Wake-on-LAN ( WoL или WOL ) — это стандарт компьютерной сети Ethernet или Token Ring , который позволяет включать компьютер или выводить его из спящего режима с помощью сетевого сообщения.
Эквивалентные термины включают пробуждение по глобальной сети , удаленное пробуждение , включение по локальной сети , включение по локальной сети , возобновление по локальной сети , возобновление по локальной сети и пробуждение по локальной сети . Если пробуждаемый компьютер обменивается данными через Wi-Fi , необходимо использовать дополнительный стандарт Wake on Wireless LAN (WoWLAN). [1]
Сообщение обычно отправляется на целевой компьютер программой, выполняемой на устройстве, подключенном к той же локальной сети . Также возможно инициировать сообщение из другой сети с помощью широковещательной рассылки, направленной на подсеть, или службы шлюза WoL.
Стандарты WoL и WoWLAN часто дополняются поставщиками для предоставления прозрачных для протоколов услуг по требованию, например, в функции пробуждения по требованию Apple Bonjour ( Sleep Proxy ). [2]
В октябре 1996 года Intel и IBM сформировалиАльянс расширенного управления (AMA). В апреле 1997 года этот альянс представил технологию Wake-on-LAN.[3][4]
Соединения Ethernet , включая домашние и рабочие сети, беспроводные сети передачи данных и сам Интернет , основаны на кадрах, передаваемых между компьютерами. WoL реализуется с использованием специально разработанного кадра, называемого магическим пакетом, который отправляется всем компьютерам в сети, в том числе компьютеру, который нужно разбудить. Волшебный пакет содержит MAC-адрес компьютера назначения. Это идентификационный номер, встроенный в каждый контроллер сетевого интерфейса (NIC), который позволяет однозначно распознавать и адресовать сетевой адаптер в сети. В компьютерах, поддерживающих Wake-on-LAN, сетевые карты прослушивают входящие пакеты, даже когда остальная часть системы выключена. Если приходит магический пакет и он адресован MAC-адресу устройства, сетевая плата сигнализирует блоку питания компьютера или материнской плате о необходимости пробуждения. Это имеет тот же эффект, что и нажатие кнопки питания.
Магический пакет транслируется на канальном уровне всем подключенным устройствам в данной сети с использованием сетевого широковещательного адреса ; IP -адрес (относящийся к интернет-уровне ) не используется. Поскольку Wake-on-LAN основан на широковещательном обмене сообщениями, его обычно можно использовать только внутри подсети . Однако на практике Wake-on-LAN может работать в любой сети при наличии соответствующей конфигурации и оборудования, включая удаленное пробуждение через Интернет.
Чтобы функция Wake-on-LAN работала, части сетевого интерфейса должны оставаться включенными. Это потребляет небольшое количество энергии в режиме ожидания . Чтобы еще больше снизить энергопотребление, скорость соединения обычно снижается до минимально возможной (например, сетевая плата Gigabit Ethernet поддерживает соединение со скоростью только 10 Мбит/с). Отключение Wake-on-LAN, когда оно не требуется, может немного снизить энергопотребление на компьютерах, которые выключены, но все еще подключены к розетке питания. [5] На устройствах с батарейным питанием, таких как ноутбуки, необходимо учитывать утечку энергии, поскольку это может привести к разрядке аккумулятора, даже если устройство полностью выключено.
Магический пакет — это кадр , который чаще всего отправляется в виде широковещательной рассылки и который содержит в любом месте своей полезной нагрузки 6 байт из всех 255 (FF FF FF FF FF FF в шестнадцатеричном формате ), за которыми следуют шестнадцать повторений 48-битного MAC-адреса целевого компьютера. , всего 102 байта.
Поскольку магический пакет сканируется только на предмет указанной выше строки и фактически не анализируется полным стеком протоколов, он может быть отправлен как полезная нагрузка любого протокола сетевого или транспортного уровня, хотя обычно он отправляется как дейтаграмма UDP на порт . (номер зарезервированного порта), [6] 7 ( протокол эха ) или 9 ( протокол сброса ), [7] или напрямую через Ethernet с использованием EtherType 0x0842. [8] Протокол транспортного уровня , ориентированный на соединение, такой как TCP , менее подходит для этой задачи, поскольку требует установления активного соединения перед отправкой пользовательских данных.
Стандартный магический пакет имеет следующие основные ограничения:
Реализация Wake-on-LAN спроектирована так, чтобы быть простой и быстро обрабатываться схемами, присутствующими на сетевой интерфейсной карте, с минимальным энергопотреблением. Поскольку Wake-on-LAN работает ниже уровня протокола IP, IP-адреса и DNS-имена не имеют смысла, поэтому требуется MAC-адрес.
Принципиальным ограничением стандартного широковещательного Wake-on-LAN является то, что широковещательные пакеты обычно не маршрутизируются. Это предотвращает использование этой технологии в более крупных сетях или через Интернет. Широковещательная рассылка по подсетям (SDB) [9] [10] может использоваться для преодоления этого ограничения. SDB может потребовать внесения изменений в конфигурацию промежуточного маршрутизатора. SDB обрабатываются как одноадресные сетевые пакеты до тех пор, пока не будут обработаны конечным (локальным) маршрутизатором. Затем этот маршрутизатор передает пакет, используя широковещательную рассылку уровня 2. Этот метод позволяет инициировать широковещательную рассылку в удаленной сети, но требует, чтобы все промежуточные маршрутизаторы пересылали SDB. [11] [12] При подготовке сети для пересылки пакетов SDB необходимо позаботиться о фильтрации пакетов так, чтобы разрешались только нужные (например, WoL) пакеты SDB – в противном случае сеть может стать участником DDoS- атак, таких как атака Smurf. . [13]
Технология Wake-on-LAN может оказаться сложной в реализации, поскольку для ее надежной работы требуется соответствующий BIOS/ UEFI , сетевая карта, а иногда и поддержка операционной системы и маршрутизатора. В некоторых случаях оборудование может выйти из одного состояния пониженного энергопотребления, но не из другого. Это означает, что из-за аппаратных проблем компьютер может выйти из состояния мягкого выключения (S5) , но не выйдет из режима сна или гибернации или наоборот.
Начиная с Windows Vista, операционная система регистрирует все источники пробуждения в журнале системных событий. Средство просмотра событий и powercfg.exe /lastwakeкоманда могут их получить. [14]
Волшебные пакеты отправляются через канал передачи данных или уровень OSI-2 , который может использоваться или злоупотреблять кем угодно в той же локальной сети, если только оборудование локальной сети L2 не способно (и не настроено для) фильтровать такой трафик в соответствии с требованиями безопасности в масштабе всего сайта. .
Брандмауэры могут использоваться для предотвращения доступа клиентов общедоступной глобальной сети к широковещательным адресам внутренних сегментов локальной сети, или маршрутизаторы могут быть настроены на игнорирование широковещательных рассылок, направляемых подсетями (см. выше).
Некоторые сетевые карты поддерживают функцию безопасности под названием «SecureOn». Это позволяет пользователям хранить в сетевой карте шестнадцатеричный пароль длиной 6 байт. Клиенты должны добавить этот пароль к волшебному пакету. Сетевая карта пробуждает систему только в том случае, если MAC-адрес и пароль верны. Эта мера безопасности значительно снижает риск успешных атак методом перебора за счет увеличения пространства поиска на 48 бит (6 байт), до 296 комбинаций , если MAC-адрес полностью неизвестен. Однако любое сетевое подслушивание раскроет пароль в открытом виде. Тем не менее, лишь немногие производители сетевых карт и маршрутизаторов поддерживают такие функции безопасности. [ нужна цитата ]
Злоупотребление функцией Wake-on-LAN позволяет только включать компьютеры; сам по себе он не обходит пароль и другие формы безопасности и не может выключить компьютер после включения. Однако многие клиентские компьютеры пытаются загрузиться с PXE- сервера при включении WoL. Таким образом, комбинация DHCP- и PXE-серверов в сети иногда может использоваться для запуска компьютера с загрузочным образом злоумышленника, обходя любую защиту установленной операционной системы и предоставляя доступ к незащищенным локальным дискам по сети.
Использование технологии Wake-on-LAN в корпоративных сетях иногда может конфликтовать с решениями контроля доступа к сети, такими как 802.1X или аутентификация на основе MAC-адресов, что может препятствовать доставке магических пакетов, если оборудование WoL компьютера не предназначено для поддержки живой аутентификации. сеанс в состоянии сна. [15] Совместная настройка этих двух функций часто требует настройки временных параметров и тщательного тестирования.
Некоторые ПК оснащены технологией, встроенной в набор микросхем для повышения безопасности Wake-on-LAN. Например, Intel AMT (компонент технологии Intel vPro ) включает в себя Transport Layer Security (TLS), протокол отраслевого стандарта, который усиливает шифрование . [16]
AMT использует шифрование TLS для защиты туннеля внеполосной связи с ПК на базе AMT для команд удаленного управления, таких как Wake-on-LAN. AMT защищает туннель связи с помощью 128-битного шифрования Advanced Encryption Standard (AES) и ключей RSA с длиной модуля 2048 бит. [17] [18] Поскольку зашифрованная связь осуществляется вне диапазона, аппаратное обеспечение и встроенное ПО ПК получают волшебный пакет до того, как сетевой трафик достигнет программного стека операционной системы (ОС). Поскольку зашифрованная связь происходит «ниже» уровня ОС, она менее уязвима для атак вирусов, червей и других угроз, которые обычно нацелены на уровень ОС. [16]
ИТ-магазины, использующие Wake-on-LAN благодаря реализации Intel AMT, могут пробуждать ПК AMT в сетевых средах, требующих безопасности на основе TLS, таких как IEEE 802.1X , Cisco Self Defending Network (SDN) и Microsoft Network Access Protection (NAP). среды. [16] Реализация Intel также работает для беспроводных сетей. [16]
Поддержка Wake-on-LAN реализована на материнской плате компьютера и сетевой карте и, следовательно, не зависит от операционной системы, работающей на оборудовании. Некоторые операционные системы могут управлять поведением Wake-on-LAN через драйверы сетевого адаптера. Если на старых материнских платах сетевой интерфейс представляет собой сменную карту, а не интегрирован в материнскую плату, возможно, карту придется подключить к материнской плате с помощью дополнительного кабеля. Материнским платам со встроенным контроллером Ethernet, поддерживающим Wake-on-LAN, кабель не требуется. Блок питания должен соответствовать спецификациям ATX 2.01.
Старые материнские платы должны иметь встроенный разъем WAKEUP-LINK, подключенный к сетевой карте с помощью специального 3-контактного кабеля; однако системы, поддерживающие стандарт PCI 2.2 и имеющие сетевую карту, совместимую с PCI 2.2, обычно не требуют кабеля Wake-on-LAN, поскольку необходимое питание в режиме ожидания передается через шину PCI.
PCI версии 2.2 поддерживает PME (события управления питанием). Карты PCI отправляют и получают сигналы PME напрямую через разъем PCI, без необходимости использования кабеля Wake-on-LAN. [19]
Wake-on-LAN обычно необходимо включить в разделе «Управление питанием» утилиты настройки BIOS/UEFI материнской платы ПК, хотя в некоторых системах, таких как компьютеры Apple, он включен по умолчанию. В старых системах настройка BIOS/UEFI может называться WoL; в более новых системах, поддерживающих PCI версии 2.2, это может называться PME (события управления питанием, включая WoL). Также может потребоваться настроить компьютер на резервирование резервного питания для сетевой карты при выключении системы.
Кроме того, чтобы заставить Wake-on-LAN работать, иногда требуется включить эту функцию на сетевой карте или встроенном микросхеме. Подробности того, как это сделать, зависят от операционной системы и драйвера устройства.
Ноутбуки с процессорной технологией Intel Centrino или новее [20] (с явной поддержкой BIOS/UEFI) позволяют пробуждать компьютер с помощью Wake on Wireless LAN (WoWLAN).
В большинстве современных ПК ACPI уведомляется о «пробуждении» и берет на себя управление включением. В ACPI OSPM должен записать «источник пробуждения» или устройство, вызывающее включение питания — устройство, являющееся «мягким» выключателем питания, сетевую карту (через Wake-on-LAN), открытую крышку, температуру изменение и т. д. [14]
3-контактный интерфейс WoL на материнской плате состоит из контакта 1 +5 В постоянного тока (красный), контакта 2 «Земля» (черный), контакта 3 сигнала пробуждения (зеленого или желтого). [21] При подаче на сигнал пробуждения контакта 3 напряжения +5 В постоянного тока компьютер включится, если в конфигурации BIOS/UEFI включен WoL.
Программное обеспечение, отправляющее волшебный пакет WoL, в разных кругах называют одновременно «клиентом» и «сервером», что может стать источником путаницы. Хотя аппаратное обеспечение или встроенное ПО WoL, возможно, выполняет роль «сервера», веб-интерфейсы, которые действуют как шлюз, через который пользователи могут отправлять пакеты WoL без загрузки локального клиента, часто становятся известны пользователям как «Сервер Wake On LAN». . Кроме того, программное обеспечение, которое управляет возможностями WoL со стороны хостовой ОС, иногда может быть небрежно названо «клиентом», и, конечно, машины, на которых работает WoL, обычно являются настольными компьютерами конечных пользователей и, как таковые, являются «клиентами» в современный ИТ-разговор.
Для отправки волшебного пакета требуется знание MAC-адреса целевого компьютера. Программное обеспечение для отправки волшебных пакетов WoL доступно для всех современных платформ, включая Windows, Macintosh и Linux, а также для многих смартфонов . Примеры: Wake On LAN GUI, LAN Helper, Magic Packet Utility, NetWaker для Windows, Nirsoft WakeMeOnLAN, WakeOnLANx, EMCO WOL, Aquila Tech Wake on LAN, утилита ManageEngine WOL, FusionFenix и SolarWinds WOL Tool. [22] Существуют также веб-сайты, которые позволяют бесплатно отправлять Magic Packet онлайн. Пример исходного кода для добавления разработчиком Wake-on-LAN в программу легко доступен на многих компьютерных языках . Следующий пример приведен в Python 3:
импорт сокетаЗащиту wol ( lunaMacAddress : байты ): s = сокет . сокет ( socket.AF_INET , сокет.SOCK_DGRAM ) s . _ _ _ _ Setsockopt ( сокет . SOL_SOCKET , сокет . SO_BROADCAST , 1 ) Magic = b ' \xff ' * 6 + lunaMacAddress * 16 с . sendto ( magic , ( '<broadcast>' , 7 ))if __name__ == '__main__' : # передаем wol mac-адрес порта Ethernet устройства для пробуждения wol ( b ' \x00\x15\xB2\xAA\x5B\x00 ' )Если отправитель находится в той же подсети ( локальной сети, также известной как LAN ), что и компьютер, который нужно разбудить, проблем обычно не возникает. При отправке через Интернет, в частности при использовании маршрутизатора NAT (транслятор сетевых адресов), который обычно используется в большинстве домов, часто необходимо установить специальные настройки. Например, в маршрутизаторе управляемому компьютеру должен быть назначен выделенный IP-адрес (он же резервирование DHCP ). Кроме того, поскольку управляемый компьютер будет «спящим», за исключением некоторого количества электроэнергии, подаваемой на часть его сетевой карты, обычно он не будет зарегистрирован на маршрутизаторе как имеющий активную аренду IP-адреса.
Кроме того, протокол WoL работает на «более глубоком уровне» многоуровневой сетевой архитектуры. Чтобы обеспечить доставку волшебного пакета от источника к месту назначения, пока пункт назначения находится в режиме ожидания, привязка ARP (также известная как привязка IP и MAC) обычно должна быть установлена в маршрутизаторе NAT. Это позволяет маршрутизатору пересылать волшебный пакет на MAC-адаптер спящего компьютера на сетевом уровне ниже обычного использования IP. В маршрутизаторе NAT для привязки ARP требуется только выделенный IP-номер и MAC-адрес конечного компьютера. Существуют некоторые последствия для безопасности, связанные с привязкой ARP (см. Подмена ARP ); однако, пока ни один из компьютеров, подключенных к локальной сети, не скомпрометирован, злоумышленник должен использовать компьютер, который подключен непосредственно к целевой локальной сети (подключен к локальной сети через кабель или путем взлома безопасности соединения Wi-Fi, чтобы получить доступ к локальной сети).
Большинство домашних маршрутизаторов способны отправлять «волшебные пакеты» в локальную сеть; например, маршрутизаторы с прошивкой DD-WRT , Tomato или PfSense имеют встроенный клиент Wake-on-LAN. OpenWrt поддерживает обе реализации Linux для WoL etherwake и WoL.
Большая часть аппаратного обеспечения WoL функционально обычно заблокирована по умолчанию, и ее необходимо включить при использовании системного BIOS/UEFI. В некоторых случаях требуется дальнейшая настройка из ОС, например, через свойства сетевой карты в Диспетчере устройств в операционных системах Windows.
В более новых версиях Microsoft Windows функциональность WoL интегрирована в диспетчер устройств. Это доступно на вкладке «Управление питанием» свойств драйвера каждого сетевого устройства. Для полной поддержки возможностей устройства WoL (например, возможности выхода из состояния выключенного питания ACPI S5) может потребоваться установка полного набора драйверов от производителя сетевого устройства, а не простого драйвера, предоставляемого Microsoft или компьютером. производитель. В большинстве случаев для работы WoL также требуется правильная конфигурация BIOS / UEFI .
Возможность выхода из состояния гибридного завершения работы (S4) (также известного как быстрый запуск) или состояния мягкого отключения питания (S5) не поддерживается в Windows 8 и более поздних версиях, [23] [24] и Windows Server 2012 и более поздних версиях. [25] Это происходит из-за изменения в поведении ОС, из-за которого сетевые адаптеры явно не активируются для WoL, когда происходит завершение работы в этих состояниях. Поддерживается WOL из негибридного состояния гибернации (S4) (т. е. когда пользователь явно запрашивает переход в спящий режим) или из состояния сна (S3). Однако некоторое оборудование включает WoL из состояний, которые не поддерживаются Windows. [23] [24]
Современное оборудование Mac поддерживает функциональность WoL, когда компьютер находится в спящем состоянии, но невозможно вывести компьютер Mac из выключенного состояния.
Mac OS X Snow Leopard и более поздние версии поддерживают WoL, который называется Wake on Demand. На ноутбуках эта функция контролируется через панель «Настройки системы» macOS «Батарея» во всплывающем окне «Параметры». Для элемента « Пробуждение для доступа к сети » можно установить значение «Всегда», «Только от адаптера питания» или «Никогда»; «Всегда» включает Wake-on-LAN даже при питании от батареи, а «Только от адаптера питания» включает его только при подключении к источнику питания. На настольных компьютерах эта функция контролируется через панель «Энергосбережение» в настройках системы. Установка флажка «Пробуждение для доступа к сети» включает функцию «Пробуждение по локальной сети». [26] Его также можно настроить через терминал с помощью команды pmset womp (пробуждение по магическому пакету).
Для отправки пакетов Wake-on-LAN можно использовать систему управления клиентами Apple Remote Desktop от Apple , [27] но существуют также бесплатные и условно-бесплатные приложения для macOS. Механизм под названием Bonjour Sleep Proxy , предоставляемый точками доступа Apple AirPort и телевизорами Apple TV, позволяет другим компьютерам в локальной сети вызывать отправку пакета WoL на хост, когда этот компьютер обращается к одному из общих ресурсов хоста.
Поддержку Wake-on-LAN можно изменить с помощью подфункции команды ethtool , например:
ethtool -s eth0 воль гНа заре Wake-on-LAN ситуация была относительно простой: машина была подключена к источнику питания, но выключена, и было организовано отправку специального пакета для включения машины.
С тех пор было добавлено множество опций и согласованы стандарты. Машина может находиться в семи состояниях питания от S0 (полностью включено) до S5 (питание выключено, но подключено к сети) и отключено от питания (G3, механическое выключение) с такими названиями, как «сон», «режим ожидания» и «спящий режим». . В некоторых режимах пониженного энергопотребления состояние системы сохраняется в оперативной памяти, и машина может выйти из режима сна очень быстро; в других состояние сохраняется на диске, и материнская плата выключается, и для пробуждения требуется не менее нескольких секунд. Машину можно вывести из состояния пониженного энергопотребления с помощью различных сигналов.
В BIOS/UEFI устройства необходимо настроить разрешение Wake-on-LAN. Чтобы разрешить пробуждение из выключенного состояния S5, также требуется пробуждение по PME (событию управления питанием). Адаптер Intel поддерживает «Пробуждение по направленному пакету», «Пробуждение по пакету Magic», «Пробуждение по пакету Magic из состояния отключения питания» и «Пробуждение по каналу связи». [28] Пробуждение по направленному пакету особенно полезно, поскольку машина автоматически выходит из режима ожидания или гибернации при обращении к ней, без необходимости явной отправки волшебного пакета пользователю или приложению. К сожалению, во многих сетях пробуждение по направленному пакету (любому пакету с MAC-адресом или IP-адресом адаптера) или по каналу связи может вызвать пробуждение сразу после перехода в состояние низкого энергопотребления. Подробную информацию о конкретной материнской плате и сетевом адаптере можно найти в соответствующих руководствах; общего метода не существует. Знание сигналов в сети также может потребоваться для предотвращения ложного пробуждения.
Для машины, которая обычно находится без присмотра, необходимо принять меры предосторожности, чтобы сделать функцию Wake-on-LAN максимально надежной. Для машины, приобретаемой для работы таким образом, функция Wake-on-LAN является важной частью процедуры покупки.
Некоторые машины не поддерживают Wake-on-LAN после отключения от питания (например, при восстановлении питания после сбоя питания). Использование источника бесперебойного питания (ИБП) обеспечит защиту от кратковременного отключения электроэнергии, хотя при длительном отключении электроэнергии батарея разряжается.
Если компьютер, который не предназначен для поддержки Wake-on-LAN, остается выключенным после сбоя питания, можно настроить BIOS/UEFI на автоматический запуск при восстановлении питания, чтобы он никогда не оставался в выключенном состоянии. неотзывчивое состояние. Типичная настройка BIOS/UEFI — это функция AC back , которая может быть включена , выключена или включена память . В этом случае правильная настройка — « Вкл .»; Память , которая восстанавливает машину в состояние, в котором она находилась на момент отключения питания, может оставить машину, находящуюся в спящем режиме, в непробуждаемом состоянии.
Другие проблемы могут повлиять на возможность удаленного запуска или управления машиной: аппаратный сбой машины или сети, выход из строя батареи настроек BIOS/UEFI (машина останавливается при запуске до того, как будет установлено сетевое подключение, отображая сообщение об ошибке и требуя нажатие клавиши), потеря управления аппаратом из-за проблем с программным обеспечением (зависание аппарата, прекращение работы удаленного управления или сетевого программного обеспечения и т. д.), а также заражение вирусом или повреждение жесткого диска. Поэтому использование надежной машины серверного класса с RAID- дисками, резервными источниками питания и т. д. поможет максимизировать доступность. Кроме того, устройство, которое может выключать и снова включать машину, возможно, управляемое удаленным сигналом, может вызвать перезагрузку, что устранит проблемы, вызванные некорректным поведением программного обеспечения.
Для машины, которая не используется постоянно, энергию можно сохранить, переведя машину в режим ожидания RAM с низким энергопотреблением после короткого периода ожидания. Если задержка соединения в минуту или две приемлема, машина может перейти в спящий режим, выключиться и сохранить свое состояние на диске.
Источник сигнала пробуждения (магический пакет) не обязательно должен находиться в той же локальной сети (LAN), что и пробуждаемый компьютер. Его можно отправить откуда угодно, используя:
Как это работает, панель настроек энергосбережения
... По умолчанию традиционные пакеты пробуждения передаются через UDP-порт 9...