
МГТУ ГА
В этом году впервые принимали участие как победители
зонального тура во Всероссийском межвузовском чемпио-
нате «Молодые профессионалы» (WorldSkills Russia) по ком-
петенции «ИТ-решения для бизнеса на платформе «1С:
Предприятие 8».
Студенты факультета по специальности ИБТКС принима-
ли участие в межвузовских соревнованиях по информаци-
онной безопасности в формате CTF.
Отличная учеба и активная научная деятельность по-
зволяют в среднем 10-15 студентам факультета ежегодно
становиться именными стипендиатами Президента и Прави-
тельства РФ, а также обладателями стипендии имени Пер-
вого министра транспорта Петра Мельникова. Аспирантка
Лариса Павлова успешно прошла обучение в Swiss Space
Center (Женева), став победителем Всероссийского от-
крытого конкурса на получение стипендий Президента РФ
для обучения за рубежом.
«Автоматизированная система информирования пасса-
жиров о движении наземного городского пассажирского
транспорта», разработанная при участии наших студентов
Александра Сивашева и Алексея Тарасенко, была апроби-
рована в Сочи в дни проведения Олимпиады. Научные рабо-
ты студентов Арсения Яковлева и Таисии Тестовой, аспиран-
та Алексея Тарасенко получили дипломы Международного
авиационно-космического салона МАКС- 2016.
И, конечно, конкурс грантов Ученого совета универси-
тета на научные исследования студентов и аспирантов.
На днях прошли защиты третьего заключительно этапа,
63
 Карьера/Образование alma mater российских ИТ

были представлены результаты двух аспирантских и пяти
студенческих работ, часть которых выполнялась в команде.
–  Принято считать, что ИТ-знания, полученные в институ-
тах, сильно отстают от требований времени. Так ли это?
–  Не совсем согласна. «Информация устаревает в момент
ее возникновения» – эту фразу знает каждый студент, об-
учающий по ИT-направлению. Для ИT – это естественный
процесс. Быстро меняющаяся часть любой технологии –
это средства технологии. Поэтому главное – хорошие ба-
зовые знания и способность к освоению новых технологий.
Ведь невозможно предугадать, с чем именно будет работать
выпускник, какая именно СУБД, какой язык или система
программирования потребуются через год, два. Но все ба-
зовые принципы, подходы, методы, на которых построены
современные технологии, – это неотъемлемая часть обра-
зовательного процесса МГТУ ГА. Выпускник должен знать
и иметь ключевые навыки. Обращаясь к аллегории: в вузе
учат пользоваться удочкой для ловли рыбы, а не просто по-
дают рыбу. И не важно, из чего и как сделана удочка, важен
принцип ловли.
–  Несколько слов о положении со специалистами граж-
данской авиации в отрасли. Есть ли проблемы с нехват-
кой/переизбытком специалистов, выпускников вуза. Ка-
кой «вес» имеет блок ИТ-специальностей среди прочих?
–  Из общения с нашими выпускниками, занимающими в на-
стоящее время руководящие должности в ИT-сфере, можно
сказать, что есть проблемы с квалифицированными специ-
алистами: ИT-технологами авиакомпаний, специалистами
в области электронной коммерции, аналитиками, архитек-
торами информационных систем. Сегодня можно говорить
и о необходимости SEO-специалистов.
В каждой организации определен собственный подход
и роль ИТ-службы. ИТ-блок в большинстве случаев позици-
онируется как сервисная организация, предоставляющая
сервисы по информатизации бизнес-подразделениям ком-
пании. Отсюда и вес, и требования к специалистам полу-
чаются разными. Единой метрики нет. Разрабатываемые
профессиональные стандарты, в том числе АПКИТ, помогут
в решении данной проблемы.  EOF 
Вся информация о вузе – на сайте http://www.mstuca.ru.

Борис Елисеев:
«Мы хотим сделать университет «экспертным
институтом» Федерального агентства воздушного
транспорта»
Борис Елисеев, доктор технических наук, доктор
юридических наук, профессор. Почетный профессор
Технологического университета Нинбо (КНР). Член Коллегии
Росавиации. С 1999 по 2007 год – заместитель
генерального директора авиакомпании «Аэрофлот»
по правовым вопросам. С 2007 года и по настоящее время
возглавляет Московский государственный технический
университет гражданской авиации (МГТУ ГА)

Подходя к своему 45-летию, МГТУ ГА
разработал стратегию развития на пе-
риод 2016-2030 годов, главная цель ко-
торой – достижение мирового уровня
по основным направлениям деятель-
ности вуза.
Стратегия МГТУ ГА предполагает
развитие инновационного подхода,
соединение образовательного и на-
учно-исследовательского процессов,
обновление учебной и исследователь-
ской лабораторной базы, активное
использование интенсивных форм
обучения на основе компьютерных
и инфокоммуникационных образо-
вательных технологий, расшире-
ние спектра образовательных услуг
за счет реализации непрерывного
многоуровневого образования, в том
числе в форме дистанционного и от-
крытого обучения.
МГТУ ГА планирует предоставлять
каждому студенту возможности фор-
мирования индивидуального профи-
ля компетенций посредством выбора
собственной образовательной тра-
ектории. Это потребует дальнейшего
развития модульной системы орга-
низации учебного процесса, а также
расширения спектра предлагаемых
программ дополнительного профес-
сионального образования, в том числе
дистанционных. На старших курсах
бакалавриата и магистратуры опре-
деляющими формами обучения станут
научные семинары, различные проек-
ты и мастер-классы ведущих ученых
и практиков.
Наша стратегия развития предус-
матривает укрепление позиций МГТУ
ГА как центра компетенции в области
гражданской авиации, а также в меж-
дународном образовательно-научном
сообществе. Мы хотим сделать универ-
ситет опорным центром принятия и ре-
ализации решений в области граждан-
ской авиации на уровне Российской
Федерации, своего рода «экспертным
институтом» Федерального агентства
воздушного транспорта.
Сильными сторонами университета
являются развитая филиальная сеть,
разнообразие направлений подго-
товки и специальностей, имидж клас-
сического университета, а также вы-
раженный транспортный компонент
деятельности вуза.  EOF 

64 май 2016 системный администратор

 alma mater российских ИТ
Лариса Павлова:
«Каждый свой рабочий день я с благодарностью
вспоминаю Альма-матер»
Лариса Павлова, преподаватель МГТУ ГА.
Окончила аспирантуру МГТУ ГА в декабре 2015 года.
Сейчас завершает подготовку диссертации к защите
Мое знакомство с МГТУ ГА состоялось
в 2006 году. Будучи ученицей выпуск-
ного класса сельской школы, уехать
для получения образования в столицу
казалось перспективой, весьма отда-
ленной. Однако бойкая школьная под-
руга, твердо намеревавшаяся стать
студенткой Университета гражданской
авиации (по примеру старшего брата),
и хорошая школьная база, увенчавша-
яся золотой медалью, сделали свое
дело – родители предложили попробо-
вать свои силы в филиале университе-
та в Ростове-на-Дону.
Так как взгляд у старшего поколе-
ния на образование был традицион-
ный, должно было мне стать экономи-
стом, менеджером и т.п. Но при подаче
заявления оказалось, что поступить
на бюджетное отделение по этим спе-
циальностям нет возможности, и, «вы-
бирая из всех зол меньшее», я отдала
предпочтение специальности ВМКСС
ФПМВТ. При этом затаила надежду,
что годик отучусь и попробую переве-
стись на более «женскую» специаль-
ность.
И вот первого сентября 2006 года
начались учебные будни новоиспечен-
ной студентки факультета приклад-
ной математики и вычислительной
техники. Чем больше этих будней
оставалось позади, тем больше при-
кипала я к вычислительной технике
45 лет истории
16 апреля 1971 года было подписано постанов-
ление Совета Министров СССР «Об организации
Московского института инженеров гражданской
авиации».
В начале июля 1971 года был объявлен пер-
вый набор студентов. В институте в первый
год его становления обучалось 2503 студента,
из них 220 студентов дневного отделения и 2283 –
заочного.
В июне 1981 года МИИГА отметил свое деся-
тилетие. К этому времени институт имел 4 фа-
культета и 27 кафедр.
системный администратор май 2016
Карьера/Образование
и информационным технологиям,
по ночам штудируя книжки и осваивая
неведомые ранее языки программи-
рования и информационные техноло-
гии. И в итоге в конце первого года
не представляла себя ни на одном
другом факультете вуза. Опытные пре-
подаватели, которые буквально «пе-
рестраивали» мышление, прививали
логичность, системность и последова-
тельность в суждениях, обучали языку
информационных технологий. Мысли
об изменении специальности покину-
ли меня навсегда.
У ФПМВТ МГТУ ГА исключительная
преподавательская и материальная
база. За время обучения у нас была
возможность оттачивать большинство
навыков на практике благодаря пре-
красно обустроенной лаборатории
кафедры и современному вычисли-
тельному оборудованию, мы изучали
различные аппаратные взаимодейст-
вия, сетевые технологии, среды про-
граммирования и автоматизированно-
го проектирования.
В уровне качества полученного об-
разования я смогла убедиться еще
раз, когда, уже будучи аспиранткой
кафедры ВМКСС ФПМВТ МГТУ ГА,
мне предложили принять участие
в конкурсе на получение президент-
ской стипендии на обучение за рубе-
жом. Только благодаря возможности
По рейтинговой оценке ВУЗов Государствен-
ным комитетом по высшей школе в октябре  ицке – филиалов СПО, вследствие чего проис-
1991 года МИИГА занял 3 место среди отрасле-
вых ВУЗов транспорта России.
В июле 1993 года приказом Председателя
Госкомитета по высшему образованию Москов-
ский институт инженеров гражданской авиации
(МИИГА) переименован в Московский государ-
ственный технический университет гражданской
авиации (МГТУ ГА). С 2011 года Университет
переходит на подготовку бакалавров и магистров.
В 2013 году была завершена работа
по создании филиалов Университета в городах
реализовать себя, предоставленной
вузом, мне довелось получить бесцен-
ный опыт работы в абсолютно новой
среде в Швейцарском космическом
центре Лозаннского политехническо-
го университета (Swiss Space Center
EPFL).
Каждый свой рабочий день я с бла-
годарностью вспоминаю Альма-матер,
т.к. моя профессиональная деятель-
ность тесно связана с самыми раз-
личными направлениями в сфере ИТ:
я работник Департамента управления
ИТ-проектами в ПАО «Аэрофлот»,
а тут – и развитие внешнего сайта,
и разработка новых информационных
систем (коммерческих и производ-
ственных), и множество инфраструк-
турных проектов.
Очень рада, что в свое время жиз-
ненная дорога привела меня имен-
но в МГТУ ГА и связала мою судьбу
с факультетом прикладной математи-
ки и вычислительной техники.  EOF 
Егорьевске, Иркутске, Рыльске, Кирсанове и Тро-
ходит рост числа обучающихся в Университете
с почти 4000 до более чем 10000 человек.
В 2015 году осуществляется переход
на ГОС 3+.(федеральные образовательные стан-
дарты нового поколения).
Сегодня Московский государственный техни-
ческий университет гражданской авиации – един-
ственное учебное заведение высшего образо-
вания, которое готовит специалистов широкого
спектра направлений для гражданской авиации
России, ближнего и дальнего зарубежья.
65
 Карьера/Образование alma mater российских ИТ

Мария Евинова:
«Основная цель у большинства абитуриентов
одна: получение качественного образования
по интересующей специальности»

Мария Евинова, студентка 2-го курса направления

подготовки «Информатика и вычислительная техника»

Для каждого абитуриента критерии Таким образом, ведущий универси-

выбора вуза свои. Все мы руковод-
ствуемся различными принципами
в процессе принятия такого непросто-
го решения, имеем индивидуальные
запросы и приоритеты. Тем не менее
основная цель у большинства все же
одна: получение качественного обра-
зования по интересующей специаль-
ности.
В моем случае МГТУ ГА оказался
оптимальным вариантом по ряду при-
чин. Меня давно привлекает авиация,
в особенности наземная составляю-
щая индустрии; также мне интересна
ИТ-сфера как область будущей дея-
тельности.
тет ГА в стране, в котором доступны
ИТ-специальности, был очевидным вы-
бором.
Немаловажным фактором в при-
нятии решения стали и рекомендации
знакомых, обучавшихся здесь и до-
вольных качеством образования. На-
конец, МГТУ ГА обладает репутацией
одного из немногих свободных от кор- что студенческий коллектив МГТУ ГА –
рупции вузов, что имеет большое зна- куда более приятная компания, чем ти-
чение. пичные представители других вузов,
Начав обучение, я не пожалела с которыми мне приходилось иметь
о своем выборе. Могу не только с уве- дело.
ренностью подтвердить качество об- Надеюсь, мои наблюдения помогут
разования и компетентность препо- нынешним абитуриентам принять ре-
давательского состава, но и заметить, шение.  EOF 

София Барткив:
«Учиться на факультете с таким грозным,
по мнению многих моих знакомых, названием
интересно и увлекательно»
София Барткив, студентка 2-го курса факультета
прикладной математики и вычислительной техники

Почему я выбрала МГТУ ГА? Можно терминами и красочно расписывал

было бы написать серьезную речь
о перспективах гражданской авиа-
ции, о любви к небу или же о высокой
квалификации вуза. Но мой выбор
был случайным, хотя кто-то называет
это судьбой.
Да, я никогда не связывала свою
жизнь с авиацией, а на самолетах ле-
тала дважды и оба раза ужасно боя-
лась. Но так получилось, что я попала
на день открытых дверей в МГТУ ГА.
И вот тогда у меня вспыхнул интерес.
Интерес к информационной безопас-
ности.
Об этой специальности активно
рассказывал один из приглашенных
студентов. Он оперировал сложными
перспективы для будущих специалис-
тов. В тот момент я решила, что мне
это интересно, что я хотела бы этим
заниматься.
И вот, спустя уже больше двух лет
с того дня, я учусь на втором курсе
факультета прикладной математики
и вычислительной техники. Я не могу
сказать, что это просто, но трудности названием интересно и увлекательно.
всегда заставляли меня двигаться на- Тем более что преподаватели всегда
пролом. Да и кто сказал, что в жизни готовы помочь и объяснить еще раз
бывает легко? то, что на первый взгляд кажется не-
Уже второй год я доказываю себе понятным.
и окружающим, что могу справиться Учеба в университете – это всегда
со сложными задачами, что учить- сложная, но наполненная незабыва-
ся на факультете с таким грозным, емыми моментами жизнь. И я рада,
по мнению многих моих знакомых, что моя жизнь связана с МГТУ ГА.  EOF 

66 май 2016 системный администратор

 лабораторная работа
Исследуем сокеты. Часть 2 (продолжение)
В предыдущем номере [1] были описаны цели работы, схема исследований,
устройство и подготовка лабораторного стенда, ход проведения работы и отдельные
компоненты. В данной части познакомимся с оставшимися компонентами стенда
Браузер lynx
Один из первых текстовых браузеров.
Недостатки: не поддерживает отрисовку таблиц HTML,
фреймы HTML и JavaScript.
Плюсы: небольшой, консольный, то есть работающий
только через CLI-интерфейс, кроссплатформенный (Linux,
Windows, UNIX, OS/2, DOS и др.), умеет работать с простыми
формами.
Обратите внимание, что также имеется созвучный
по названию lynx совершенно другой программный продукт:
Links. Это уже текстово-графический браузер с поддерж-
кой фреймов, вкладок, таблиц и JavaScript. Также поддер-
живается широкая кроссплатформенность, и даже имеют-
ся 64-битные сборки.
Дополнительно в данный момент существуют две основ-
ные ветки разработки на базе кода links:
>> ELinks– для повышения функциональности имеет встро-
енный язык программирования Lua.
>> Links2– поддерживает также графику.
Пример обращения к веб-серверу по адресу 192.168.1.1:
$ lynx 192.168.1.1
Использование текстовых браузеров может быть
оправданно, в случае если на сервере по каким-то при-
чинам отсутствует оконная система X Window System. На-
пример, домашний маршрутизатор или какое-либо иное
бытовое устройство с сетевым интерфейсом и ОС Linux
«на борту».
Замечание. Обратите внимание, что существует библи-
отека AAlib [7], с помощью которой возможно просматри-
вание графических объектов посредством «ascii-графики»
непосредственно на текстовой консоли.
wget
Cвободная неинтерактивная консольная программа для за-
грузки файлов по сети. Поддерживает протоколы HTTP, FTP
и HTTPS. Умеет работать через HTTP-прокси. Имеются
системный администратор май 2016
Карьера/Образование
Визитка
ВЛАДИМИР ЗАКЛЯКОВ,
советник налоговой службы 2-го ранга
Лабораторная работа
сборки под Linux, Windows, UNIX. Включена практически
во все дистрибутивы GNU/Linux.
Из полезного – умеет самостоятельно находить в HTML-
документах ссылки на другие документы, находящиеся
на сервере, и также скачивать их, что используется в функ-
ции «выкачивания сайтов», вплоть до указанного уровня
вложенности.
Многие сторонние коммерческие программы предпочи-
тают не изобретать велосипед и активно пользуются штат-
ными функциями wget, например, для получения файлов
обновлений.
tcpdump
Консольный анализатор трафика (сниффер) позволяет за-
хватывать и анализировать сетевой трафик, проходящий
через сетевой интерфейс. Часто используется сетевыми
администраторами для оценки сетевой активности и диагно-
стики сетевых подключений.
Поскольку доступ к сетевым интерфейсам имеется лишь
у администратора, то запуск программы в режиме подклю-
чения к сетевым интерфейсам системы (в том числе и lo)
возможен лишь с его правами.
Среди полезных (для данной работы) опций у программы
следует отметить следующие:
>> -e – выводит заголовки канального уровня для каждого
перехваченного кадра;
>> -i имя_интерфейса – задаёт сбор пакетов с указанного
интерфейса. Параметр any соответствует всем сетевым
интерфейсам. Если интерфейс не задан, tcpdump ищет
в системе список доступных интерфейсов и выбирает
первый (исключая loopback, в том числе даже если ин-
терфейс находится в состоянии down). Также возможен
анализ данных, передаваемых по USB, например, через
обращение к интерфейсам usbmon1, usbmon2 и так да-
лее;
>> -c <число пакетов> – указывает завершить программу
по достижении заданного числа перехваченных кадров;
>> -n – отключает преобразование адресов в символьные
имена;
67
 Карьера/Образование
>> -nn – отключает преобразование номеров портов в сим-
вольные имена;
>> -X – задаёт вывод дампа в шестнадцатеричном и ASCII-
форматах без заголовков канального уровня. Эта опция
может быть очень удобна при анализе новых протоколов,
а также для просмотра передаваемых данных в рамках
данной работы;
>> -s xxx – указывает производить просмотр первых xxx
байт от начала пакета (по умолчанию просматриваются
лишь первые 68);
>> -w имя_файла – указывает записывать все перехвачен-
ные кадры в файл в сыром (raw) виде. Указанный файл
впоследствии можно просмотреть с использованием
ключа -r или передать сторонней программе, например
Wireshark Network Analyzer.
Примеры запуска:
1) Просмотр всего трафика, проходящего через интер-
фейс lo:
# tcpdump -i lo
2) Просмотр всего TCP и UDP-трафика, приходящего
на сетевой интерфейс eth0 из сети 192.168.1.0/24, в котором
порт получателя равен 80 или 1080:
# tcpdump 'src net 192.168.1.0/24 and (dst port 80 or 1080)'
3) Просматривать UDP-трафик, идущий на порты 1234
и 1235 от хоста 192.168.1.3 через интерфейс eth0:
# tcpdump -i eth0 'src 192.168.1.3 and udp ↵
and (dst port 1234 or 1235)'
4) Просматривать содержимое UDP-дейтаграмм, имею-
щих порт получателя 1234 на интерфейсе eth0:
# tcpdump -X -s 1000 -i eth0 'udp and (dst port 1234)'
Замечание. Для ОС Windows доступна бесплатная пор-
тированная версия tcpdump – WinDump [2].
Tshark
Программа tcpdump имеет довольно простой синтаксис
написания правил и фактически является своего рода «не-
устаревающей классикой» среди снифферов. В большин-
стве случаев она продолжает удовлетворять потребности
администраторов, и в ближайшее десятилетие также будет
это делать.
Однако TShark умеет работать с протоколом HTTPS, под-
держивает огромное количество и других сетевых протоко-
лов (более трёх сотен), имеет более информативный вывод
информации о полученных данных.
Для целей данной лабораторной работы TShark не даст
каких-либо существенных преимуществ по сравнению
с tcpdump, тем более обе программы используют одну
и ту же библиотеку libpcap, реализующую API pcap (packet
capture).
Среди полезных ключей для запуска программы можно
выделить следующие:
68
лабораторная работа
>> -a условие_останова_перехвата – указывает условие,
при котором программа завершит своё выполнение; воз-
можно задание разных условий, например по длительно-
сти работы, если в качестве параметра в ключе указать
duration:10, то это укажет программе завершить свою ра-
боту через 10 секунд после её запуска. Например, про-
сматривание информации о приходе UDP-дейтаграмм,
имеющих порт получателя 1234 и адрес отправите-
ля 192.168.1.1 на интерфейсе eth0, в течение 30 секунд
с момента запуска можно осуществить командой:
# tshark -i eth0 src host 192.168.1.1 and dst port 1234 ↵
and udp -a duration:30
>> -b опции_кольцевой_записи – позволяет производить
запись в несколько файлов. Представьте ситуацию,
что вам необходимо сохранять статистику трафика в те-
чение длительного периода времени. Сохранить весь вы-
вод в одном файле в такой ситуации заведомо не полу-
чится. Использование сторонних механизмов ротации
файлов журналов возможно, но не очень удобно. Самое
простое, что можно сделать, – это производить сохране-
ние информации о трафике в нескольких файлах, коли-
чество и размер которых указываются пользователем.
При заполнении одного файла запись продолжается
в следующий. Например, укажем 15 файлов размером
по 100 КБ каждый:
# tshark -b filesize:100 -a files:15 -w traffic_dump.pcap
Запись будет производиться в файлы с именами вида:
traffic_dump_00001_20160317185736.pcap
traffic_dump_00001_20160317185802.pcap
traffic_dump_00002_20160317185806.pcap
...
>> -R фильтр_отображения – позволяет производить
фильтрацию полученных данных по различным критери-
ям (в том числе и на основе данных об уровнях приложе-
ний) и выводить лишь ту информацию, что соответству-
ет заданному условию. Например, фильтр http.request
будет отображать лишь приходящие HTTP. Совместно
с другими параметрами можно рассматривать лишь за-
просы, приходящие на 80-й порт протокола TCP на ин-
терфейсе eth1:
# tshark tcp dst port 80 and tcp -R http.request -i eth1
>> -V– сообщает TShark выводить подробную информацию,
а не отчёты в одну строку на каждый фрейм (пакет, дей-
таграмму);
>> -x – сообщает TShark также печатать содержимое (поле
данных) из полученных пакетов (дейтаграмм, кадров)
в шестнадцатеричном формате и в виде ASCII.
Wireshark
Wireshark (Wireshark Network Analyzer) – это достаточно из-
вестный кроссплатформенный инструмент для захвата
и анализа сетевого трафика, аналогичный tcpdump и tshark,
но с графическим интерфейсом.
май 2016 системный администратор
 лабораторная работа
Wireshark работает с подавляющим большинством из-
вестных протоколов, имеет понятный и логичный графи-
ческий интерфейс на основе GTK+ и мощнейшую систему
фильтров.
Использование графического интерфейса интуитивно
понятно. Для начала захвата достаточно в окне Capture най-
ти в списке Interface List нужный сетевой интерфейс, напри-
мер eth0, и нажать на него.
После чего и начнётся процесс захвата, причём «при-
летевшие» на сетевой интерфейс пакеты (кадры, дейта-
граммы) будут появляться в реальном времени, подобно
получению писем электронной почты. Имеется возможность
«щёлкнуть» на любую из строчек и открыть просмотр со-
держимого, подобно письму электронной почты, после чего
в нижней половине будут показаны структура заголовков,
представленная деревом, и побайтовое наполнение пакета,
как в hex-редакторах.
netstat, ss
netstat – консольная утилита для просмотра списка установ-
ленных сетевых соединений, таблиц маршрутизации, ста-
тистики сетевых интерфейсов и другой полезной сетевой
информации.
На сегодняшний день считается устаревшей, а вме-
сто неё рекомендуется использовать утилиту ss (из ком-
плекта утилит iproute2). ss показывает ту же информацию,
что и netstat, выдавая больше данных о состоянии и о TCP-
сокетах, нежели какие-либо другие утилиты.
Среди полезных ключей для запуска обеих программ
можно выделить следующие:
>> -n – не преобразовывать имена хостов и номера портов
в соответствующие им доменные имена и названия сер-
висов. Отображение в цифровом виде производится зна-
чительно быстрее;
>> -t – выводить информацию лишь по TCP-сокетам. Обра-
тите внимание, что прослушивающие сокеты по умолча-
нию не отображаются, для получения полной картины ис-
пользуйте совместно с ключом -а;
>> -u– выводить информацию лишь по UDP-сокетам (анало-
гично, см. замечание про ключ -a выше);
>> -a– выводить информацию по всем сокетам (то есть вне
зависимости от состояния сокета).
Примеры использования:
1) Показать информацию обо всех TCP-сокетах (в том
числе и слушающих):
$ netstat -t -a -n
$ ss -t -a -n
2) Показать информацию обо всех UDP-сокетах (в том
числе и слушающих):
$ netstat -u -a -n
$ ss -u -a -n
3) Отобразить все установленные TCP-соединения с веб-
сервером. (Соответствие названий сервисов их номерам
согласно рекомендациям IANA смотрите в файле в /etc/
services):
системный администратор май 2016
Карьера/Образование
$ ss -o state established '( dport = :http ↵
or sport = :http )'
$ ss -o state established '( dport = :80 or sport = :80 )'
4) Отобразить все TCP-сокеты с адресом клиента из под-
сети 192.168.1.0/24:
$ ss -t -a src 192.168.1.0/24
lsof
Отображает список открытых файлов и псевдофайлов,
в том числе и сокетов, как локальных, так и протоколов TCP
и UDP.
Примеры использования:
1) Показать все TCP и UDP-сокеты:
$ lsof -i
2) Показать все TCP и UDP-сокеты, связанные с адресом
192.168.1.5:
$ lsof -i@192.168.1.5
$ lsof -i @192.168.1.5
3) То же самое, но при отображении не преобразовывать
адреса хостов и номера портов в доменные имена и назва-
ния сервисов:
$ lsof -i@192.168.1.5 -n -P
4) Показать все TCP-сокеты; при отображении не преоб-
разовывать адреса хостов и номера портов:
$ lsof -i TCP -n -P
5) Показать все UDP-сокеты, связанные с адресом
192.168.1.5; при отображении не преобразовывать адреса
хостов и номера портов:
$ lsof -i UDP@192.168.1.5 -n -P
iptables
Программа iptables используется для взаимодействия су-
перпользователя со структурой и кодом ядра netfilter. Фак-
тически используется для управления правилами и цепочка-
ми правил, определяющими режимы фильтрации сетевого
трафика. В рамках данной работы данная утилита интерес-
на тем, что позволяет просматривать счётчики, имеющиеся
у всех правил и цепочек, то есть получать статистическую
информацию о количестве переданных (принятых) байт
и пакетов (дейтаграмм).
Для просмотра статистики используется следующий син-
таксис вызова:
# iptables -L -v -x -n --line-numbers
То же самое, но только для цепочки INPUT:
# iptables -L INPUT -v -x -n --line-numbers
69
 Карьера/Образование
Назначение ключей:
>> -L– отобразить статистическую информацию;
>> -v– отобразить дополнительную информацию, в том чис-
ле статистику;
>> -x – отображать значения счётчиков с точностью
до байта;
>> -n – не преобразовывать при отображении адреса и но-
мера портов в доменные имена и названия сервисов;
>> --line-numbers – перед каждым правилом выводить
его порядковый номер в цепочке.
Для обнуления значений счётчиков используется ключ -Z:
# iptables -Z
Возможно совмещение с ключом -L для просмотра стати-
стики с последующим обнулением.
Также из полезных функций iptables для исследования
сокетов можно отметить возможность создания фильтру-
ющих правил без указания действия (то есть без «-j дей-
ствие»), такие правила могут использоваться для ведения
статистического учёта.
Например, следующая команда добавит в начало це-
почки INPUT правило для подсчёта пакетов протокола TCP
во входном трафике, идущих с адреса 192.168.1.4:
# iptables -I INPUT -p tcp -s 192.168.1.4
Для удаления правил используется ключ -D:
# iptables -D INPUT -p tcp -s 192.168.1.4
или
# iptables -D INPUT номер_правила
При использовании модулей TCP и UDP (параметры
-p tcp и -p udp) возможно дополнительное указание портов
отправителя и получателя через ключи (--source-port XX,
--destination-port XX, либо --sport XX и --dport XX).
ps
Используется для просмотра списка запущенных процес-
сов в системе. Для просмотра всех процессов в системе
часто используется в следующих формах запуска:
$ ps aux
и на старте, ниже даны примеры простого и работоспособно-
$ ps ax
Данная команда не отображает никакой информации
о сокетах. В рамках данной работы приведена лишь в целях
более полного представления происходящих в операцион-
ной системе процессов.
Может быть полезна для получения дополнительной ин-
формации. Заметим, что утилита lsof в столбце «PID» ото-
бражает идентификаторы процессов, работающих с файла-
ми и псевдофайлами (в нашем случае с сокетами).
70
лабораторная работа
Веб-сервер Apache
В данной работе нужен лишь для придания «веса» процессу
исследований, как солидное программное средство, рабо-
тающее с сокетами.
Задумка заключается в том, чтобы понять и «прочувство-
вать», что только что им написанная и скомпилированная
программа на языке Си способна выступать в роли клиента
и получать данные от веб-сервера. При наличии постоянно-
го прямого подключения к интернету возможно использо-
вание любых известных пользователю и работающих веб-
сайтов с этой целью.
«Прямое подключение» означает возможность обраще-
ния к сайтам на 80-й порт по протоколу TCP без исполь-
зования прокси-серверов для этой цели. Использование
нелегитимных адресов (согласно RFC 1918) и/или транс-
ляция адресов для осуществления подключения не имеет
значения.
Запуск сервера:
# service httpd start
Для проверки работы исследования достаточно и тесто-
вой страницы.
По умолчанию в качестве корневой директории веб-
сервера (то, куда помещать html, php и другие файлы) ис-
пользуется /var/www/html.
Замечание. При включённом SELinux и отсутствии
разрешающих доменов обратите внимание на использу-
емый для файлов и директорий контекст безопасности.
(system_u:object_r:httpd_sys_content_t:s0)
Программы на Си
Ниже приведены простые программы на Си, реализую-
щие клиентское и серверное использование TCP и UDP-
сокетов.
В угоду краткости и понятности (важные требования,
чтобы не отпугнуть начинающих и сомневающихся в сво-
их силах программистов) их простота заключается в том,
что в них во многих привычных местах отсутствуют проверки
получаемых статусов соединений, учёта переданных данных
и проверки самого факта передачи данных.
Несомненно, в реальных условиях эксплуатации подоб-
ных программ не избежать различных доработок, а там,
глядишь, и... «лиха беда начало», и... «у совершенства нет
предела», и... «лучшее враг хорошего». Чувствуете свои
силы и имеете под рукой более сложный код? Тогда – дер-
зайте!
Всем же остальным, кто сомневается в своих силах ещё
го кода.
tcp_client1.c – простой TCP-клиент:
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void main(void)
{
май 2016 системный администратор
 лабораторная работа Карьера/Образование

int s; #include <arpa/inet.h>

char buf[256]="Привет! Hello!\n"; #include <sys/socket.h>
struct sockaddr_in serv_addr;
bzero(&serv_addr, sizeof(serv_addr)); int main(void)
serv_addr.sin_family=AF_INET; {
serv_addr.sin_addr.s_addr=inet_addr("127.0.0.1"); struct sockaddr_in serv_addr, clnt_addr;
serv_addr.sin_port=htons((u_short) 1234);
int s, i, slen = sizeof(clnt_addr), nbytes;
s=socket(PF_INET, SOCK_STREAM, 0);
char buf[256];
connect(s, (struct sockaddr *)&serv_addr, ↵
sizeof(serv_addr));
send(s, buf, strlen(buf), 0); if ((s=socket(PF_INET, SOCK_DGRAM, 0)) == -1)
close(s); {
} perror("Ошибка вызова socket()");
exit(1);
}
tcp_client2.c – по сути, тот же клиент, что tcp_client1.c,
/* Очистка памяти структуры serv_addr. */
но после отправки своей порции данных на сервер memset((char *) &serv_addr, 0, sizeof(serv_addr));
он получает от него ответ и выводит его на консоль (не бо-
лее 255 байт, большее будет утрачено), для этого в коде serv_addr.sin_family = AF_INET;
serv_addr.sin_port = htons(1234);
перед закрытием сокета (строчка close(s);) следует допи-
serv_addr.sin_addr.s_addr = htonl(INADDR_ANY);
сать:
/* Привязка сокета к прослушиваемому порту и адресу. */
int nbytes; if( bind(s , (struct sockaddr*)&serv_addr, ↵
nbytes=recv(s, buf, sizeof(buf)-1, 0); sizeof(serv_addr) ) == -1)
if (nbytes>0) { buf[nbytes]='\0'; {
printf("%s",buf); } perror("Ошибка вызова bind()");
exit(2);
tcp_client3.c – в коде клиента tcp_client2.c самостоя- }

тельно поменяйте местами порядок получения и отправки /* Принимаем входящие соединения. */

данных. На практике существуют TCP-серверы, выдаю- while(1)
щие приветственное приглашение, прежде чем что-то по- {
printf("Ждём подключения.\n");
лучать от клиента. Что-то вроде жизненного случая, ког-
fflush(stdout);
да... вы определились с мыслями куда пойти («выбрали
заведение», по аналогии с «создали сокет»), вошли через if ((nbytes = recvfrom(s, buf, sizeof(buf)-1, 0, ↵
двери заведения (подключились к сокету), ещё не успели (struct sockaddr *) &clnt_addr, ↵
&slen)) == -1)
подумать, что сказать (отправить серверу), а вы уже слы- {
шите в свой адрес: «Свободная касса!» (получили пригла- perror("Ошибка вызова recvfrom()");
шение от сервера), либо более грубое, но чёткое «Чего exit(3);
}
надо?!».
Замечание. Посылаемые в программах сообщения спе- buf[nbytes]='\0';
циально выбраны содержащими как кириллицу, так и ла- printf("Дейтаграмма от %s:%d\n", ↵
тиницу. Сделано это по причине наиболее вероятного ис- inet_ntoa(clnt_addr.sin_addr), ↵
ntohs(clnt_addr.sin_port));
пользования кодировки Unicode и способа кодирования printf("Её содержимое: %s\n", buf);
UTF-8 для записи текстового сообщения. Поскольку сим-
волы кириллицы в этом случае кодируются двумя байтами, }
а латиницы – одним (с использованием ASCII), то при про-
close(s);
смотре сырых данных из сокета, полученных с помощью return 0;
сниффера, требуется изрядное искусство, чтобы разгля- }
деть великий и могучий русский язык в сообщениях. А вот
текстовые строки, закодированные с помощью ASCII, уви- Читайте продолжение лабораторной работы в следую-
дят все и сразу. А потом, если захотят, смогут раскоди- щем номере журнала.  EOF 
ровать и оставшуюся часть сообщения. Как это сделать –
см. [3]. [1] Закляков В. Лабораторная работа. Исследуем сокеты. Часть 1.
udp_client1.c – в коде tcp_client1.c самостоятельно заме- //«Cистемный администратор», №4, 2016 г. – С. 75-79 (http://
ните в строке: samag.ru/archive/article/3179).
[2] Сайт библиотеки WinPcap и программы WinDump – http://www.
s=socket(PF_INET, SOCK_STREAM, 0); winpcap.org.
[3] Грошев А., Закляков П. Информатика: учеб. для вузов – 3 е изд.,
тип сокета с SOCK_STREAM на SOCK_DGRAM. перераб. и доп. – М.: ДМК Пресс, 2015. – 588 с.: цв. ил.
udp_server1.c – простой UDP-сервер: ISBN 978-5-97060-304-8.
[4] Стивенс У. UNIX: разработка сетевых приложений. – СПб.:Пи-
#include <stdio.h> тер, 2003. – 1088 с. ISBN 5-318-00535-7.
#include <string.h>
#include <stdlib.h>
Ключевые слова: сокет, сетевые утилиты, CentOS, Linux.

системный администратор май 2016 71

 Карьера/Образование рейтинг

Визитка

ИГОРЬ ШТОМПЕЛЬ,
инженер, системный администратор. Сфера профессиональных интересов –
свободное ПО, keepercoder@gmail.com

Образование в сети:
введение в программирование на JavaScript
JavaScript один из популярнейших языков программирования, который используется
в большинстве веб-проектов. С его помощью можно создавать и нативные
приложения, как это предлагает делать Microsoft для ОС Windows. А различные
библиотеки и расширения значительно увеличивают сферы его применения

Получить представление об основах программирования >> Специальность:программист

на JavaScript позволяют онлайн-курсы. Мы подготовили >> Лекции:5 лекций
их соответствующий рейтинг. Но традиционно обращаем >> Материалы:текст, слайды
внимание, что курсы, вошедшие в рейтинг, имеют разную >> Уровень сложности:специалисты
сложность, преследуют различные цели. Какие из них под- >> Сертификат:нет
ходят для изучения – решать вам! >> Адрес:  https://mva.microsoft.com/ru/training-courses/​
-javascript-10479
Участники рейтинга
Наш подход
Основы программирования Для сравнения курсов мы определили несколько параме-
>> Авторы: А. Жариков (веб-разработчик с 10-летним ста- тров. Это интерфейс, содержание, иллюстративный мате-
жем, https://geekbrains.ru/users/1) риал, сертификация.
>> Учебное заведение: GeekBrains.ru (https://geekbrains.ru, Каждый из параметров предполагает присвоение оцен-
https://www.zharikov.pro) ки (от 1 до 5), а также каждый параметр имеет свой вес
>> Специальность:программист (от 1 до 5). Умножение оценки параметра на его вес дает
>> Лекции:15 лекций итоговый балл. Сумма итоговых баллов всех параметров
>> Материалы:видео определяет место в рейтинге.
>> Уровень сложности:начинающие Стоит отметить, что максимальный вес мы присвоили
>> Сертификат:да только параметру содержание – 5. На балл ниже был оце-
>> Адрес:https://geekbrains.ru/courses/58 нен параметр интерфейс – 4. А два оставшихся параме-
тра – иллюстративный материал и сертификация – получи-
Введение в JavaScript ли оценку 3.
>> Авторы: Р. Давлеткалиев (CEO проекта Hexlet, https://
ru.hexlet.io/pages/about, https://rakh.im/). Видеокурс «Основы программирования»
>> Учебное заведение:Проект Hexlet (https://ru.hexlet.io/) Образовательный проект GeekBrains (https://geekbrains.ru),
>> Специальность:программист посвященный ИТ-технологиям, опубликовал вводный курс
>> Лекции:7 лекций для программистов JavaScript (см. рис. 1). Его особенность
>> Материалы:видео в том, что в качестве языка программирования используется
>> Уровень сложности:начинающие JavaScript.
>> Сертификат:нет В ходе успешного освоения всех 15 лекций слушатели
>> Адрес:  https://www.youtube.com/playlist?list=PLo6puixMw получат основы программирования, представление о реали-
uSNxJCgadaaavKqq4-ocKPrR; https://ru.hexlet.io/courses/ зации алгоритмов, научатся создавать простые программы
javascript_101 и т.д. Таким образом, курс ориентирован на тех, кто хочет
получить представление о программировании, при этом
Экспресс-погружение в разработку приложений он базируется на возможностях языка JavaScript.
на JavaScript Лекции начинаются с введения, в котором дается пред-
>> Авторы:К. Кичинский (эксперт по стратегическим техно- ставление о назначении всего курса и проводится опреде-
логиям Microsoft, https://habrahabr.ru/users/kichik) ленная подготовка. В нем акцентируется внимание на том,
>> Учебное заведение:ИНТУИТ (http://intuit.ru) что для эффективного освоения курса необходимо изучать

72 май 2016 системный администратор

 рейтинг Карьера/Образование

все уроки последовательно, иначе возникнет «каша в голо- Видеокурс «Введение в JavaScript»
ве». Это понятная установка для вводного курса в програм- Следующий курс от проекта Hexlet (https://ru.hexlet.io), пред-
мирование. Кроме того, предлагается в качестве домашнего лагающего для изучения практические курсы по программи-
задания пройти вебинар «Личные качества успешного про- рованию.
граммиста» [1]. Курс по JavaScript является вводным, отличается ши-
Далее обосновывается выбор JavaScript для изучения ос- роким охватом основных возможностей языка. При этом
нов программирования и показывается пример первой про- курс оставляет за пределами рассмотрения такие темы,
граммы («Hello, World!») на нем. как DOM, эффекты, анимация, библиотеки, фреймворки,
Затем обсуждается работа с переменными и исследуют- AJAX, взаимодействие с серверной частью, отладка, тести-
ся типы данных. рование и т.п. Всего в курсе семь лекций.
Далее изучаются все базовые инструменты и конструк- Слушатели начнут со знакомства с JavaScript (нестрогая
ции (алгоритмы, блок-схемы, оператор if, логические опера- типизация, прототипно-ориентированный язык, сценарный
ции, циклы do, while, for, массивы, функции). и т.п.), его истории.
Заключительные лекции посвящены созданию неболь- Вторая лекция посвящена строкам и объектам, прототи-
шой игры и обсуждению карьеры программиста. пам. В ней же уделяется внимание множеству сопутствую-
Лекции сопровождаются домашним заданием. Его вы- щих проблем (экранированию, различию между строками
полнение не контролируется, но, конечно, для лучшего по- и символами, конкатенации, работе со строками и числами,
нимания материала его необходимо выполнить. Кроме того, сравнению строк). Кроме того, рассматриваются операторы
автор уделяет внимание разбору домашних заданий. if, for, while, switch, break.
Интерфейс курса удобен. В центре экрана расположе- Следующие две лекции посвящены функциям и замыка-
но окно воспроизведения видео, для которого используется ниям, а также наследованию.
собственный движок. Он позволяет осуществлять стандарт- В заключительных лекциях рассматриваются массивы,
ные операции (воспроизводить/останавливать видео, регу- регулярные выражения и сравнения.
лировать громкость звука, показывать оставшееся до кон- В целом материал в уроках подается интересно и снаб-
ца время воспроизведения, разворачивать видео на весь жен хорошими иллюстрациями, но о них расскажу чуть
экран или возвращать в исходное состояние). Интересная ниже. Данный курс будет полезен начинающим разработ-
особенность – выбор скорости воспроизведения (от 0.25x чикам.
до 2x). Под окном доступна ссылка для скачивания видео.
Справа от окна с видео доступен выбор любой лекции кур-
Таблица 1. Рейтинг курса «Основы программирования»
са. Что очень удобно в плане навигации. Стоит отметить,
что пройденные лекции помечаются. Поставим интерфейсу
курса максимальный балл. Оценка Коэффициент Итоговый
«Содержание» (С) балл
Иллюстрации к курсу демонстрируются в видео лек-
ции, для самостоятельной загрузки отдельно от видео они Содержание 5 5 25
не доступны. Хотя доступно для загрузки само видео лек- Интерфейс 5 4 20
ций. Кроме того, в видео лекций демонстрируется работа Иллюстративный материал 5 3 15
с кодом, показывается результат выполнения его работы Сертификация 4 3 12
и т.п. Таким образом, за иллюстративный материал – мак-
72
симальный балл.
Несколько слов о сертификации.
После успешного прохождения кур-
Рисунок 1. Курс «Основы программирования»
са слушатели получают сертификат.
Он выдается только в электронном
виде. При просмотре сертификата
отображается ссылка на него, а также
ссылка на его PDF-версию.
Говоря о статусе сертификации не-
обходимо отметить, что в ИТ-секторе
широкого признания пока не полу-
чили различные сертификаты, вы-
данные не в результате успешного
освоения авторизованных курсов.
Но тем не менее они характеризуют
своего владельца как способного
к самообучению, пунктуального спе-
циалиста.
Итак, особенность курса в том,
что он ориентирован на освоение ос-
нов программирования на базе языка
программирования JavaScript.

системный администратор май 2016 73

 Карьера/Образование
Видеокурс проекта Hexlet размещен на портале
Youtube.com. На нем он доступен в виде плейлиста, что об-
легчает навигацию по лекциям. Так, у слушателей есть воз-
можность осуществлять переход из текущей лекции в любую
другую, с которой необходимо ознакомиться или изучить.
Это повышает удобство освоения и восприятия курса. В це-
лом это единственный видеокурс в нашем рейтинге, кото-
рый размещен на одном из популярных видеосервисов. По-
ставим за интерфейс максимальный балл.
Во время лекций осуществляется демонстрация пре-
зентаций прямо в видео, на которых присутствуют рисун-
ки, демонстрируется код, который выделяется особо (цве-
том) на фоне текста, производится демонстрация работы
программ и т.д. Кроме того, показывается работа с кодом,
вывод результата его работы в терминале Mac OS. Таким
образом, за иллюстративный материал – максимальный
балл.
Возможность получить сертификат после успешного
прохождения курса не предоставляется.
Курс носит вводный характер, затронуты базовые воз-
можности JavaScript, который используется в большом ко-
личестве современных веб-проектов.
Видеокурс «Экспресс-погружение в разработку
приложений на JavaScript»
Курс «Экспресс-погружение в разработку приложений
на JavaScript» от Microsoft Virtual Academy [2] (см. рис. 3)
Таблица 2. Рейтинг курса «Основы разработки сайтов и веб-приложений»
Оценка Коэффициент
«Содержание» (С)
Содержание 5 5
Интерфейс 5 4
Иллюстративный материал 5 3
Сертификация 0 3
Рисунок 2. Курс «Введение в JavaScript»
74
рейтинг
ориентирован на начинающих в области веб-разработки
с использованием возможностей языка JavaScript. Обучаю-
щиеся, использующие продукцию Microsoft, получат общее
представление о JavaScript и инструментах.
В частности, слушатели начнут знакомство с основами
языка JavaScript, а продолжат исследованием создания
WinRT-приложений, кроссплатформенной разработки, соз-
дания игр и расширенных возможностей. Основная осо-
бенность – использование технологий Microsoft (TypeScript,
WinRT, WinJS, Visual Studio Tools for Apache Cordova, Node.js
Tools for Visual Studio, Web Essentials for Visual Studio и др.).
Лекции разбиты на пять «разделов». Слушатели начнут
изучение с истории развития JavaScript и перспектив рабо-
ты с ним. Далее автор знакомит с возможностями открытого
языка TypeScript, который используется для создания мас-
штабируемых приложений, показывается его соотношение
с JavaScript. Кроме того, показывается процесс использова-
ния TypeScript в Node.js (установка, компиляция).
Следующая лекция посвящена WinRT-приложениям. Рас-
крывается значение универсальных приложений в термино-
логии Microsoft (приложения для Windows и Windows Phone)
и контекст их появления. Затем более подробно рассма-
триваются WinRT (набор API, которые написаны с учетом
асинхронной модели взаимодействия) и WinJS (JavaScript-
библиотека для реализации Windows-приложений). Приво-
дятся примеры использования этого API (доступ к файлам,
взаимодействие с датчиками, взаимодействие с метками).
Показываются соотношение WinRT и JavaScript и возмож-
ности, которые в результате появляются у разработчиков
(доступ к системным ресурсам, гибридные сценарии и т.д.).
Кроме того, показываются современное состояние и воз-
Итоговый можности WinJS.
балл
Следующая большая тема – кроссплатформенность. Да-
25 ется представление о том, что это такое. В том числе с учетом
20 специфики нативных и веб-приложений, требований к крос-
15 сплатформенности раскрывается спектр веб-платформы
0
(веб-сайт, расширенные веб-сайты, хостинг веб-сайтов,
хостинг веб-приложений, упаковка приложений), в соот-
60
ветствующем контексте говорится и о веб-технологиях
(HTML5; CSS – легкая стилизация, от-
зывчивость дизайна для разных форм-
факторов; возможность работы offline;
множество JavaScript-библиотек; со-
общество Open Source и др.). Кроме
того, выделяются проблемы (вендор-
ные префиксы, доступ к аппаратным
ресурсам при интеграции с ОС и др.).
Особое внимание уделено использо-
ванию Apache Cordova.
Предпоследняя лекция посвящена
созданию игр и работе с графикой
на базе JavaScript. Среди технологий
и инструментов, которые в центре вни-
мания: Babylon.js (работа с WebGL),
Platformer Game Starter Kit, Tower Game
Starte Kit. Отдельное внимание уде-
лено реализации работы с GamePad
на базе JavaScript и его расшире-
ний. В заключительной лекции дается
представление о том, на что обратить
май 2016 системный администратор
 рейтинг Карьера/Образование

внимание (специфические возможности использования современного состояния и возможностей использования

JavaScript) при использовании Node.js на базе Node.js fot JavaScript и его расширений на базе технологий Microsoft,
Visual Studio, а также Web Essentialы for Visual Studio, рас- которые лежат в основе как нативных, так и веб-приложений.
сказывается о некоторых областях использования и месте Таким образом, курс ориентирован на начинающих
JavaScript в них: интернет вещей, устройства (например, JavaScript-разработчиков, специализирующихся на исполь-
Arduino), естественный ввод (NUI) – Kinnect и т.д., новые зовании технологий Microsoft.
экраны (OculusRift и WebGL).
В целом курс будет полезен тем, кто хочет получить об-
щее представление о современном состоянии JavaScript Два курса «Введение в JavaScript» и «Экспресс-погружение
и сферах его использования. В нем хорошо отражены в разработку приложений на JavaScript» уступили лидеру
эти вопросы, но необходимо учитывать специфику – ориен- рейтинга «Основы программирования» из-за того, что они
тацию на использование технологий и подходов Microsoft. не предоставляют возможность сертификации. В остальном
Интерфейс видеокурсов Microsoft Virtual Academy осно- курсы набрали равное количество баллов.  EOF 
ван на собственном движке. Верхняя часть экрана отведе-
на под воспроизведение материалов. Для видео доступна [1] Вебинар «Личные качества успешного программиста» на пор-
перемотка, выбор качества (для данного курса от 360p тале GeekBrains.ru – https://geekbrains.ru/events/36.
до 720p), кнопка загрузки текущего видео с выбором ка- [2] Портал Microsoft Virtual Academy – https://mva.microsoft.com.
чества (также от 360p до 720p), выбор скорости воспро-
изведения (от 1/4 до 2х), кнопка управления громкостью,
Таблица 3. Рейтинг курса «Экспресс-погружение в разработку приложений на JavaScript»
кнопка разворачивания видео на полный экран/сворачива-
ния видео.
Для отображения презентаций используется PowerPoint Оценка Коэффициент Итоговый
«Содержание» (С) балл
Online (открывается в той же части окна, что и видео). Сра-
зу под областью воспроизведения видео и отображения Содержание 5 5 25
презентаций размещаются три кнопки. Первая позволяет Интерфейс 5 4 20
получить сводную информацию о курсе, вторая – изучать Иллюстративный материал 5 3 15
курс, а третья – загрузить материалы курса (если доступны). Сертификация 0 3 0
Ниже полосы с этими кнопками отображается соответству-
60
ющее активной кнопке содержимое. Например, для второй
это будут «разделы» с материалами курса.
Таблица 4. Итоговый рейтинг курсов
Но движок не лишен и некоторых недостатков. Так, не до-
ступна возможность произвольного перехода из текущего
материала (видео, слайд, тест) на любой другой. Только Курс Итоговый
на один «шаг» (на лекцию или слайд) вперед или назад. балл

Для перехода в произвольную лекцию требуется прокрутить Основы программирования 72

страницу вниз и найти в списке необходимую, что, конеч- Введение в JavaScript 60
но, вызывает понятные неудобство, если нужно «прыгнуть»
Экспресс-погружение в разработку приложений 60
через три лекции на определенную презентацию. Несмотря на JavaScript
на то что отсутствует возможность произвольного перехода
на необходимую лекцию, слайд, тест,
интерфейс получает максимальный
Рисунок 3. Курс «Экспресс-погружение в разработку приложений на JavaScript»
балл, так как предоставляет возмож-
ность загрузки видео, слайдов, выбор
скорости воспроизведения.
Несколько слов об иллюстрациях.
Все лекции курса сопровождаются
презентациями, которые содержат
рисунки, таблицы и т.п., что улучшает
восприятие учебного материала. Пре-
зентации, как было сказано выше,
открываются в той же части окна,
что и видео, в PowerPoint Online, а так-
же доступны для загрузки в формате
.pptx. Поставим за иллюстративный
материал максимальный балл.
К сожалению возможность полу-
чить сертификат после прохождения
курса отсутствует.
Курс носит обзорный характер,
затронуты все основные аспекты

системный администратор май 2016 75

 Карьера/Образование
Визитка
ВЛАДИМИР ГАКОВ, писатель, специалист по научной фантастике, журналист, лектор. Окончил физфак МГУ. Работал в НИИ. С 1984 г. на творческой
работе. В 1990-1991 гг. – Associate Professor, Central Michigan University. С 2003 г. читает курс по истории бизнеса в Институте бизнеса и делового
администрирования (ИБДА) Российской академии народного хозяйства и государственной службы (РАНХиГС). Автор 8 книг и более 2000 публикаций
Семьдесят лет компьютерной эры
Первая декада: 1946 – 1956
Продолжаем публикацию хроник возникновения, становления и развития
информационных технологий*
Режим реального времени
Это десятилетие прошлого века вместило в себя столько
событий в интересующей нас области, сколько не приходи-
лось на предыдущие четыре вместе взятые. Но прежде не-
сколько слов о том, что произошло незадолго до описывае-
мого периода – в конце 1930-х и в первой половине 1940-х.
Как, надеюсь, стало уже привычным для читателей – а имен-
но в двух режимах, «реального времени» и «виртуальном».
Если в двух словах, то происходила «гонка за приоритет».
За право быть названным «отцом современного компьюте-
ра» – притом что соискатели (с некоторыми читатели «СА»
уже успели познакомиться подробнее в соответствующих
статьях, опубликованных за последние годы) в большинстве
случаев понятия не имели об успехах коллег. Время было
такое – предвоенное и военное.
Немцы не без оснований считают пионером «своего» – ин-
женера Конрада Цузе. В 1937 году он, еще студент последне-
го курса Берлинского политехнического института, не знако-
мый ни с проектом «дифференциальной машины» Бэббиджа,
ни с работами Джона Буля, на квартире родителей построил
первую полностью программируемую механическую цифро-
вую машину – Z1. Она действовала на основе двоичного кода,
содержала блок памяти, а программа вводилась с перфолен-
ты на барабане... В том же году Цузе приступил к постройке
модели Z2 (закончил он ее спустя два года), которую многие
считают первым в мире электромеханическим компьютером.
Далее последовали первая в мире релейная ЭВМ с программ-
ным управлением – Z3 (закончена в 1941-м) и Z4 – единст-
венная из машин Цузе, уцелевшая после бомбежек Берлина
авиацией союзников в последние месяцы войны. А еще не-
мецкий инженер в 1943-м создал первую цифровую специ-
ализированную управляющую вычислительную машину – S2.
За конкурентами на другом берегу Атлантики дело не ста-
ло. За год до создания модели Z1 Джордж Стибитц из Bell
Telephone Laboratories построил первую электромеханиче-
скую схему – «двоичный сумматор». А в 1940-м продемон-
стрировал новую машину – Complex Number Calculator, так-
же претендующую на право называться первым цифровым
компьютером.
76
хроники ИТ
И только много десятилетий спустя обнаружился еще
один американский «отец компьютера» – болгарин по проис-
хождению Джон Винсент Атанасов, преподававший физику
и математику в Университете штата Айова. Не зная о рабо-
тах Цузе, Атанасов независимо совершил революционный
переход к двоичной системе и вместе со студентом-выпуск-
ником Клиффордом Берри в 1939 году построил прототип
электронного цифрового компьютера ABC (Atanasoff Berry
Computer). И к 1942 году закончил работу над «апгрейдом» –
машиной, способной решать системы линейных уравнений.
Правда, эта счетная машина не была программируемой,
и в ней отсутствовало CPU.
Изобретением Атанасова никто тогда не заинтересовал-
ся, и о нем вскоре забыли. Удивительно другое – об ABC
ни словом не обмолвился и Джон Мокли (или Маучли),
долгое время считавшийся (вместе с Преспером Эккертом)
создателем первого компьютера ENIAC, с которого мы и ве-
дем нашу летопись! А ведь именно встреча с Атанасовым
и осмотр его машины в действии натолкнули Мокли на ряд
принципиальных технических идей, каковые были использо-
ваны в его машине...
В 1938 году два американца, прославивших свои фами-
лии, – Уильям Хьюлетт и Дэвид Паккард, создали первый
тоновый генератор. А затем и фирму с уставным капиталом
$538 для производства электронного оборудования, назва-
ние которой, полагаю, озвучивать нет нужды. В том же 1938-м
был открыт принцип электрохимического копирования – ксе-
рография. Годом позже с помощью антенны, установленной
на верхушке нью-йоркского небоскреба Empire State Building,
была проведена первая публичная телепередача. А в по-
следний год декады, 1940-й, состоялась демонстрация цвет-
ной телевизионной системы американца Питера Голдмарка.
В том же году эксперименты по дистанционному управлению,
проведенные сотрудниками Bell Telephone Laboratories, при-
вели к созданию первого терминала.
От практиков не отставали и теоретики. В 1936 году ан-
глийский математик Алан Тьюринг, работавший в ту пору
в Принстонском университете, ввел понятие абстрактного
эквивалента алгоритма, или вычислимой функции, позже
май 2016 системный администратор
 хроники ИТ
получившее название «машины Тьюринга». А когда началась
война, Тьюринга привлекли к самой что ни на есть приклад-
ной деятельности – к расшифровке немецких секретных ко-
дов, передаваемых по радио капитанам субмарин (операция
Enigma). Взломать коды удалось с помощью компьютера
Colossus, созданного в Манчестерском университете под ру-
ководством Тьюринга. В 1944 году появился Colossus Mark II,
который использовался при подготовке высадки союзников
в Нормандии... Наконец, в 1947-м Тьюринг уже опубликовал
первую из серии статей об «искусственном интеллекте».
Переход в виртуальный режим
В предвоенное десятилетие перестала быть «литератур-
ной Золушкой» и научная фантастика. Но в интересующей
нас теме откровения по-прежнему были редки. Тогдашняя
фантастика была увлечена темой роботов, точнее, андрои-
дов – человекоподобных искусственных существ, о перспек-
тивах же «электронных мозгов» писали редко и неохотно...
Тем не менее знаменитый цикл Айзека Азимова, завер-
шившийся изданием книги «Я, робот» (1950), как и дра-
матичный рассказ Лестера
Дель Рея «Руки твои» (1945) –
об Адаме и Еве из «ветхого за-
вета» роботов! – много нового
сказали о психологии, мо-
делях поведения созданных
в лабораториях «железяк»,
однако, явно обладавших ис-
кусственным интеллектом!
То есть как раз о том, о чем
размышляли в своих стать-
ях Тьюринг, Эшби, Винер
и другие «отцы» кибернети-
ки. По крайней мере своео-
бразная этическая доктрина
Азимова – Три Закона Робо-
техники – вполне применима Сотрудники Bell Telephone Laboratories Джон
к любым формам «нечелове-
ческого» интеллекта.
Зато в рассказе Мюррея Лейнстера «Логик по имени
Джо» (1946) главный «герой» – это самый настоящий ком-
пьютер! Железный ящик с вращающимися бобинами пер-
фолент и мигающими лампочками на панелях, как и поло-
жено уважающему себя оракулу, рассказывает людям все,
что им хочется услышать. Даже если это неправда... Остает-
ся только гадать, откуда писатель узнал о внешнем облике
машин, которые тогда мог наблюдать воочию лишь весьма
узкий круг специалистов с высшей формой допуска к во-
енным секретам...
Также ясно «зрил в будущее» и Артур Кларк, не толь-
ко предсказавший в статье «Внеземные коммуникации»
(1945) геостационарные орбитальные спутники связи,
но и отчетливо увидевший, сколь радикально новые комму-
никации изменят нашу жизнь. Писатель потом неоднократ-
но пенял себе, что не сообразил вовремя запатентовать
идею: не пришлось бы всю жизнь зарабатывать научной
фантастикой! Хотя с ним мог бы поспорить за приоритет
и американец Джордж Смит, также описавший в рассказе
«QRM-Межпланетная» (1942) орбитальные спутники свя-
зи. А в повести Роберта Хайнлайна «Уолдо» (1942) задолго
системный администратор май 2016
Карьера/Образование
до того, как к этой же идее пришли ученые и конструкторы,
описаны дистанционно управляемые электромеханические
манипуляторы.
Под конец десятилетия увидело свет еще одно произве-
дение научной фантастики – одно, но какое! Автор его в от-
личие от энтузиастов-инженеров задумался о неприятных
и даже опасных возможных социальных последствиях,
которые несут человечеству новые информационные тех-
нологии. Этим автором был английский писатель Джордж
Оруэлл, предвосхитивший в своей знаменитой антиутопии
«1984» (1949) многие «прелести» тоталитаризма. И среди
прочих – всевидящее око Большого Брата: телескрин...
Режим реального времени
Пока в Европе шла война, американские ученые могли срав-
нительно спокойно работать над тем, в чем остро нуждались
прежде всего военные: над вычислительной техникой.
В 1942 году Ванневар Буш в MIT модифицировал свой
«дифференциальный анализатор» (новая модель веси-
ла 200 тонн), а Атанасов и Берри в Университете штата Айова
завершили постройку своей машины ABC. Но то были еще
робкие попытки одиночек,
вызывавшие скепсис даже
у тех, кому, как говорит-
ся, на роду было написано
смотреть вперед. Напомню,
что вошедшую в анналы про-
гнозов – точнее, «антипро-
гнозов» – фразу: «Я думаю,
мировой рынок компьюте-
ров вряд ли превысит пять
штук», – произнес в 1943 году
не кто-нибудь, а тогдашний
глава IBM Томас Уотсон-стар-
ший!
Ждать, когда он пожале-
Бардин, Уильям Шокли и Уолтер Браттейн ет о сказанном, пришлось
недолго. И года не прошло,
как коллега Уотсона – Говард
Эйкен, так же не ведая об изобретении Атанасова и Берри,
построил в Гарвардском университете (совместно с той же
IBM) первый компьютер широкого профиля – Marc 1 (IBM
ASCC). Первые программы для этой машины написала
Грейс Марри Хоппер, впоследствии одна из самых ярких
звезд Компьютерной эры. Хотя самый первый алгоритми-
ческий язык программирования – Plancalcul – создал, по-
видимому, все тот же Цузе в 1945-1946 годах.
И, наконец, 1 января 1946-го, как уже говорилось, стар-
товала собственно Компьютерная эра. В США состоя-
лась презентация ENIAC (Electronic Numerical Integrator
and Computer) Мокли и Эккерта – компьютера, созданного
по заказу армии, нуждавшейся в более точных и высокоско-
ростных средствах составления таблиц для баллистиков.
В ином направлении двигалась мысль других первопро-
ходцев. Английский математик Джон фон Нейман в 1945 году
разработал первую машину, которая могла сохранять про-
граммы и базы данных в памяти, – EDVAC (Electronic Discrete
Variable Computer). Годом позже Джон Тьюки впервые ис-
пользовал термин «бит», а еще через год англичанин Росс
Эшби ввел термин «самоорганизующаяся система».
77
 Карьера/Образование
Переход в виртуальный режим
Первое послевоенное десятилетие не случайно было назва-
но критиками Золотым веком англо-американской science
fiction: произведения этого жанра, новый взлет которому
дало вхождение человечества в три эры сразу – Космиче-
скую, Атомную и Компьютерную, полились бурным потоком.
В интересующей нас теме тон по-прежнему задавали
не компьютеры, а роботы. Они все так же вступают в конф-
ликт с человеком (мучимые извечным «франкенштейновым»
комплексом по отношению к Cоздателю) в рассказе «Контур
сострадания» (1955) Джона Уиндэма, служат «карательными
органами» в тоталитарном обществе – Страж-Птица из одно-
именного рассказа Роберта Шекли (1952) и Стальной Пес
из романа Рэя Брэдбери «451 по Фаренгейту» (1953).
Есть и более мирные профессии для «стальных братьев на-
ших меньших»: боксеры (рассказ Ричарда Мейтсона «Сталь-
ной человек», 1956), торговцы (рассказ
Фрица Лейбера «Дрянной день для тор-
говли», 1953), актеры (повесть Уолтера
Миллера «Рабочий сцены», 1955).
И у этих механических созданий –
те же проблемы, что и у их творцов. «Сво-
бодный» робот не может получить ни ра-
боты, ни кредита (рассказ Дэниэла Киза
«Роботов просим не обращаться», 1952),
в отношении роботов проводится по-
литика апартеида (рассказ Альфреда
Коппела «Только для белковых», 1953).
А в повести Шекли «Билет на планету
Транай» (1955) домашние роботы наме-
ренно выпускаются с дефектами, что-
бы люди могли выместить на них злость ом Сергея Лебедева строили
Под руководств
и ощутить собственное превосходство. универсальную ЭВМ с хранимой программой
Режим реального времени
Западные ученые, разумеется, не знали, что и их коллеги
за «железным занавесом» тоже не сидели сложа руки. Хотя
о первых успехах советских электронщиков понятия не име-
ли и соотечественники: вычислительную технику строили
«втихаря», в обстановке строжайшей секретности, а вслух
со всех трибун громили «буржуазную лженауку» киберне-
тику...
Начало Компьютерной эры в СССР относится к первым
послевоенным годам. В 1947 году под руководством Сергея
Лебедева начали строить универсальную ЭВМ с хранимой
программой – МЭСМ (Малая электронная счетная машина).
Спустя год в Москве был создан Институт точной механи-
ки и вычислительной техники (ИТМиВТ) АН СССР, первым
директором которого стал Николай Бруевич. В том же году
вышло Постановление Совмина о создании специального
конструкторского бюро СКБ-245 при московском заводе
САМ. Задача перед новым «почтовым ящиком» ставилась
предельно конкретная: строительство вычислительной тех-
ники для нужд обороны. Именно из цехов и лабораторий
СКБ-245 вышли первые советские серийные ламповые
машины «Стрела», «Полет» и «Оператор», а также пер-
вые электронные – М-20, «Урал-1», «Погода», «Кристалл»,
М-205 и М-206. И в 1950 году в Энергетическом институте
АН СССР под руководством Исаака Брука начались работы
по созданию первой отечественной ЭВМ – М-1.
78
хроники ИТ
Для решения всех этих задач требовались кадры. На пер-
вых порах главной кузницей их стало отделение прикладной
математики МИАН (создано в 1953 году, позднее выделилось
в одноименный НИИ, который возглавил Мстислав Келдыш,
впоследствии – президент Академии наук). В 1955 году был
создан Вычислительный центр АН, чуть позже аналогичные
центры открылись в Киеве и Ереване.
Переход в виртуальный режим
Что касается собственно кибернетики, то чаще всего в фан-
тастике первой половины 1950-х попадаются на глаза опи-
сания (или просто упоминания мельком) бортовых ЭВМ кос-
мических кораблей. Иногда, впрочем, в роли компьютеров
выступают какие-то маловразумительные «управляющие
полетом звездолета роботы», а курс порой прокладывал-
ся с помощью... логарифмической ли-
нейки, после чего расчеты на бумаге
отдаются на проверку бортовой ЭВМ!
Примеры можно выписывать до беско-
нечности: повесть «Поколение, достиг-
шее цели»  (1953) Клиффорда Саймака,
романы «Пески Марса» (1951) Кларка,
«Астронавты» (1951) и «Магелланово об-
лако» (1955) Станислава Лема, трилогия
Георгия Мартынова «Звездоплаватели»
(1954-1959). Правда, в дилогии послед-
него, «Каллисто» (1957) и «Каллистяне»
(1960), инопланетная цивилизация уже
активно использует «вычислительные
машины» в управлении «народным хо-
зяйством».
Кроме того, суперкомпьютеры на-
– МЭСМ
чинают и выигрывают (или проигрыва-
ют – другому «лому», то есть еще более
мощной ЭВМ!) войны, как это описал Шекли в рассказе
«Детский мат» (1953), распутывают преступления (рассказ
Фрэнка Райли «Кибер-Холмс», 1955). В худшем вариан-
те – его описал Курт Воннегут в романе «Механическое пи-
анино» (1952) – человечество добровольно перекладывает
на плечи машины все свои проблемы, включая управлен-
ческие и экономические. А Лем в рассказе «ЭДИП» (1954)
предупреждает насчет возможности создания в будущем
кибернетического Большого Брата, который через сети
(Лем есть Лем – 1954 год!) сможет узнавать мысли и настро-
ения граждан и «стучать» куда надо на неблагонадежных!
Режим реального времени
Буквально каждый год первого десятилетия Компьютерной
эры приносил прорыв за прорывом.
1947 год. В США основана научно-образовательная Ас-
социация по вычислительной технике (ACM – Association
for Computing Machinery). Сотрудники Bell Telephone
Laboratories Уильям Шокли, Уолтер Браттейн и Джон Бардин
продемонстрировали свое изобретение, обеспечившее вы-
числительной технике решающий толчок вперед: точечный
транзисторный усилитель (в следующем году вся троица
приобрела патент на его изобретение). И англичанин Рог
Мурз создал первый радиомикрофон.
1948 год. Том Килберн и Фредди Уильямс в Манчесте-
ре запустили первую программу на компьютере «Малыш»
май 2016 системный администратор
 хроники ИТ
(Baby). Их коллега Морис Уилкс построил в Кембридже
EDSAC (Electronic Delay Storage Automatic Calculator) вычис-
лительную машину, почти вшестеро более производитель-
ную, чем все предшественницы.
1949 год. Джей Форрестер впервые использовал маг-
нитные железные сердечники в качестве основной памяти.
(Патент был получен только в середине 1950-х, сама же маг-
нитная пленка создана в США в 1942-м.) А создатель теории
информации Клод Шеннон из MIT построил первую в мире
машину для игры в шахматы!
И, наконец, в последний год декады компьютер SEAC
(Standards Eastern Automatic Computer) купило для сво-
их нужд Американское национальное бюро стандартов.
В том же году в США начались разработки одного из пер-
вых «военных» компьютеров – SAGE (Semi Automatic Ground
Environment), предназначенного для сбора и обработки ин-
формации с радарных станций.
За первое десятилетие Компьютерной эры возникли мно-
гие компании, чьи имена сегодня у всех на слуху, в частнос-
ти Wang Laboratories (1951; в том же году созданная ранее
Coronado Corporation стала называться Texas Instruments
Incorporated) и Commodore (1954). В 1955-м слияние
Remington-Rand и Sperry Gyroscope привело к образованию
Sperry-Rand, а еще через два года от нее отпочковалась
Control Data Corporation.
Почти ежегодно обновлялся парк действующих машин.
Начало положил запущенный в 1951 году первый коммер-
ческий компьютер – английский MARK 1 (чтобы не спутали
с американским «гарвардским» тезкой, британскую машину
как только ни называли: Manchester Mark II, MUDC, MUEDC,
даже MADAM!). В том же году Мокли и Эккерт, продав свою
компанию фирме Remington (ныне Unisys), завершили по-
стройку первого американского коммерческого компью-
тера – UNIVAC. «Новичка» сразу же проверили: во время
президентской кампании 1952 года, спустя всего час после
закрытия избирательных участков UNIVAC точно предсказал,
с каким процентом Эйзенхауэр сокрушит своего конкурента!
В том же 1951-м Джей Форрестер и Кен Олсен в MIT построи-
ли первый компьютер, работавший в режиме реального вре-
мени, – Whirlwind («Вихрь»). Годом позже появился EDVAC,
еще через год – первый (если не считать модель SSEC) ком-
пьютер фирмы IBM с системой хранения команд: модель 701.
Параллельно стремительно развертывалась «кремние-
вая революция». В 1954 году Texas Instruments объявила
о начале коммерческого производства кремниевых тран-
зисторов, годом позже один из «отцов» полупроводников,
Уильям Шокли, основал компанию Shockley Semiconductor.
А путь от первых экспериментальных моделей ЭВМ на тран-
зисторах до полностью транзисторного суперкомпьютера
CDC 1604, построенного Сеймуром Крэем для Control Data
Corporation, занял всего два года, с 1956-го по 1958-й!
Переход в виртуальный режим
Любопытно, что уже в начале 1950-х фантасты задумались
и над такими «фантазиями», как суперкомпьютеры. В три-
логии «Основание» (1951-1954) Азимова ученые могут про-
считывать даже ход истории – разумеется, с помощью ЭВМ.
А в серии азимовских же рассказов о гигантском компьютере
Мультиваке – «Выборы» (1955), «Последний вопрос» (1956),
«Все грехи мира» (1958) – электронный «герой» не только
системный администратор май 2016
Карьера/Образование
«обеспечивает» выборы (для этого машине хватает мнения
лишь одного среднестатистического избирателя!), но и...
останавливает рост энтропии во Вселенной! Наконец, в рас-
сказе «Чувство силы» (1958) обленившееся человечество
вынуждено заново вспомнить арифметику, чтобы установить
контакт со своими электронными благодетелями...
Суперкомпьютер обнаруживает истинное имя Всевышне-
го в парадоксальной новелле Кларка «Девять миллиардов
имен Бога» (1953). А на вопрос ученых: «Есть ли Бог?» – дру-
гая машина отвечает: «Теперь – есть» (рассказ Фредерика
Брауна «Ответ», 1954). И уж совсем грустную историю –
будущее, в котором неразумное человечество уничтожило
себя, а созданная им «умная» техника продолжает функ-
ционировать по инерции, – рисуют уже упомянутые Миллер
и Брэдбери в рассказах «Тупой официант» (1952) и «Будет
ласковый дождь» (1950) соответственно.
Впрочем, не все были настроены столь мрачно. Напри-
мер, в рассказе Фрица Лейбера «Бедный супермен» (1951)
за суперкомпьютер, к которому почтительно обращаются
экономисты, ученые, правительство и военные, все ответы
пишет спрятанный в недрах машины мужичок, употевший
от натуги и охлаждающий себя пивком!
Обозначились и первые серьезные подходы к теме, которая
десятилетиями позже станет одной из магистральных: чудеса
и опасности виртуальной реальности. Это и «говорящие сте-
ны» (нечто вроде «чата» и социальных сетей!) в романе Брэд-
бери «451 по Фаренгейту», и своего рода «виртуальная пор-
нография» в рассказе Кларка «В ожидании патента» (1954).
Потрясающий философский образ «почти живой» электрон-
ной спутницы космических странников (она моделирует «но-
вые реальности», опекает, утешает, ведет философские ди-
алоги) в фантастической поэме «Аниара» (1956) шведского
классика, нобелевского лауреата Харри Мартинсона. Коро-
че, литературная фантастика приняла вызов ученых.
Режим реального времени
В первой половине 1950-х увидела свет компьютерная пе-
риферия. В 1952 году появились накопитель на магнитной
ленте и первый высокоскоростной принтер, разработан-
ный в Remington-Rand для UNIVAC. Кроме того, в 1954 году
под руководством Джина Амдала в IBM создали первую
операционную систему для первой машины с плавающей
арифметикой. И спустя два года – первый жесткий диск
RAMAC 305 с памятью 5 Mб.
Семимильными шагами шло и развитие «софта». Уже
в 1952 году упоминавшаяся ранее Грейс Марри Хоппер соз-
дала язык Assembly и в том же году разработала современ-
ную концепцию компилятора. И двумя годами позже Джон
Бэкус из IBM начал работу над языком FORTRAN, последняя
модификация которого увидела свет в 1995-м!
И еще в 1955 году родились два мальчика, имена которых
говорят сами за себя: Стив Джобс и Билл Гейтс.
На дворе стоял «полдень» ХХ века. В 1950 году населе-
ние Земли составило чуть более 2,5 миллиарда человек.
А совокупный «компьютерный парк» насчитывал лишь не-
сколько десятков машин – включая экспериментальные мо-
дели... Но лиха беда начало!  EOF 
* Продолжение. Начало – см. «СА», №1-2, №3, №4, 2016.
Продолжение следует
79
 В номере

НАУКА
И ТЕХНОЛОГИИ

81 Исследование воздействия
некоторых параметров теста
LINPACK для гибридного кластера
на производительность вычислений
в зависимости от размерности задачи

86 Взаимосвязь отраслевой специфики

бизнеса и уровня решаемых для него
ИТ-задач

90 Создание ботов для Telegram:

с использованием языка
программирования Python и облачной
операционной системы Corezoid

80 октябрь 2015 системный администратор

 Наука и технологии

Куликов В.А., аспирант кафедры прикладной математики, информатики и вычислительной техники факультета электроники
и системотехники Московского государственного университета леса, Vladimir.Kulikov@rsce.ru
Чернышов А.В., к.т.н., доцент кафедры прикладной математики, информатики и вычислительной техники факультета
электроники и системотехники Московского государственного университета леса, sch@mgul.ac.ru

Исследование воздействия некоторых

параметров теста LINPACK
для гибридного кластера на производительность
вычислений в зависимости от размерности задачи
При решении систем линейных алгебраических уравнений на современных гибридных
(CPU + GPU) кластерах перед пользователем возникает задача выбора значений ряда
параметров, оказывающих существенное, но неочевидное влияние на производительность
вычислений и, как следствие, на временные, а следовательно, и технические затраты
на решение задачи. Существующие рекомендации по выбору значений этих параметров
носят оценочный характер и не гарантируют достижения максимальной производительности
вычислений при заданной размерности системы линейных алгебраических уравнений.
Целью работы является экспериментальное исследование влияния значений
параметров Nb и CUDA_DGEMM_SPLIT теста LINPACK, представляющего собой
решение модельной системы линейных алгебраических уравнений методом LU‑разло‑
жения, на производительность вычислений на гибридных узлах кластера «Ломоносов»
(МГУ, Москва). Получены рекомендательные данные значений параметров Nb и CUDA_
DGEMM_SPLIT в зависимости от размерности системы линейных алгебраических
уравнений для достижения максимальной производительности при решении системы
линейных алгебраических уравнений методом LU-разложения на гибридных
вычислительных узлах кластера «Ломоносов». Построенная в работе рекомендательная
таблица для кластера «Ломоносов» позволяет однозначно выбирать значения параметров
Nb и CUDA_DGEMM_SPLIT в зависимости от размерности системы линейных алгебраических
уравнений для достижения максимальной производительности вычислений

Введение Практический опыт показывает, что нестационарная задача

Параллельные вычисления – современная, бурно развивающаяся
область вычислительной науки. Актуальность данной области
складывается из множества факторов, и в первую очередь из по-
требности в больших вычислительных ресурсах для решения
расчетных задач в различных областях науки и техники.
Например, при создании перспективных образцов авиацион-
ной и космической техники возникает необходимость в модели-
ровании сложных процессов внешнего обтекания твердых тел
различной формы и течения в сложных каналах, вычисления поля
давлений и температур потока, расчета коэффициентов сопротив-
ления и потерь полного давления в широком диапазоне скоро-
стей – «дозвук», «трансзвук», «сверхзвук» и «гиперзвук». Для до-
стижения наилучших возможностей по параллельному режиму
счета и по количеству внедренных в код математических моделей
физических явлений при обработке наиболее ресурсоемких задач
требуется использовать программное обеспечение OpenFOAM.
движения вязкой жидкости в рамках двухпараметрической модели
турбулентности на промежутке времени в 10 секунд с исполь-
зованием сеточной модели в 60 млн ячеек на 8 расчетных узлах
(2хCPU – Intel Sandy Bridge-EP E5-2665 – 16 расчетных ядер)
решается с использованием стандартного решателя OpenFOAM
примерно 6 месяцев.
Одно из направлений в повышении эффективности параллель-
ных вычислений – использование параллельных вычислительных
кластеров на основе графических процессоров (GPU), что на по-
рядок повышает вычислительные возможности и минимизирует
архитектуру и энергопотребление.
Например, компания «Т-Платформы» (производитель класте-
ра «Ломоносов») показала, что более 80% расчетного времени
при решении указанной выше задачи занимает решение СЛАУ,
и в случае применения гибридного вычислителя (CPU + GPU)
удается достигнуть сокращения сроков вычисления до 3 недель.

системный администратор май 2016 81

 Наука и технологии
Одной из важных проблем при решении СЛАУ на гибридном
вычислительном кластере является подбор параметров рас-
параллеливания алгоритма вычисления, в частности, распреде-
ление количества вычислительной работы между CPU и GPU.
В качестве модельной задачи, позволяющей исследовать эту
проблему, хорошо подходит стандартный тест LINPACK, широко
применяемый для оценки производительности вычислительных
кластеров.
В статье [1] были описаны исследования производительно-
сти теста LINPACK в версии для гибридных узлов (CPU + GPU)
на кластере «Ломоносов» МГУ им. М.В. Ломоносова для разных
размерностей задачи N (от 20 000 до 60 000) и стандартных (реко-
мендованных) остальных значений параметров теста.
В настоящей статье приведены результаты дальнейших иссле-
дований, касающиеся эффективности вычислений теста LINPACK
при изменении параметров Nb (величина размерности логиче-
ских блоков Nb × Nb, на которые разбивается исходная матрица)
и CUDA_DGEMM_SPLIT (процент работы, загружаемой в GPU
для умножения матриц с двойной точностью), тесно связанных
с аппаратной структурой вычислительных узлов кластера. При-
чем, как и в статье [1], под эффективностью понимается достиже-
ние максимальной производительности вычислений, выражаемое
в общепринятых единицах GFlops.
Полученные экспериментальные зависимости могут быть
полезны для выбора значений этих параметров при решении
реальных систем линейных уравнений конкретных размерно-
стей N с максимальной производительностью.
В статье сознательно не рассматриваются вопросы обусловлен-
ности самой математической системы, точности решения, выбора
разрядности вычислений, поскольку они должны быть матема-
тически обоснованы и решены постановщиком задачи до выхода
на вычислитель.
Описание теста
Тест LINPACK представляет собой задачу решения системы
линейных алгебраических уравнений (СЛАУ) методом LU-разло-
жения и считается на сегодня классическим способом определе-
ния производительности кластера, поскольку к решению СЛАУ
сводятся очень многие реальные расчетные задачи.
Тест и его основные параметры, а также характеристики
кластерного вычислителя «Ломоносов» подробно рассмотрены
в статье [1].
В работе [2] полностью описываются теоретические основы
теста LINPACK, а также его возможные варианты для оценки про-
изводительности различных компьютерных систем.
Рисунок 1. Факторизация текущего блока
82
Публикация [3] раскрывает имплементацию алгоритма
LINPACK для систем высокопроизводительных вычислений.
Основным автором исходного кода LINPACK для GPU (CUDA-
enabled version of HPL 2.0 optimized for Tesla 20-series GPU Fermi
version 1.5) является доктор Массимилиано Фатика (doctor M.
Fatica, NVIDIA).
Основное отличие LINPACK для GPU заключается в том,
что в исходном коде HPL 2.0 ядра и CPU, и GPU с небольшими
модификациями или без модификаций используются совокупно
(эффективность совокупности CPU и GPU превышает сумму
их индивидуальных эффективностей):
• Библиотека узла прерывает вызовы к DGEMM и DTRSM
и выполняет их одновременно на ядрах CPU и GPU, где:
»» DGEMM – Double-precision General Matrix Multiply –
умножение матриц с двойной точностью;
»» DTRSM – Double-precision TRiangular Solve Multiple
(solution of the triangular systems of linear equations) –
решение треугольных систем линейных уравнений
с двойной точностью.
• Использование pinned memory для быстрых передач
данных по компьютерной шине PCI Express со скоростью
до 5.7 GB/s на слотах x16 gen2.
Схема вычислений в LINPACK для GPU показана на рис. 1.
Из него видно, что после факторизации текущего блока (красный
цвет) обновляются части зеленого и желтого цвета. Чем больше
значение размерности N, тем больше времени расходуется на об-
новление (DGEMM).
• DGEMM – область умножения матриц с двойной точно-
стью;
• DTRSM – область решения треугольных систем линейных
уравнений с двойной точностью.
В версии теста LINPACK для GPU мы опираемся на два пре-
образования с матрицами – DGEMM и DTRSM. Для их ускорения
мы используем все вычислительные возможности CPU и GPU.
Эффективное распределение расчетной нагрузки и минимизация
времени обмена данными позволят получить наибольшую произ-
водительность.
Один из разработанных методов оптимизации для получения
наибольшей производительности – оптимальное разделение рабо-
чей нагрузки, которое состоит в следующем.
Если мы имеем матрицы с размерностями A (M , K), B (K , N)
и C (M , N) (см. рис. 2), то при выполнении DGEMM-преобразова-
ния выполняется 2 × M × K × N операций.
Временно́е равенство вычислений для CPU и GPU:
Tcpu (M , K , N2) = Tgpu (M , K , N1)
N = N1 + N2
где:
• Tcpu – время вычислений на CPU;
• Tgpu – время вычислений на GPU.
Если для DGEMM-преобразования GCPU – значение произво-
дительности CPU, а GGPU – значение производительности одного
из GPU в размерности GFlops, то оптимальным разделением будет:
GGPU
η=
GCPU + GGPU
май 2016 системный администратор

Схема метода показана на рис. 2, где:
• зеленым отмечена область GPU, а розовым цветом – CPU;
• A, B, C – матрицы;
• M – величина, определяющая число строк матрицы op(A)
и матрицы C;
• N1 – величина, определяющая число столбцов матрицы
op(B1) и число столбцов матрицы C1 в области GPU;
• N2 – величина, определяющая число столбцов матрицы
op(B2) и число столбцов матрицы C2 в области CPU;
• K – величина, определяющая число столбцов матрицы op(A)
и число строк матрицы op(B).
Остановимся на преобразовании DGEMM [4], которое пред-
ставляет собой следующую процедуру мультипликации матриц:
C := α×op(A)×op(B) + β×C
где op(X) принимает одно из следующих значений:
op(X,) = X или op(X) = X T
Здесь:
• α, β – скалярные величины;
• A, B, C – матрицы;
• op(A) – матрица с числом строк m и столбцов k;
• op(B) – матрица с числом строк k и столбцов n;
• C – матрица с числом строк m и стобцов n;
• X T – транспонированная матрица X.
Преобразование DGEMM оформлено в виде функции:
DGEMM = (TRANSA, TRANSA, M, N, K, ALPHA, A, LDA, B, LDB, BETA, C, LDC)
Здесь:
• TRANSA – переменная символьного типа, на входе ее зна-
чение определяет формат матрицы op(A), который будет
использоваться в мультипликации матриц:
TRANSA = 'N'||'n' , op(A) = A
TRANSA = 'T'||'t' , op(A) = AT
TRANSA = 'C'||'c' , op(A) = AT
Не изменяется на выходе;
• TRANSB – переменная символьного типа, на входе ее зна-
чение определяет формат матрицы op(B), который будет
использоваться в мультипликации матриц:
TRANSB = 'N'||'n' , op(B) = B
TRANSB = 'T'||'t' , op(B) = BT
TRANSB = 'C'||'c' , op(B) = BT
Не изменяется на выходе;
• M – переменная целого типа, на входе ее значение опреде-
ляет число строк матрицы op(A) и число строк матрицы C,
не изменяется на выходе;
• N – переменная целого типа, на входе ее значение определя-
ет число столбцов матрицы op(B) и число столбцов матрицы
C, не изменяется на выходе;
• K – переменная целого типа, на входе ее значение опреде-
ляет число столбцов матрицы op(A) и число строк матрицы
op(B), не изменяется на выходе;
системный администратор май 2016
Наука и технологии
• ALPHA – переменная двойной точности, на входе ее значение
определяет скалярную величину α, не изменяется на выходе;
• A – массив двойной точности с размерностью (LDA, ka), где
ka – это k, когда TRANSA = 'N'||'n' или, во всех других случа-
ях, m. Перед вхождением с TRANSA = 'N'||'n', ведущая часть
массива A размером m на k должна содержать матрицу A,
иначе ведущая часть массива A размером k на m должна со-
держать матрицу A. Не изменяется на выходе;
• LDA – переменная целого типа, на входе определяет первич-
ную размерность матрицы A, когда TRANSA = 'N'||'n', то LDA
должно быть не меньше max(1,m), иначе LDA должно быть
не меньше max(1,k). Не изменяется на выходе;
• B – массив двойной точности с размерностью (LDB, kb),
где kb – это n, когда TRANSB = 'N'||'n' или, во всех других
случаях, k. Перед вхождением с TRANSB = 'N'||'n', ведущая
часть массива B размером k на n должна содержать матри-
цу B, иначе ведущая часть массива B размером n на k должна
содержать матрицу B. Не изменяется на выходе;
• LDB – переменная целого типа, определяет первичную раз-
мерность матрицы B, когда TRANSB = 'N'||'n', то LDB должно
быть не меньше max(1,k), иначе LDB должно быть не мень-
ше max(1,n). Не изменяется на выходе;
• BETA – переменная двойной точности, на входе ее значение
определяет скалярную величину β, когда значение BETA ноль,
то для C не определяются входные данные. Не изменяется
на выходе;
• C – массив двойной точности с размерностью (LDC, n).
До входа ведущая часть массива С размером m на n должна
содержать матрицу C, кроме случая, когда значение β ноль
и для этого случая для C не определяются входные данные.
На выходе массив C перезаписывается m на n матрицей
(α×op(A)×op(B) + β×C);
• LDC – переменная целого типа, на входе определяет первич-
ную размерность матрицы C; LDC – должна быть не меньше
max(1,m). Не изменяется на выходе.
В отличие от классического теста LINPACK в его «кластер-
ном» варианте требуется подбор параметра Nb и ряда других
параметров в целях достижения максимальной производитель-
ности [5]. В частности, представляет интерес подбор значения
параметра CUDA_DGEMM_SPLIT (процент работы, загружаемой
в GPU для умножения матриц с двойной точностью).
Рисунок 2. Оптимальное разделение рабочей нагрузки
83
 Наука и технологии
Описываемый эксперимент сводился к выполнению теста
LINPACK на выделенных узлах кластера «Ломоносов» для сетки
исходных значений, задаваемой параметрами N, Nb, и при реко-
мендованных значениях остальных параметров теста.
В частности, значение параметра Nb зависит от характери-
стик параллельной вычислительной системы в целом и должно
подбираться индивидуально для каждой системы. Для полу-
чения результатов, близких к пиковым, М. Фатика [6] рекомен-
дует использовать значение Nb = 768 для гибридных кластеров
CPU + GPU. Также он указывает, что иногда большую производи-
тельность можно достигнуть при Nb = 1024: «…768 typically gives
best results, larger values may give better results (1024) if several
GPUs share the same PCIe connection…» [7].
Максимально допустимое значение параметра N – размерность
задачи, рассчитывается по формуле:
Общая память узлов = Число узлов × Память узла Гб × 1024 ×
× 1024 × 1024
В нашем случае:
• Память узла – равняется 24 Гб;
• Коэффициент размера – сколько памяти от Общей памяти
узлов необходимо для расчетов теста, чтобы операционная
система могла выполнять необходимые операции. Для кон-
фигурации используемой экспериментальной установки этот
коэффициент 0,75;
• Объём памяти для каждого элемента с двойной точно‑
стью – равняется 8 байт;
Рисунок 3. Зависимость производительности вычислений GFlops
от размерности задачи N
84
• Вычисленное значение N = 69511,425. Для «укладки» раз-
мерности задачи N c использованием Nb = 1024 в начальные
условия запуска LINPACK для GPU, с учетом аппаратной кон-
фигурации узлов, чтобы не происходило переполнение памя-
ти при работе программы, принимается значение N = 60000.
Коэффициент CUDA_DGEMM_SPLIT может определяться
по различным методикам для запуска теста LINPACK на гибрид-
ных узлах кластера CPU + GPU. С ним также тесно связан пара-
метр CUDA_DTRSM_SPLIT (процент работы, загружаемой в GPU
для решения треугольных систем линейных уравнений с двойной
точностью. Получается вычитанием из CUDA_DGEMM_SPLIT
значения 0,1):
1) По эмпирическим значениям, предложенным М. Фатика [6]:
CUDA_DGEMM_SPLIT = 0,836
CUDA_DTRSM_SPLIT = 0,736
2) По методике М. Фатика [7]:
CUDA_DGEMM_SPLIT =
350
=
350 + MKL _ NUM _ THREADS × 4 × CPU _ FREQ
где:
• MKL_NUM_THREADS – число используемых ядер CPU
на одно GPU;
• CPU_FREQ – частота CPU в ГГц.
В нашем случае:
350
CUDA _ DGEMM _ SPLIT = = 0,81214
350 + 8 × 4 × 2,53
CUDA _ DTRSM _ SPLIT = CUDA _ DGEMM _ SPLIT − 0,1 = 0, 71214
3) По методике расчета Ш. Тарлетон [8]:
GPU _ PEAK _ FLOPS × 0, 75
CUDA _ DGEMM _ SPLIT =
GPU _ PEAK _ FLOPS × 0, 75 + ( MKL _ NUM _ THREADS ×
×CPUFLOPS _ PER _ CLOCK × CPU _ FREQ) × 0,9
где:
• GPU_PEAK_FLOPS – теоретическое пиковое значение про-
изводительности GFlops для GPU;
• CPUFLOPS_PER_CLOCK – число операций за 1 такт про-
цессора, позволяющее теоретически достичь пиковой про-
изводительности. Для данного типа процессора Intel Xeon
L5630 значение CPUFLOPS_PER_CLOCK = 4;
• MKL_NUM_THREADS – число используемых ядер CPU
на одно GPU;
• CPU_FREQ – частота CPU в ГГц.
Тогда:
515 × 0, 75
CUDA _ DGEMM _ SPLIT = = 0,8413
515 × 0, 75 + (8 × 4 × 2,53) × 0,9
CUDA _ DTRSM _ SPLIT = CUDA _ DGEMM _ SPLIT − 0,1 =
= 0,8413 − 0,1 = 0, 7413
Результаты теста и выводы
Построим графики зависимости производительности кластера
GFlops от размерности задачи N для вычисленных CUDA_DGEMM_
SPLIT и CUDA_DRSM_SPLIT при Nb = 768 и Nb = 1024 в соответ-
ствии с полученными результатами (см. рис. 3).
май 2016 системный администратор
 Наука и технологии

По графикам на рис.3 можно видеть, что: [5] Petitet, R. C. Whaley, J. Dongarra, A. Cleary. HPL 2.0.Innovate Computer
• наблюдается картина увеличения производительности Laboratory (University of Tennessee, Computer Science Department), 2008. –
для CUDA_DGEMM_SPLIT = 0,8413 при малом значении URL: http://www.netlib.org/benchmark/hpl/tuning.html (дата обраще-
N с Nb = 1024 в сравнении с другими результатами, получае- ния 20.05.2015).
мыми с CUDA_DGEMM_SPLIT, равными 0,81214 и 0,836; [6] E. Phillips, M. Fatica. CUDA-enabled version of HPL 2.0 optimized
• для значения CUDA_DGEMM_SPLIT = 0,8413 скорость for Tesla 20 series GPU Fermi version 1.5. Nvidia Corp., 2012. – URL:
роста производительности с увеличением N по сравнению https://devtalk.nvidia.com/default/topic/500340/cuda-accelerated-
с другими значениями CUDA_DGEMM_SPLIT является LINPACK-code-available (дата обращения 23.05.2015).
максимальной. [7] M. Fatica. Accelerating LINPACK with CUDA on heterogenous clusters.
// ACM International Conference Proceeding Series. Vol. 383.
По верхней огибающей группы построенных графиков была [8] S. Tarleton. Power Efficient LINPACK on GPUs, 2012. – URL: http://
построена рекомендательная таблица (см. таблицу 1) для выбора www.shanetarleton.com/power-efficient-LINPACK-on-gpus (дата об-
параметров Nb и CUDA_DGEMM_SPLIT в зависимости от раз- ращения 17.06.2015).
мера задачи N для получения максимальной производительности
GFlops при решении СЛАУ методом LU-разложения на гибрид- Ключевые слова: графический процессор, кластер, высокопроизводитель-
ных узлах кластера «Ломоносов»: ные вычисления, размерность задачи, гибридный вычислительный узел,
Проведение экспериментов с различными рекомендо- LINPACK, решение СЛАУ, GFlops.
ванными разработчиком значениями размера блока Nb рав-
ным 768 и 1024 и вычисленными по разным методикам значе- The research values of certain parameters of the LINPACK benchmark
ниями CUDA_DGEMM_SPLIT, равными 0,81214, 0,8413, 0,836, for hybrid cluster effects on the compute performance as a function
показало, что максимальной производительности GFlops of the problem sizes
на гибридных узлах кластера «Ломоносов» удается достичь
при выборе значения CUDA_DGEMM_SPLIT = 0,8413, полу- Kulikov V. A., Post-Graduate Student, Department of Applied Mathematics,
ченного с использованием методики Ш. Тарлетон [8]. При этом Computer Science and Computer Engineering Faculty of Electronics
значения параметра Nb изменяются в зависимости от размерности and Systems Engineering of the Moscow State Forest University (MSFU),
поставленной задачи.  EOF  Vladimir.Kulikov@rsce.ru
Chernyshov A. V., PhD, Tech., Associate Professor, Department of Applied
[1] Куликов В. А. Исследование возможностей GPU в высокопро- Mathematics, Computer Science and Computer Engineering Faculty
of Electronics and Systems Engineering of the Moscow State Forest
изводительных вычислениях. // «В мире научных открытий»,
University (MSFU), sch@mgul.ac.ru
№12.2(60), 2014 г. – C. 639-650.
[2] J. Dongarra, P. Luszczek, A. Petiet. The LINPACK Benchmark: past,
Summary: When solving systems of linear algebraic equations
present and future. // Concurrency and Computation: Practice and
with modern, hybrid (CPU GPU) clusters to the user, there
Experience. 2003. Vol. 15(9). P. 803-820. doi:10.1002/cpe.728.
arises the problem of selecting values of a number of parameters
[3] Petitet, R. C. Whaley, J. Dongarra, A. Cleary. HPL Algorithm. Innovate
that have a significant, but unobvious subjection on computing
Computer Laboratory (University of Tennessee, Computer Science
performance and, as a consequence, on time, and, therefore,
Department), 2008. – URL: http://www.netlib.org/benchmark/hpl/
and technical resources for the solution of the problem. The existing
algorithm.html (дата обращения 20.05.2015).
recommendations on the selection of values for these parameters
[4] J. Dongarra, I. Duff, J. D. Croz, S. Hammarling. Subroutine
are evaluatives and do not guarantee the best performance
DGEMM, 1989. – URL: http://www.netlib.org/lapack/explore-3.2-html/
computing for a given dimension of the system of linear algebraic
dgemm.f.html (дата обращения 20.05.2015).
equations. The purpose of this work is experimental research
of the subjection of the values of the parameters Nb and CUDA_
Таблица 1. Рекомендательная таблица DGEMM_SPLIT LINPACK benchmark, representing a solution
of model system of linear algebraic equations by the method
N CUDA_DGEMM_SPLIT Nb GFlops of LU decomposition, for the performance computing of hybrid
9600 0,8413 1024 128,7
nodes of the cluster «Lomonosov» (Moscow State University,
Moscow, Russia Federation). Recommendatory data of the values
16128 0,8413 768 322,5
of the parameters Nb and CUDA_DGEMM_SPLIT LINPACK
16129 0,8413 768 323,7
depending on the dimension of system of linear algebraic equations
20737 0,8413 768 420,2 for achievement of the maximum performance for solving system
20960 0,8413 768 416,4 of linear algebraic equations are obtained by LU decomposition
23040 0,8413 768 454,3 method on hybrid computing nodes of a cluster «Lomonosov».
25000 0,8413 768 480,6 The recommendatory data table constructed in this research
30000 0,8413 1024 555,4
work for a cluster «Lomonosov» allows to select unambiguously
values of the Nb and CUDA_DGEMM_SPLIT parameters
39000 0,8413 1024 686,5
depending on dimension of system of linear algebraic equations
39007 0,8413 1024 685,8
for achievement of the maximum computing performance.
40000 0,8413 1024 698,5
50000 0,8413 1024 799 Keywords: GPU, cluster, high-performance computing, problem size, hybrid
60000 0,8413 1024 873,3 computing node, solving linear systems of equations, GFlops.

системный администратор май 2016 85

 Наука и технологии

Славин Б.Б., к.ф.-м.н., Финансовый университет при Правительстве РФ, профессор кафедры «Бизнес-информатика»,
bbslavin@gmail.com
Максимова Е.В., Союз ИТ-директоров России, директор, Maksimova@rucio.ru

Взаимосвязь отраслевой специфики

бизнеса и уровня решаемых для него ИТ-задач
В настоящей статье показывается, что уровень решаемых ИТ-подразделением задач
зависит не только от размеров организации и уровня управления, но и от отраслевой
специфики бизнеса в разрезе четырех технологических эпох (индустриальной,
постиндустриальной, информационной и эпохи знаний). Результаты опроса
руководителей ИТ-служб различных предприятий подтверждают такую взаимосвязь.
Предложенная в работе методика определения уровня требований к решению ИТ-задач
может быть использована в организации работы ИТ-служб предприятий

Введение имосвязи ИТ с отраслевыми потребностями бизнеса. Известно,

Индустрия информационных технологий (ИТ) порождает множе-
ство мифов и легенд. Они возникают и умирают с той же часто-
той, как и интерес к игрушкам у ребенка. Но есть один миф, кото-
рый «живет» уже довольно долго и будет существовать, видимо,
столько же, сколько и сами ИТ. Это миф об особой стратегической
роли информационных технологий в бизнесе, да и в деятельности
любой организации [1]. Долгожительство этого мифа понятно,
ведь осознание важности ИТ – это залог успеха и, соответствен-
но, условие получения сверхприбылей высокотехнологичных
компаний на корпоративном рынке. Даже если иссякает интерес
к тем или иным инновациям, особая роль ИТ «должна» как мини-
мум не снижаться.
Однако в росте роли ИТ в деятельности предприятий нет
ничего мистического. Вся экономика претерпевает в последние
десятилетия существенную метаморфозу. Доли добавленной
стоимости отраслей существенно перераспределяются от инду-
стрий, связанных с производством товара и услуг, к индустриям,
производящим информацию и знание. И поэтому целесообразно
говорить не столько о возрастании роли ИТ вообще, сколько о вза-
Рисунок 1. Соотношение между технологическими эпохами, сорсингом
и системами управления ИТ
что роль ИТ на промышленном предприятии всегда ниже роли ИТ
в организациях розничной торговли и тем более в организациях
финансовой отрасли (например, в банке) или в отрасли телеком-
муникационных услуг. Понимание такой зависимости роли ИТ
от отрасли позволит более четко ставить задачи для ИТ-служб
предприятий.
ИТ и технологические эпохи
Статья американского публициста Николаса Карра в Harvard
Business Review в мае 2003 года (см. [2]) с хлестким названием
«IT Doesn't Matter» («ИТ не имеет значения»), в котором обыгры-
вается совпадение аббревиатуры ИТ (IT) с местоимением «это»
(«it»), наделала много шуму. В этой статье и последующих за ней
публикациях Карр говорит о том, что информационные техно-
логии, становясь все более доступными и стандартизованными,
теряют функцию конкурентного преимущества и, следовательно,
свою особую роль в стратегии компании (аналогично, по его мне-
нию, снижается и роль ИТ-директора). Нетрудно догадаться,
что автор этих идей подвергся всеобщей обструкции как со сторо-
ны ИТ-директоров, так и со стороны поставщиков ИТ-решений.
Вместе с тем Николас Карр прав – ИТ как инструмент авто-
матизации управления все меньше и меньше дают конкурентные
преимущества бизнесу (по крайней мере для компаний, не специ-
ализирующихся на предоставлении услуг в сфере информацион-
ных технологий). Уместно провести параллель между задачами,
решаемыми ИТ-службой, и деятельностью финансового под-
разделения компании. Технологии финансовой службы (учет
и планирование денежных потоков, привлечение инвестиций
через кредиты, векселя, ценные бумаги и др.) не являются сами
по себе конкурентным преимуществом, они стандартны и доступ-
ны всем компаниям, но управление этими технологиями – особое
искусство, которое требует соответствующего уровня руково-
дителя. Аналогично и в случае ИТ-службы – ее основная роль
заключается в умении использовать информационные технологии,

86 май 2016 системный администратор

 Наука и технологии

имплементировать их в существующий бизнес так, чтобы достичь
наибольшей эффективности сейчас и в перспективе, с учетом
стратегического развития предприятия.
Инструменты, позволяющие оценить степень взаимосвязи
стратегического управления ИТ с бизнесом, хорошо описаны
в своде стандартов и рекомендаций CobiT (Control Objectives for
Information and Related Technologies). Однако существует взаимос-
вязь на уровне технологии организации труда, которая позволя-
ет понять, как связаны приоритеты ИТ и отраслевая специфика
бизнеса. В работе [3] было показано, что все отрасли экономики
можно разделить на четыре группы, соответствующие технологи-
ческим эпохам:
• индустриальная эпоха, куда входят промышленность, сель-
ское хозяйство и добывающие отрасли;
• постиндустриальная эпоха, куда входят энергетика, торговля,
транспорт;
• информационная эпоха, куда входят финансы, телеком,
СМИ;
• и, наконец, четвертая группа отраслей, соответствующая
эпохе знаний, куда входят наука, образование, профессио-
нальные сервисы, медицина и социальное обеспечение.
Эти же четыре группы отраслей можно сопоставить как с раз-
личными типами управления (управление ресурсами, услугами,
информацией и знаниями соответственно), так и с соответству-
ющими видами сорсинга (инсорсинг, аутсорсинг, краудсорсинг
и сорсинг интеллектуальной деятельности). По типам управления
можно соотнести и корпоративные информационные технологии,
имеющие различный приоритет, начиная с ERP-систем и MES1
(управление ресурсами) и заканчивая системами управления зна-
ниями. На рис.1 изображены соответствующие взаимосвязи.
Предложенная классификация технологических эпох была ис-
пользована в работе [4] для обоснования классификации уровней
обобщенных трудовых функций менеджеров по ИТ, которая легла
в основу соответствующего профессионального стандарта. В част-
ности, четыре типа управления (ресурсами, сервисами, информа-
цией и инновациями) были рассмотрены в разрезе использования
инструментов планирования, управления временем, людьми
1  Здесь и ниже использованы аббревиатуры: MES – Manufacturing
Execution System, ERP – Enterprise Resource Planning, MRP – Requirements
Planning, CRM – Customer Relationship Management, SCM – Supply Chain
Management, B2B – Business to Business, BI – Business Intelligence, CPM –
Corporate Performance Management, PLM – Product Lifecycle Management,
KM – Knoweledge Management.
и системой, что позволило классифицировать все трудовые
функции менеджера по ИТ. Такая универсальность взаимосвязи
уровней управления ИТ, технологических эпох, сорсинга и систем
управления может быть подтверждена исследованиями реальной
практики управления ИТ.
Исследование взаимосвязи
Для подтверждения взаимосвязи уровней управления с технологи-
ческими эпохами был проведен опрос ИТ-директоров, в котором
они выбирали наиболее типичные для своей деятельности методы
решения задач, инструменты планирования, фокус отношений
внутри компании, наиболее приоритетные цели. Предлагаемые
ответы ранжировались в соответствии с уровнями трудовых
обобщенных функций из профессионального стандарта менед-
жера по ИТ. С другой стороны, оценивался уровень требований
к задачам со стороны бизнеса, связанный как с численностью
организации и уровнем в иерархии управления менеджера по ИТ,
так и с отраслевой спецификой в соответствии с четырьмя техно-
логическими эпохами, описанными выше.
В таблице 1 показано, как задачи, решаемые менеджером
по ИТ, связаны с уровнями обобщенных трудовых функций
управления. ИТ-директору предлагалось дать ответы в порядке
убывания от 4 до 1 (без повторов и пропусков) в четырех во-
просах:
• «в Вашей компании в области ИТ на что Вы тратите боль-
шую часть времени» – (a);
• «в Вашей компании в области ИТ Вы планируете работы
при помощи каких инструментов» – (b);
• «в области ИТ Вы обсуждаете планы развития в первую
очередь с кем» – (d);
• «в области ИТ в Вашей компании за что Вы отвечаете в пер-
вую очередь» – (e).
Вопросы специально задавались не в том порядке, как они со-
ответствуют уровням управления ИТ-менеджера (см. таблицу 1 –
номера при буквах, обозначающих вопросы), чтобы получить
наиболее достоверный ответ.
Показатель уровня решаемых ИТ-директором задач QCIO оцени-
вался по формуле:
где S = (a1∙1 + a2∙3 + a3∙4 + a4∙2 + b1∙1 + b2∙4 + b3∙2 + b4∙3 + c1∙2 +
c2∙3 + c3∙4 + c4∙1 + d1∙2 + d2∙3 + d3∙4 + d4∙1) – сумма баллов за от-
веты.

Таблица 1. Задачи, решаемые менеджером по ИТ, и уровни управления

Основная деятельность
Инструменты планирования
Выстраивание отношений
Приоритеты в управлении
1-й уровень: управление
ресурсами
планирование задач (a1)
управления временем (b1)
с сотрудниками ИТ-службы (c4)
поддержка ИТ-инфраструктуры
и ПО (d4)
2-й уровень: управление
услугами
планирование сервисов (a4)
управления проектами (b3)
с внутренними заказчиками
услуг (c1)
качество услуг пользователям
(d1)
3-й уровень: управление
информацией
реализация ИТ-стратегии (a2)
управления портфелями
проектов (b4)
с руководством основных под-
разделений (c2)
архитектура информационной
системы (d2)
4-й уровень: управление
знаниями и инновациями
развитие бизнес-стратегии
с использованием ИТ (a3)
инструментарий дорожных
карт (b2)
с клиентами и партнерами
компании (c3)
управление знаниями, идеями
и т.п. (d3)

системный администратор май 2016 87

 Наука и технологии
Величина S меняется от 80 до 120 в зависимости от того, на-
сколько ответы ИТ-директора совпадают с последовательностью
уровней из стандарта ИТ-менеджера. Уровень требований со сто-
роны бизнеса, связанный как со спецификой, так и с его размера-
ми, оценивался как среднегеометрическое значение трех показате-
лей (A, B, C), меняющихся от 1 до 4:
• численность организации, которую обслуживает ИТ-служба:
менее 1000 человек (A=1); от 1000 до 5000 человек (A=2);
от 5000 до 30 000 человек (A=3); свыше 30 000 человек
(A=4);
• уровень руководства в системе управления ИТ-службой: ря-
довой менеджер (B=1); руководитель подразделения (B=2);
заместитель руководителя (B=3) и CIO (B=4);
• принадлежность организации к той или иной технологиче-
ской эпохе (см. выше): C=1, 2, 3 или 4 (в случае холдинга –
средневзвешенный показатель).
На рис. 2 показаны результаты анкетирования ИТ-директоров.
Нетрудно видеть, что большинство ответов ложатся в прямоу-
гольную область, определяющую линейную зависимость уровня
решаемых ИТ-директором задач от уровня задач, связанных
со спецификой и размерами бизнеса. Больше всего отклонений
от линейной зависимости наблюдается для предприятий, соот-
ветствующих технологической эпохе знаний. По всей видимости
низкий уровень реально решаемых задач в области ИТ на пред-
приятиях, занятых исследованиями и разработкой, в вузах и орга-
низациях социального обеспечения обусловлен тем, что системы
управления знаниями, идеями и компетенциями не получили
широкого распространения в России, роль ИТ на таких предприя-
тиях явно занижена.
От управления ресурсами
и к управлению инновациями
Один из основоположников методологии процессного управле-
ния и автор нотации ARIS Август-Вильгельм Шеер, полемизируя
с Николасом Карром, говорил в одном из своих выступлений пе-
ред CIO, что роль ИТ-директора все больше становится востребо-
вана в сфере, связанной с технологией бизнеса. По мере расшире-
ния области автоматизированных бизнес-процессов, компетенция
Рисунок 2. Соотношение уровней решаемых CIO задач и уровня
требований к задачам, связанным с отраслевой спецификой
88
логики бизнеса переходит от руководителей бизнес-подразделе-
ний к архитектору информационной системы – ИТ-директору.
К сожалению, не всегда в компании руководитель ИТ-службы
способен адаптироваться к новой роли, из специалиста по продук-
там стать руководителем, понимающим тонкости бизнеса своего
предприятия, использующим возможности информационных
технологий в той мере, в какой они должны быть востребованы.
Взаимосвязь роли ИТ на предприятии с технологическими эпо-
хами позволяет сделать еще один вывод. Поскольку доля отраслей
первых двух эпох в общей добавленной в экономику стоимости
снижается, можно сказать, что на первый план выдвигается новая
культура – умение эффективно использовать информационные
технологии в инновационном развитии предприятий, органи-
заций, да и всего общества. Эта культура только формируется,
носителей ее очень мало, и в реальности ее проводниками часто
становятся, увы, не ИТ-директора, а руководители предприятий
или начальники отдельных бизнес-подразделений. Тенденция
ухода от внедрения ИТ-систем к формированию инновационной
ИТ-культуры определит на ближайшие годы основные пути раз-
вития индустрии высоких технологий. Культура ведения бизнеса
с использованием ИТ-инструментов освоена пока только передо-
выми компаниями, которые поняли, что современные инновации
также основываются на информационных технологиях.
Проблема заключается в том, что инновации невозможно
запланировать, нельзя научиться их производить массовым
тиражом. Друкер писал: «Инновационные возможности обнару-
живаются не в правилах, с которыми планировщику приходится
иметь дело в силу необходимости, а в исключениях из правил –
в неожиданном, в несоответствии, в разнице между «наполовину
полным» и «наполовину пустым» стаканом, в слабой связи, обна-
руживающейся в том или ином процессе. Когда отклонение станет
«статистически значимым» и, следовательно, хорошо заметным,
уже слишком поздно планировать инновацию. Инновационные
возможности не приходят на ураганной волне – их приносит лег-
кое дуновение ветерка» (см. [5], с. 386).
В некотором смысле инновации – это вершина творческого
или мыслительного процесса, когда возникает совершенно новая
идея, способная изменить существующий порядок вещей. Именно
такие идеи все больше и больше будут востребованы экономикой,
именно они станут аналогами товаров в обществе знаний. Несмо-
тря на то что инновации невозможно запланировать, существуют
стандарты на инновационную деятельность. Одним из важных
элементов инноваций является их взаимосвязь с научной дея-
тельностью: «инновация возникает в результате использования
результатов научных исследований и разработок, направленных
на совершенствование процесса производственной деятельности,
экономических, правовых и социальных отношений в области
науки, культуры, образования, в других сферах деятельности
общества» (см. [6], с. 6).
Крупные компании создают у себя исследовательские центры,
но для средних и тем более малых компаний это неподъемно, им
приходится пользоваться внекорпоративными научными лабора-
ториями (как правило, университетами). И такой подход подчас
приносит больший эффект в силу его гибкости. Это свидетель-
ствует о том, что для предприятий становится все больше вос-
требованной взаимосвязь с экспертными сообществами, которые
могут выполнять исследовательскую и инновационную функцию.
И примеров такого сотрудничества уже достаточно много.
Сегодня информационные системы разрабатываются в ос-
новном под те процессы, которые установились на предприятии.
май 2016 системный администратор
 Наука и технологии

Таких процессов множество, причем доля вспомогательных,
как правило, превосходит долю основных бизнес-процессов.
Это несоответствие говорит о несовершенстве деятельности пред-
приятия, и оно сохранится до тех пор, пока все процессы, не свя-
занные с основным бизнесом, не будут выведены на аутсорсинг,
а основная деятельность не структурируется так, чтобы ее можно
было легко изменять. Но как бы успешно вспомогательные
бизнес-процессы ни передавались партнерам, как бы ни стандар-
тизировался основной бизнес, всегда останется необходимость ор-
ганизации человеческих ресурсов с учетом их компетенций и тре-
бований производства. Необязательно, чтобы эти человеческие
ресурсы были постоянными работниками предприятия. Напротив,
в условиях инновационной экономики все чаще компании будут
привлекать профессионалов и экспертов на временной основе
либо вовсе через сетевые экспертные сообщества. Но всем этим
необходимо управлять. Коммуникации с людьми, обеспечивающи-
ми работу предприятия, станут одним из основных приоритетов
в деятельности ИТ-службы в будущем.  EOF  professor, bbslavin@gmail.com
[1] Славин Б. Эпоха коллективного разума: О роли информации
в обществе и о коммуникационной природе человека. – М.:
«Ленанд», 2013.
[2] Carr N. IT Doesn’t Matter.//Harvard Business Review. 2003. May. –
P. 5-12.
[3] Славин Б. Взаимосвязь этапов развития информационных техно-
логий и экономики. // «Информационное общество», №6, 2015 г. –
С. 4-13.
[4] Аншина М., Вольпян Н., Олейник А., Славин Б. Разработка
нового профессионального стандарта «Менеджер по информа-
ционным технологиям». // «Качество. Инновации. Образование»,
Vol. 105, №2, 2014 г. – С. 36-41.
[5] Друкер П. Энциклопедия менеджмента. – М.: Издательский дом
«Вильямс», 2004. – 432 с.
[6] Казанцев А., Миндели Л. Основы инновационного менеджмен-
та. – М.: «Экономика», 2004.
Ключевые слова: роль ИТ, управление ресурсами, управление услугами,
управление информацией, управление знаниями, инновации.
The relationship of specific of industry and level IT problems solved
for business
Slavin Boris, PhD, Financial University under the Government of RF,
Maksimova Elena, Russian Union of CIO, director, Maksimova@rucio.ru
Summary: In this paper, we show that the level of the IT tasks depends on the
specifics of the business industry in the context of the four eras of technological
(industrial, post-industrial, information age and knowledge), in addition to the
size of the organization and management level in it. The results of the survey of
CIOs of various companies confirm this relationship. The proposed method of
determining the level of requirements to solving IT problems can be used in the
organization of IT services companies.
Key words: the role of IT management, service management, information
management, knowledge management, innovation.

Есть что сказать? Публикуйся!

+7 (499) 277-12-41 sa@samag.ru

А ты знаешь, что ты можешь публиковать свои статьи

по ИТ-тематике в журнале «Системный администратор»?
И получать за них гонорары?

Что нужно для этого сделать:

Шаг первый. Ты пишешь письмо в редакцию с темой своей статьи.

Шаг второй. В случае положительного ответа от редакции

присылаешь статью.

Шаг третий. Редакция дает (или не дает) разрешение на публикацию.

Шаг четвертый. Статья размещается в номере журнала «Системный

администратор».

Шаг пятый. Ты получаешь авторский экземпляр номера со своей

статьей. И гонорар!

системный администратор май 2016 89

 Наука и технологии

Колосков В.Л., студент 4-го курса бакалавриата, НИУ ВШЭ, Москва, vlkoloskov@edu.hse.ru
Павлов И.Ю., студент 4-го курса бакалавриата, НИУ ВШЭ, Москва, pavlov.ilya.y@gmail.com
Иванов Е.Б., студент 4-го курса бакалавриата, НИУ ВШЭ, Москва, ebivanov@edu.hse.ru

Создание ботов для Telegram:

с использованием языка программирования Python
и облачной операционной системы Corezoid
В наше время бурного развития ИТ-технологий огромную популярность набирают
мессенджеры для телефонов и планшетов. Одним из самых совершенных и технологически
продвинутых мессенджеров является Telegram Messenger, который получает все большее
распространение в русскоязычной части интернета. Одна из особенностей этого приложения,
отличающая его от конкурентов, – это боты, или «умные помощники». В данной статье
описывается процесс создания ботов для Telegram с помощью языка программирования
Python и операционной системы Corezoid. В начале работы рассматривается процесс
регистрации бота и некоторые простейшие команды. Заканчивается статья рассмотрением
преимуществ и недостатков двух этих способов разработки

Общие сведения о ботах в Telegram Ограничения ботов на данный момент:

В современном обществе возможность оставаться на связи,
обмениваться фотографиями и видео привлекает миллионы
людей. Практически у каждого владельца смартфона установлен
как минимум один мессенджер по умолчанию. Вместе с подоб-
ными сервисами появились и роботы (или просто боты) для них,
которые могут выполнять практически любые задачи – напри-
мер, рассылать новости, регистрировать пользователей на сайте
и многое другое. На заре развития данной технологии создание
бота было прерогативой программистов, но в связи с широким
распространением мессенджеров, а также усовершенствованием
технологии некоторые мессенджеры предлагают каждому создать
свой бот. Одним из таких приложений является Telegram.
Боты в Telegram представляют собой специальные аккаунты,
которые могут автоматически обрабатывать и отправлять сообще-
ния. Раньше они, так же как и большинство ботов, создавались
программистами, но в одном из обновлений была добавлена
функция создания ботов с помощью простых команд, что дало
возможность пользователям, не обладающим навыками програм-
мирования, также создавать себе «умных помощников».
Возможности ботов
Прежде всего бот для Telegram – это приложение, которое запу-
щенно на стороне пользователя и осуществляет отправку запросов
к Telegram Bot API [1]. Обычно боты отвечают на специальные
команды, а также они способны производить поиск в интернете
и выполнять иные интересные задачи. На официальном сайте
Telegram представлен онлайн-каталог ботов Telegram. Возможно-
сти ботов возрастают с каждым днем, и в будущем вполне реальна
ситуация, когда эта технология вытеснит другие продукты со схо-
жими идеями.
• Принимает аудио только в одном формате, а именно (.ogg).
• Бот не может отправлять сообщение другому боту (к при-
меру, реализовать ситуацию, когда вы пишите боту, а тот
отправляет это сообщение другому боту, на данный момент
невозможно).
• Бот не умеет «забирать» фото от пользователей.
• Бот не может писать первым, он должен обязательно ото-
зваться на команду пользователя.
Это сделано для того, чтобы усложнить жизнь различным
мошенникам и спаммерам и предотвратить неконтролируемый
флуд множества ботов в чатах. Создавая программу, всегда нужно
помнить об этих ограничениях.
Регистрация бота
Перед тем как приступить к созданию бота, нужно установить
Telegram и зарегистрироваться в этом сервисе. Далее в поисковой
строке находим Manybot и набираем команду:
/start
выбираем язык и вводим команду добавления бота:
/addbot
Теперь перед началом программирования бота нужно зарегис-
трировать его и получить уникальный ID, который одновременно
будет являться и токеном для бота.
Для этого нужно перейти или найти BotFather, послать ему
команду для создания бота:

90 май 2016 системный администратор

 Наука и технологии

/newbot
после чего бот попросит придумать имя новому боту.
В принципе ограничений на имя бота не существует, кроме
одного – имя в конце должно заканчиваться на «bot». Вводим
название бота и его имя, к примеру, «Бот для теста» (это сообще-
ние-приветствие) и test141bot.
В случае успеха действий BotFather присваивает боту HTTP
API token и возвращает его вместе со ссылкой для быстрого до-
бавления бота в контакты, в противном случае нужно подумать
над другим именем для бота. В нашем случае токен, полученный
от BotFather, имеет вид: 189563781:AAEgM3Jog39WScLnUTK7fe_
oI2SeSildubI.
Теперь переходим в Manybot и подтверждаем, что API token
скопирован, и получаем подтверждение вместе со ссылкой на бот
@test141bot. Manybot предлагает протестировать вновь создан-
ный бот – тестируем его, убеждаемся, что бот реагирует на наши
действия. Выбираем наш бот для теста и «просим» его отправить
наш первый пост «Hello World!» с помощью команды:
/newpost
и, т.к. мы являемся подписчиками, видим, что он отправляет наше
сообщение всем подписчикам. Убедившись в этом, продолжаем.
Боты могут автоматически постить из Twitter, YouTube или VK.
Для примера продемонстрируем репостинг из VK (все делается
по аналогии). Посылаем нашему боту команду:
/autoposting
и выбираем, откуда мы хотим получать репосты – у нас это VK.
Теперь нужно отправить боту ссылку на человека, сообщество
или группу. После этого бот начинает «мониторить» эту страницу.
общение из блока Send info about bot и начинает выполняться блок
Location?. Если в ответ бот получит локацию, то в ответ отсыла-
ется погода с учетом вашей локации, в противном случае, если
ввести город, будет выслана погода в этом городе.
Принцип работы блока. В качестве примера возьмем блок нача-
ла работы бота – блок /start. Нужно выбрать тип блока в редакторе
блоков. Блок проверяет, пришла ли команда /start от нашего бота,
для такой проверки потребуется блок Condition. На рис. 4 пред-
ставлен интерфейс выбора типа блока.
Блок создан, теперь в него нужно добавить проверочное
условие и объединить с предыдущим блоком, чтобы он мог
получать информацию для проверки. Для этого выбираем блок
Condition. Справа в редакторе появится контекстное меню, в нем
и будет наше условие. На рис. 5 представлено контекстное меню
для настройки блока. Если пришло сообщение /start, значит, блок
выполняется. На рис. 6 показан пример реализации запроса.
Создание простого погодного бота с помощью кода
Как язык разработки был выбран Python [3]. В связи с его адап-
тивностью алгоритмы, написанные на этом языке, достаточно
легко переносятся на любой другой язык. В данной работе
для разработки бота будет использована библиотека для Python
pyTelegramBotAPI, которая существенно упрощает процесс
программирования, взяв на себя все нюансы отправки и полу-
чения запросов и позволяя сконцентрироваться непосредственно
на логике. Для написания скрипта используется среда разработки
PyCharm. Прежде чем приступить к написанию кода, нужно уста-
новить последнюю версию Python, а также компилятор PyCharm.
После установки среды разработки необходимо установить две
библиотеки, необходимые для правильного функционирования
бота, – библиотеку pyTelegramBotAPI и библиотеку pywapi [4].
Перейдем к делу. Напишем бот, который будет сообщать нам
погоду в двух столицах – Москве и Санкт-Петербурге. Для начала

Создание погодного бота с помощью Corezoid

Рисунок 1. Рабочая среда Corezoid
Corezoid – облачная операционная система на основе теории ко-
нечных автоматов, которая позволяет создавать боты (и не только)
с помощью блок-схем, без программирования [2]. Преимущество
Corezoid в том, что не нужно держать отдельный сервер для бота,
потому что вся информация хранится в облаке.
Бот создан, теперь для начала работы нужно зарегистрировать-
ся в Corezoid на официальном сайте ОС. Качать ничего не нуж-
но – все действия происходят в браузере. На рис. 1 представлена
рабочая среда Corezoid.
Далее заходим во вкладку Processes и находим шаблоны
для Telegram, в данном случае мы будем делать погодный бот,
поэтому выбираем WeatherBot v1 и копируем его во вновь создан-
ную папку.
После всех этих действий бот привязывается к WeatherBot,
для этого открываем информационное окно и в нем находим поле
Add a Channel.
Затем нажимаем на Telegram, и появляется окно добавления
канала, в него вставляем токен бота и сохраняем его. Окно добав-
Рисунок 2. Окно добавления канала
ления канала представлено на рис.2.
Теперь рассмотрим, как работает WeatherBot. На рис. 3 пред-
ставлена блок- схема алгоритма работы бота.
Начнем с Telegram bot key. Этот блок нужен для связки
Telegram-бота с блок-схемой, в поле код снова вводится токен
бота. Далее следует блок, который работает в режиме ожидания
команды /start. Если она приходит, то в ответ отправляется со-

системный администратор май 2016 91

 Наука и технологии
создаем новый проект в PyCharm. Внутрь этого проекта помещаем
два файла: main.py и constants.py. В первом из них будет находить-
ся скрипт нашего бота, а второй, в свою очередь, будет содержать
все константы (такие как приветственное сообщение, сообщение
для команды /help и другие), чтобы не засорять код в main.py.
Токен позволяет управлять ботом как угодно, а мы не хотим,
чтобы управление нашим ботом случайно оказалось в руках
какого-либо злоумышленника, поэтому лучше не вставлять токен
в основной код программы, а вынести его в отдельный файл. В на-
шем случае мы поместим его вместе с константами в constants.py.
Сейчас constants.py имеет следующий вид:
# Здесь введите токен бота, который вам вернул botFather
token = 'BotToken'
startAnswer = "Ну что же, приступим. Погоду в каком городе вы
хотели бы узнать?"
helpAnswer = """Доброго времени суток!
Меня зовут TwoCapitalsWeatherBot! Я – самый лучший погодный
бот во всем Telegram!
Я знаю все о погоде, но… только в двух городах… двух
столицах – Москве и Санкт-Петербурге
Для получения сводки о погоде в Москве нажмите /moscow
Вы хотите знать, что приготовила для вас питерская погода?
Нажмите /piter""
На этом файл constants.py можно сохранить и закрыть,
т.к. к нему больше возвращаться не будем.
Рисунок 3. Блок-схема работы бота
92
Перейдем к main.py. Для начала импортируем все необходимые
нам файлы и создадим объект нашего бота:
import telebot
import constants
import pywapi
где:
• Telebot – файл, который существенно упрощает нам процесс
создания бота.
• Constants – созданный нами файл с константами и токеном
бота.
• Pywapi – поможет нам получить новостную сводку [4].
Для начала создадим объект бота, через который будет
осуществляться обращение к API Telegram с использованием
методов, о которых рассказано на сайте Telegram в описании Bot
API. Для создания нужно вызвать его конструктор и в качестве
параметра передать токен бота.
bot = telebot.TeleBot(constants.token)
По мере усложнения функций бота код начинает расти,
что становится проблемой. Чтобы не загромождать код огром-
ным количеством циклов и конструкций if-elif-else, в библиотеке
май 2016 системный администратор

pyTelegramBotAPI существует хэндлеры или декораторы, которые
помогают справиться с этой проблемой. Декораторы указывают
библиотеке, что следующая дальше функция должна быть вызвана,
когда боту приходит сообщение с подходящим типом содержимо-
го. Хэндлеры существуют для всех типов сообщений, что удобно
и позволяет разделить код на логичные части, не нагромождая
его в одном месте, повышая читабельность. Важно отметить, что со-
общение будет обработано только в одном декораторе. Декораторы
будут проверяться в порядке их следования в коде. Использоваться
будет тот, который подошел под тип сообщения первым [5].
Внутри декораторов мы будем производить работу с текстом
входящих сообщений. Для того чтобы отправлять сообщение, нам
нужно знать id чата или пользователя. Id чата и id пользователя,
которому планируется отправить сообщение, совпадут только
в том случае, если переписка осуществляется в приватном чате
типа «пользователь – бот». Поэтому рекомендуется использовать
from_user.id вместо chat.id, но в нашем примере бот пишется
для приватного чата, поэтому можно воспользоваться chat.id.
Напишем три декоратора: первый предназначен для отправ-
ления «вступительного сообщения» при начале работы с ботом,
когда пользователь отправит команду /start, второй будет посылать
сообщение при получении команды /help, третий станет с помо-
щью pywapi получать погоду с сайта weather.com и преобразовы-
вать полученный json-объект в удобный для пользователя вид:
# декоратор для отправки сообщения при получении команды /help
@bot.message_handler(commands=['help'])
def handle_text(message):
bot.send_message(message.chat.id, constants.helpAnswer)
log(message, constants.helpAnswer)
#декоратор для отправки приветственного сообщения
@bot.message_handler(commands=['start'])
def handle_start(message):
bot.send_message(message.chat.id, constants.startAnswer)
# декоратор для получения прогноза погоды с сайта weather.com
@bot.message_handler(content_types=['text'])
def handle_text(message):
# получаем словарь всех городов в мире, подходящих
# под отправленный пользователем запрос
city = pywapi.get_location_ids(message.text)
# перебираем словарь в целях получения последнего элемента
for i in city:
cityCode = i
# отправляем запрос на сайт, чтобы получить нужную нам
# метеорологическую сводку. cityCode содержит id нужного
# нам города
weather_com_result = ↵
Рисунок 4. Выбор типа блока Рисунок 5. Настройка блока
системный администратор май 2016
Наука и технологии
pywapi.get_weather_from_weather_com(cityCode)
# формирование сообщения с погодой из json-объекта,
# полученного от сайта
weatherReport = "It is " + weather_com_result ↵
['current_conditions']['text'].lower() + " and " + ↵
weather_com_result['current_conditions']['temperature'] + ↵
"°C now in " + message.text + "." + "\n" + ↵
"Feels like " + weather_com_result['current_conditions'] ↵
['feels_like'] + "°C. \n" + "Last update - " + ↵
weather_com_result['current_conditions']['last_updated']
bot.send_message(message.chat.id, weatherReport)
Разберемся для начала с тем, каким образом боты принимают
сообщения. Первый и наиболее простой вариант заключается
в периодическом опросе серверов Telegram на предмет наличия
новой информации. Осуществляется этой с помощью механизма,
называемого Long Polling, при котором на непродолжительное
время открывается соединение и все обновления тут же прилета-
ют боту. Этот способ прост, но не очень надежен. Первая причина,
почему этот метод не надежен, – это проблемы с серверами
Telegram. Cерверы Telegram периодически могут возвращать
ошибку 504 (Gateway Timeout), из-за чего некоторые боты впада-
ют в ступор. Даже использование библиотеки pyTelegramBotAPI
не всегда может помочь избежать такой ситуации. Второй при-
чиной может стать одновременный запуск нескольких ботов,
что повышает вероятность столкнуться с ошибками.
Альтернативой первому варианту являются веб-хуки, которые
работают несколько иначе. При установке веб-хука отпадает необ-
ходимость периодически самому опрашивать серверы, тем самым
исчезает неприятная причина падений ботов. Однако за это при-
ходится платить необходимостью установки полноценного веб-
сервера на ту машину, на которой планируется запускать боты.
Для примера погодного бота мы воспользуемся самым простым
вариантом на основе Long Polling [5].
Для того чтобы наш код не останавливался после одного
выполнения, нужно заставить скрипт постоянно опрашивать
сервер об обновлениях. Для этой цели можно использовать
цикл, но Telebot позволяет нам обойтись без цикла. Библиотека
pyTelegramBotAPI предоставляет нам функцию polling. Функ-
ция polling запускает Long Polling, а параметры none_stop=True
и interval = 0 говорят, что бот должен стараться не прекращать
работу при возникновении каких-либо ошибок и обновляться
без задержек. При этом за ботом все равно нужно следить, по-
скольку серверы Telegram периодически перестают отвечать
на запросы или делают это с большой задержкой, приводя
к ошибкам 5xх.
Рисунок 6. Пример работы запроса
93
 Наука и технологии
bot.polling(none_stop=True, interval=0)
Проверяем в Telegram работу нашего бота. На рис. 7 показан
пример работы бота. Все отлично работает. Теперь разберем одну
из особенностей Bot API, а именно кастомные клавиатуры. Такие
клавиатуры представляют собой обычные шаблоны сообщений.
Важной особенностью таких клавиатур является то, что команда,
отправляемая кнопкой клавиатуры, полностью соответствует
ее названию. К примеру, если кнопка называется /hellobot, то ко-
манда, которая отправляется при нажатии на эту кнопку, будет /
hellobot. В связи с этим использовать кастомные клавиатуры нуж-
но осторожно. Для создания кастомной клавиатуры нужно создать
объект типа ReplyKeyboardMarkup(). Далее добавляем построчно
элементы (также существует возможность сделать автоматиче-
ское разделение на строки, используя аргумент row_width), после
чего передаем в метод send_message(). Для того чтобы убрать
кастомную клавиатуру, к примеру, заменив ее на кнопку [/], не-
обходимо вместо объекта ReplyKeyboardMarkup() создать объект
ReplyKeyboardHide() и также передать его в send_message() [1].
Добавим кастомную клавиатуру, состоящую из трех клавиш: /help,
/moscow и /piter. Немного изменим код декоратора для команды /
start, который теперь будет выглядеть следующим образом:
#декоратор для отправки приветственного сообщения
@bot.message_handler(commands=['start'])
def handle_start(message):
user_markup = telebot.types.ReplyKeyboardMarkup(True, False)
user_markup.row('/moscow', '/piter')
user_markup.row('/help')
bot.send_message(message.chat.id, constants.startAnswer, ↵
reply_markup=user_markup)
log(message, constants.startAnswer)
Теперь при отправке боту команды /start, кроме приветственного
сообщения, мы получим еще и кастомную клавиатуру с клави-
шей /help в нижнем ряду и клавишами /moscow и /piter в верхнем.
Для клавиши /moscow и /piter добавим декораторы, которые при на-
жатии на эти клавиши отправят запрос на сайт в целях получения
прогноза погоды для Москвы и Санкт-Петербурга соответственно:
Рисунок 7. Пример работы бота
94
#декоратор для клавиши /moscow
@bot.message_handler(commands=['moscow'])
def handle_start(message):
weather_com_result = ↵
pywapi.get_weather_from_weather_com('RSXX0063')
weatherReport = "It is " + weather_com_result ↵
['current_conditions']['text'].lower() + " and " + ↵
weather_com_result['current_conditions']['temperature'] + ↵
"°C now in " + weather_com_result['location']['name'] + ↵
"." + "\n" + "Feels like " + weather_com_result ↵
['current_conditions']['feels_like'] + "°C. \n" + ↵
"Last update - " + weather_com_result ↵
['current_conditions']['last_updated']
bot.send_message(message.chat.id, weatherReport)
print(weather_com_result)
# декоратор для клавиши /piter
@bot.message_handler(commands=['piter'])
def handle_start(message):
weather_com_result = ↵
pywapi.get_weather_from_weather_com('RSXX0091')
weatherReport = "It is " + weather_com_result
['current_conditions']['text'].lower() + " and " + ↵
weather_com_result['current_conditions']['temperature'] + ↵
"°C now in " + weather_com_result['location']['name'] +
"." + "\n" + "Feels like " + weather_com_result ↵
['current_conditions']['feels_like'] + "°C. \n" + ↵
"Last update - " + weather_com_result ↵
['current_conditions']['last_updated']
bot.send_message(message.chat.id, weatherReport)
Наш бот готов. Осталось проверить его работоспособность.
На рис. 8 представлен пример реализации бота с кастомной кла-
виатурой.
Все отлично работает. Пример простого погодного бота
для Telegram реализован успешно!
Заключение
В данной статье были разобраны два способа создания бота.
Нельзя абсолютно точно сказать, что какой-то из этих методов
определенно лучше другого. Оба этих метода имеют свои преиму-
щества и свои недостатки.
Метод Corezoid основан на использовании облачной операци-
онной системы Corezoid. Основными преимуществами являются:
Рисунок 8. Пример реализации бота с кастомной клавиатурой
май 2016 системный администратор
 Наука и технологии

• В этом случае не требуется никаких серверов,
так как все хранится в облаке. Облако всегда обработает
нужную информацию, вне зависимости от нагрузки.
• Возможность сбора аналитических данных, в этом случае
Corezoid собирает всю статистику по количеству посещений,
а также по переходам от одного блока к другому. Следо-
вательно, можно выявить непопулярные блоки и убрать
их или переделать, тем самым оптимизировав бот.
Недостатком Corezoid является то, что разработчики все же
хотят зарабатывать. В связи с этим при использовании облачной
ОС плата взимается за каждый переход от одного блока к другому,
следовательно, при большой нагрузке на бот сильно возрастает
его цена.
Главным преимуществом метода «классического» программи-
рования (Python) являются гибкость процесса создания и функции
бота, а недостатком – необходимость установки полноценного
веб-сервера на машину с запущенным ботом. Также надо иметь
собственный SSL-сертификат, т.к. веб-хуки в телеграмме рабо-
тают только по HTTPS. К счастью, сейчас появилась поддержка
самоподписанных сертификатов.  EOF  language and cloud operating system Corezoid. The process of the
[1] Сайт с описанием Bot API – https://core.telegram.org/bots/api.
[2] Сайт облачной операционной системы Corezoid – https://www.
corezoid.com.
[3] Документация Python – https://www.python.org/doc.
[4] Сайт с библиотекой pywapi – https://pypi.python.org/pypi/pywapi.
[5] Сайт библиотеки pyTelegramBotAPI – https://pypi.python.org/pypi/
pyTelegramBotAPI.
Ключевые слова: Python, Corezoid, Telegram, bot, бот, разработка.
Bot development for Telegram: by using Python programming language
and cloud operating system Corezoid
Koloskov V.L., a student of the 4th year undergraduate, vlkoloskov@edu.hse.ru
Pavlov I.Y., a student of the 4th year undergraduate, pavlov.ilya.y@gmail.com
Ivanov E.B., a student of the 4th year undergraduate, ebivanov@edu.hse.ru
Higher School of Economics, Moscow
Summary: In our time of rapid development of IT technologies,
messenger for phones and tablets are gaining immense popularity. One
of the most sophisticated and technologically advanced messengers
is Telegram Messenger, which gained popularity in Runet. The main
feature of this application are bots, or «intelligent assistant» which
distinguishe it from competitors. This article describes the process
of bot development for Telegram by using Python programming
bot registration and some simple commands are considered in the
beginning of the work. This paper ends with an information about pros
and cons of these two development approaches.
Keywords: Python, Corezoid, Telegram, bot, development.

«Студент, лови момент!» +7 (499) 277-12-41 sa@samag.ru

Ребята! Наша редакция проводит акцию для студентов.

Подписывайся на печатную версию журнала «Системный администратор» на год или на полгода
по специальной студенческой скидке за 50% от стоимости и получай электронную версию в подарок!
Сделать это очень просто:
1. Нужно зарегистрироваться на сайте http://samag.ru/registration.
2. Выслать на адрес subscribe@samag.ru:
 скан студенческого билета;
 e-mail, который использовался при регистрации.
3. После подтверждения получения этих данных ты сможешь использовать
на странице http://samag.ru/subscribe код на скидку: МАЙ2016

Студент, лови момент!

Получай полную подписку за полцены на ключевое
ИТ-издание, в котором делятся своим опытом гуру
ИТ-практики.
В журнале «Системный администратор» специально Жур
нал

для студентов есть разделы «Карьера/Образование»

вхо
дит
вп
ереч
ень
ВА
КМ
ино
№05(1 брн

и «Наука и технологии».
май 62) аук
2016 и РФ

Шаб
в Vir лон
ык
tuoz
zo онте
йне
Как ров
прил писать
ожен м
ия бы обил
Тех стре ьны
н е
Авт ологи
е
омат я
изир Cucu
ES Д уе м от mber
Раз екор
четн
ато ость
бира
емся ры
в дет
алях

системный администратор май 2016 95

За
по щи
др
учн та
ым от
Нау
ка и
ис
ред DD
техн
олог ств oS
Иссл
неко едован
LINP торых ие во
з
ии ам
и -а
 Зал славы «СА»

Человек и машина
Издается с 2002 года
«Системный администратор» включен в перечень веду-
щих рецензируемых журналов ВАК Минобрнауки РФ

Включен в Российский индекс

научного цитирования www.elibrary.ru
Представляя читателю очередной «экспонат» нашего вирту- Научный руководитель журнала –
ального музея компьютерных и информационных технологий, председатель Редакционной коллегии
А.Н. Тихонов, научный руководитель, директор
ключевое слово приходится брать в кавычки. Потому что речь МИЭМ НИУ ВШЭ, д.т.н., профессор, академик РАО
пойдет о человеке и вычислительной машине, носящих одно
Главный редактор
и то же имя. Об английском математике Алане Мэтисоне Тью- Галина Положевец, chief@samag.ru
ринге и созданной им «машине Тьюринга». Это определение Генеральный директор
Владимир Положевец
тоже требует кавычек, потому что это скорее абстрактная Шеф-редактор журнала
математическая схема. Впрочем, под руководством Тьюринга «Системный администратор»
Владимир Лукин, lukin@samag.ru
были созданы и вполне материальные – «в железе» – вычис- Заместитель главного редактора
Ирина Ложкина, lozhkina@samag.ru
лительные устройства, сыгравшие важную роль в ходе Второй мировой войны. Заместитель главного редактора,
О жизни Тьюринга – недолгой, замечательной и трагической – написаны книги и сняты филь- официальный представитель редакции в Украине
Сергей Яремчук, grinder@samag.ru
мы. И она того стоила. Математический гений – со всеми присущими такому типу людей стран- Директор по развитию
ностями. Прекрасный спортсмен, автор рекордов в беге на длинные дистанции. Создатель не- Ирина Пушкина, i.pushkina@samag.ru
превзойденной для своего времени схемы «взлома» немецких секретных радиограмм, за свои Главный бухгалтер Юридический отдел
военные заслуги награжденный высшей государственной наградой – Орденом Британской им- Надежда Кан Владимир Столяров
buch@samag.ru stolyarov@samag.ru
перии. Автор чисто умозрительных «машины Тьюринга» и «теста Тьюринга» (последний стал
одной из пионерских работ в исследовании искусственного интеллекта). Как писали в старину Реклама Распространение
в официальных биографиях: и прочая, и прочая… А еще – преданный забвению и остракизму из- reklama@samag.ru Олег Иванов
subscribe@samag.ru
гой и преступник, не выдержавший травли и покончивший жизнь самоубийством, едва разменяв
пятый десяток. Преступлением Тьюринга стала его «нетрадиционная ориентация», за которую Дизайн обложки Дизайн-макет
Михаил Лебедев Марина Рязанцева,
на его родине (и не только там) в середине прошлого века полагалась уголовная статья.
Дмитрий Бессонов
Он родился в Лондоне в 1912 году в аристократической семье и с раннего детства обнару- Иллюстрация
жил выдающиеся математические способности. Закончил с отличием школу и престижный Ко- Виктор Чумачев

ролевский колледж в Кембридже. В возрасте 24 лет переформулировал знаменитую теорему Редакционная коллегия
Геделя о неполноте и предложил первую модель компьютера общего назначения – абстракт- Д. Ю. Гудзенко, к.т.н., директор Центра компьютерного
обучения «Специалист» при МГТУ им. Н.Э. Баумана
ную «машину Тьюринга», позволившую формализовать понятие алгоритма. По сути, это была Д. Ю. Динцис, д.т.н., ведущий преподаватель Центра
впервые ясно выраженная идея Универсальной машины, способной вычислить все, что можно компьютерного обучения «Специалист» при МГТУ
им. Н.Э.Баумана
было вычислить в принципе. О.В. Китова, д.э.н., доцент, зав. кафедрой информатики
РЭУ им. Г.В.Плеханова, директор Академического
А когда началась война, талантливого математика привлекли к работе, самой
центра компетенции IBM «Разумная коммерция»
что ни на есть практической. Жизненно важной для британских военных: разгадывать немецкие в РЭУ им. Г.В.Плеханова
А. С. Крюковский, д.ф-м.н., профессор, лауреат
шифры и коды, с помощью которых, в частности, подлодки противника наводились на морские Государственной премии СССР, декан факультета
цели англичан и их союзников. Немецкое командование шифровало свои сообщения с помо- информационных систем и компьютерных технологий
Российского нового университета
щью лучшей на то время шифровальной машины Enigma. И именно Тьюринг предложил взло- Э. С. Клышинский, к.т.н., доцент департамента компьютерной
мать коды немецкой машины с помощью машины же – но собственной. Под его руководством инженерии НИУ ВШЭ
Л.А. Крукиер, д.ф-м.н., профессор, главный научный
такая машина – Bombe – была создана и успешно справилась с поставленной задачей. Начиная сотрудник кафедры высокопроизводительных вычислений
с 1942 года британское Адмиралтейство было в курсе всех намечавшихся морских операций и информационно-коммуникационных технологий
Южного федерального университета
противника. Хотя использовало эту информацию строго дозировано – чтобы ни в коем слу- С. Р. Тумковский, д.т.н., профессор департамента
чае не дать противнику понять, что его секретные радиограммы прочитаны. «Статистическую» компьютерной инженерии НИУ ВШЭ, лауреат Премии
Правительства РФ в области науки и техники
схему контрмер разработал, кстати, тот же Тьюринг – не без моральных колебаний. Потому А. В. Тетюшев, к.т.н., доцент Вологодского государственного
что, следуя его схеме, Адмиралтейство какие-то свои корабли – и жизни находившихся на них технического университета

солдат – спасало (изменив маршруты следования, или усиливая охрану конвоев, или заблаго-
временно топя вражеские подлодки и сбивая вражеские самолеты), другие же суда продолжали
следовать своим курсом, попадая под удары немецких субмарин или авиации…
До конца войны Тьюринг успел еще много чего – разработал портативный дешифратор
Delilah, а также расшифровал еще более сложные коды для немецкой машины Lorentz, пред-
назначенной для шифровки сообщений высшего командования вермахта. Для решения по-
следней задачи Тьюринг привлек в свою команду опытного инженера-электронщика Томаса
Флауэрса, с помощью которого была создана одна из первых в мире ЭВМ – Colossus.
А после войны ученый разрабатывал первый в мире компьютер с хранимой в памяти про-
граммой – ACE, принимал участие в создании компьютера Mark I, опубликовал пионерские
работы по проблеме искусственного интеллекта (тот самый «тест Тьюринга», позволяющий
ответить на вопрос, может ли машина мыслить) и математической биологии, придумал первую
шахматную программу для компьютера…
Он бы еще, наверное, многое успел, если бы не проблемы с собственной «биологией»,
каковые тогда трактовались исключительно как уголовно наказуемое извращение. Бездушной
машиной, лишенной интеллекта и человечности, оказалось британское правосудие. Только
спустя полвека глава правительства Великобритании официально извинился перед давно
умершим человеком, который посмертно был признан «одним из 100 величайших британцев
в истории».  EOF 
Владимир Гаков
Экспертный совет
Рашид Ачилов, главный специалист по защите информации
Сергей Барамба, эксперт по системным решениям
Алексей Бережной, эксперт по администрированию и ИБ
Андрей Бирюков, ведущий системный инженер по ИБ
Алексей Вторников, эксперт по вопросам разработки ПО
Константин Кондаков, старший директор по ИТ
Кирилл Сухов, ведущий специалист направления интернет-
разработки
Леонид Шапиро, эксперт по ИБ и инфраструктурным проектам
Сергей Яремчук, эксперт по ИБ
Издатель
ООО «Издательский дом Положевец и партнеры»
Адрес редакции
129075, г. Москва, Шереметьевская ул., д. 85, стр. 2, офис 405,
тел.: (499) 277-12-41, факс: (499) 277-12-45
Сайт журнала: www.samag.ru
Отпечатано в типографии
OOO «Периодика»Тираж 17000 экз.
Все права на материалы принадлежат журналу «Системный
администратор». Перепечатка и использование материалов
в любой форме, в том числе и в электронных СМИ,
без разрешения запрещена. При использовании материалов
ссылка на журнал «Системный администратор» обязательна.
Материалы отмеченные знаком ADV публикуются на коммерческой
основе. Редакция не несет ответственности за достоверность
информации в материалах, опубликованных на правах рекламы.

96 май 2016 системный администратор

 x (1) , , x(N ) OPT
⎛ ⎞  xn (x( ) x(N )

Новый статус
eiN = ⎜ 0, , 0,1, 0, , 0 ⎟
⎜    
  ⎟ eN ( ) RN
журнала
⎝ i N −i ⎠
⎛ 1
⎜N , , N −1 , kN −1
,N ,
1
,N
X {x ( ) x ( N )} ⎝ Ndomv

n
–
N N ША
ε e ( x ) = ∑ eiN χ ( x = x ( i ) )

новые возможности!
domv i =1

ваши SK { }

n1
( ) n 2, 3, 1, 4, 5
ШАГ
www.samag.ru
xn x (i ) pn pn − γ n R ( xn pn n )
N
STAT ε
GR
q πεN q i −1

∑ p ( j) ≤
i
< ∑ pn ( j )

Журнал «Системный администратор»

n n
j =1 j =1

вошел в перечень
S ST рецензируемых научных
S AT
изданий Высшей аттестационной комиссии – ВАК!
ERR
⎧ N
⎫
SεN ⎨p = ( p pN ) p R N , ∑ pi = 1 pi ≥ ε ( i N )⎬

N
⎩ i =1 ⎭

Высокий уровень авторского контента «Системного администратора», давно

ценимый
(
нашими
pn )
читателями, официально признан государством и российским
Rn x xn p pn n

научным сообществом.

Мы получили статус издания, в котором публикуются основные научные

результаты на соискание ученой степени кандидата наук, доктора наук.
n γ >0
N
π
ε {q} q = mi
m nN p q R ( xn , pn ,ξ n ) Rn
p S
Редакция p
журнала
ε
⎧⎪
π ⎨p −γ
ξ −Δ приглашает
⎫⎪
e ( x )⎬
к сотрудничеству всех тех, N n

e (x ) p
n +1 ε n+1 n n T n

чьи профессиональные интересы связаны с научными изысканиями

⎩⎪ ⎭⎪
в сфере
⎡ N −1
n n

информационных
N технологий. ε ∈ ⎣ 0,
pn +1 πε n+1 pn − n
n R xn pn n
Требования к публикациям научных статей размещены на сайте журнала
n  1, 2, 
«Системный администратор»: http://samag.ru/main/part/49
ξn ξ n xn ω n
1 n
Φn = ∑ ξt ;
n t =1

n FGUI
⎧⎪ ⎛ ξ − ξn − Δ ξn − Δ ⎞⎫
) ⎟⎟ ⎬⎪
⎜ e ( x ) p ( n ) eT ( x ) p d ( n − ) eT ( x ) p d ( n
lim Φ n → υ .
pn +1 πεNn+1 pn − γ n ⎜ T n
⎨ e x + e x + e x
⎩⎪ ⎝ n n n n n n ⎠ ⎭⎪
n →∞
→

(− − )

Заявки на публикацию статей в раздел

(1, 2,«Наука
1, 2, 1) OPT
и технологии»
присылайте на e-mail: vak@samag.ru N
Специальная акция
для системных администраторов
«Малина для админа»

Регистрируйте новые базовые

лицензии Kaspersky Internet
Security для всех устройств,
Kaspersky Endpoint Security для
бизнеса (Стартовый, Стандартный,
Расширенный) и Kaspersky Total
Security для бизнеса с защитой
до 249 узлов, получайте баллы
каждую пятницу и выбирайте
подарки! И не забывайте
рассказывать об акции своим
друзьям-сисадминам! Ведь новые
участники, указавшие при
регистрации в акции промо-код
OF823, получают на свой счет 100
приветственных баллов. Эти баллы
активируются после одобрения
первой лицензии, отвечающей
условиям акции.

По просьбам более 3 тысяч

постоянных участников акции
«Малина для админа» мы продлили
акцию до 31 декабря 2016 года.

MALINA.KASPERSKY.RU

© АО «Лаборатория Касперского», 2016. Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей. Реклама