อะไรทำให้บางคนไม่สามารถกำหนดค่าเครือข่ายด้วยที่อยู่ IP ที่พวกเขาไม่ได้เป็นเจ้าของได้


22

นี่คือสถานการณ์ ฉันนึกภาพมหาวิทยาลัยที่ซื้อที่อยู่ IP หลายแห่ง ฉันคิดว่าพวกเขายังคงอยู่ใน ISP (ใช่ไหม) แต่พวกเขามีอิสระในการกำหนดค่าสิ่งต่าง ๆ ตามที่พวกเขาต้องการ

อะไรจะหยุดพวกเขาไม่ให้พวกเราเตอร์และโฮสต์ใช้ไอพีแอดเดรสแล้ว?

และจะเกิดอะไรขึ้นถ้ามีคนทำเช่นนี้?


6
มหาวิทยาลัยเป็น ISP ดั้งเดิม อินเทอร์เน็ตเป็นการทดลองทางวิชาการ / รัฐบาลร่วมกัน ในความเป็นจริงแล้วอินเทอร์เน็ตสาธารณะเป็นเพียงกลุ่มของผู้ให้บริการอินเทอร์เน็ตที่มีผู้ให้บริการอินเทอร์เน็ตรายอื่นเลือกเอง รัฐบาลที่กำลังมองหาวิธีในการสื่อสารต่อไปในกรณีที่เกิดภัยพิบัติ (เช่นสงครามนิวเคลียร์เหนือสิ่งอื่นใด) ได้ให้ทุนแก่มหาวิทยาลัยและโทรเลข (ในเวลาที่ AT&T ไม่ใช่คนที่คุณรู้จักในวันนี้ telco จริง) เพื่อกำหนดวิธีการในการรักษาการสื่อสารเมื่อเส้นทางถูกทำลายและส่งผลให้เกิดการสลับแพ็คเก็ตและอินเทอร์เน็ต
Ron Maupin

1
ตัวอย่างเช่นในสหราชอาณาจักร JISC ดูแลการจัดสรรเครือข่ายสำหรับมหาวิทยาลัย
หยุดทำร้ายโมนิก้า

ไม่มีอะไร แต่แน่นอนว่านี่ไม่ใช่ปัญหาของ IPv6
Reinstate Monica - M. Schröder

คำตอบ:


32

เป็นไปได้มากหากพวกเขาเป็นมหาวิทยาลัยขนาดใหญ่พวกเขาเป็น ISP ของตนเองโดยใช้BGPเพื่อเชื่อมต่อเครือข่ายของพวกเขากับอินเทอร์เน็ตผ่านเครือข่ายอัปสตรีมจำนวนมาก

ไม่มีอะไรจะหยุดพวกเขาจากการใช้ที่อยู่ IP ที่พวกเขาไม่ควรใช้และมันจะทำงานในเครือข่ายท้องถิ่นของพวกเขา อย่างไรก็ตามมันจะไม่ทำงานบนอินเทอร์เน็ต เครือข่ายอัปสตรีมของพวกเขาที่ให้การเชื่อมต่อควรมีตัวกรองซึ่งจะอนุญาตให้มหาวิทยาลัยโฆษณาที่อยู่ IP ที่กำหนดให้เท่านั้น หาก upstreams โดยตรงจะไม่กรองพวกเขา upstreams 'upstreams จะ และหากที่อยู่ IP ที่ใช้โดยเครือข่ายอื่นจะถูกใช้โดยมหาวิทยาลัยเครือข่ายอื่นนั้นจะไม่สามารถเข้าถึงได้จากเครือข่ายมหาวิทยาลัย

นอกจากนี้ยังมีโครงการจำนวนมาก (ตัวอย่างเช่นRIPE RISและBGPmon ) ที่ตรวจสอบตารางเส้นทางและการแจ้งเตือนเกี่ยวกับการโฆษณา IP "ผิดกฎหมาย" ( BGP hijacksและการกำหนดเส้นทางผิดปกติ)


11
น่าเศร้าแม้กระทั่งทุกวันนี้ก็ยังไม่ได้หมายความว่าจะมี
Josef

7
@Josef เพื่อความยุติธรรม BGP ถูกสร้างขึ้นในช่วงเวลาของ "ความเชื่อมั่นโดยนัย" - เจ้าของโหนดอินเทอร์เน็ตทุกคนรู้จักเจ้าของโหนดอินเทอร์เน็ตอื่น ๆทุกคนดังนั้นพวกเขาจึงรู้ว่าใครเป็นเจ้าของอะไรและมีผลกระทบทางสังคมสำหรับการหักหลัง BGP ไม่เคยได้รับการออกแบบให้ "ปลอดภัย" จริง ๆ มันถูกออกแบบมาให้ทำงาน
410_Gone

2
ผู้ให้บริการอินเทอร์เน็ตโดยทั่วไปได้รับการกรอง BGP ที่ดีขึ้นเนื่องจากมีการหยุดทำงานที่สำคัญบางอย่างเนื่องจากมีคน (โดยเจตนาหรือไม่ตั้งใจ) ที่โฆษณาเส้นทางปลอม
Barmar

1
ฉันจะเพิ่มว่าพวกเขาอาจจะได้รับการดูแลโดยเพื่อนบ้านของพวกเขา
PEdroArthur

1
ถ้าพวกเขาใช้ IP ของคนอื่นภายในมันจะทำงานเพื่อเข้าถึงไซต์นั้น แต่นั่นหมายความว่าทุกสิ่งที่โฮสต์โดยเจ้าของที่แท้จริงของ IP นั้นจะไม่สามารถเข้าถึงได้
Loren Pechtel

12

อะไรจะหยุดพวกเขาไม่ให้พวกเราเตอร์และโฮสต์ใช้ไอพีแอดเดรสแล้ว?

ไม่มีอะไร ในช่วงหลายปีที่ผ่านมาฉันได้เห็นทั้งองค์กรทุกขนาดทั้งภาครัฐและเอกชนทำสิ่งนี้รวมถึง บริษัท "แบรนด์" ที่เป็นที่รู้จักทั่วโลก ในความเป็นจริงฉันได้เห็นสิ่งนี้บ่อยครั้งกว่าการตั้งค่าทางธุรกิจมากกว่าการตั้งค่ามหาวิทยาลัย (ส่วนใหญ่เนื่องจากความจริงที่ว่ามีมหาวิทยาลัยจำนวนมากเข้ามามีส่วนร่วมในอินเทอร์เน็ตก่อนหน้านี้และช่วยกำหนดมาตรฐานและแนวทางปฏิบัติที่ดีที่สุดที่ใช้ในปัจจุบัน)

และจะเกิดอะไรขึ้นถ้ามีคนทำเช่นนี้?

วันนี้ไม่มีอะไรอื่นนอกจากองค์กรที่ไม่สามารถเข้าถึงบางส่วนของอินเทอร์เน็ตที่ทับซ้อนกันได้ ในอดีตสิ่งประเภทนี้ได้ก่อให้เกิดปัญหาร้ายแรงรวมถึง "การทำลายอินเทอร์เน็ต" สำหรับผู้ใช้บางคนหรือหลายคน (ในกรณีหนึ่ง ISP เดียวโดยไม่ได้ตั้งใจเผยแพร่เส้นทางเริ่มต้นไปยังอินเทอร์เน็ตที่บรรทุกเกินพิกัดเครือข่ายของตัวเอง พยายามเส้นทางผ่านพวกเขา)

เหตุการณ์ในอดีตเช่นที่คุณเสนอให้กลายเป็นโอกาสในการเรียนรู้และทำให้เกิดแนวทางปฏิบัติที่ดีที่สุดซึ่งรวมถึงการป้องกันจากการกำหนดค่าผิดประเภทนี้ ผู้ให้บริการส่วนใหญ่มักใช้BCP38 / RFC2827เพื่อกรองการรับส่งข้อมูลไปยังองค์กรที่เชื่อมต่อกับที่อยู่ IP ที่พวกเขาควรจะโฆษณาเท่านั้น

ผู้ให้บริการบางรายยังใช้ระบบการกรอง bogonซึ่งเมื่อดูแลรักษาอย่างเหมาะสมช่วยป้องกันการรับส่งข้อมูลจากพื้นที่ IP ที่ไม่ควรมีการรับส่งข้อมูลที่ถูกต้อง (เช่นช่วงที่อยู่ส่วนตัวพื้นที่ IP ที่ไม่ได้รับมอบหมายเป็นต้น) ในขณะที่รายการ bogon IPv4 มีขนาดเล็กลงมากในวันนี้ที่ผ่านมา (เช่นที่อยู่ IPv4 ส่วนใหญ่ได้รับมอบหมายในขณะนี้) รายการ bogon IPv6 ยังคงมีประโยชน์มากโดยเฉพาะอย่างยิ่งในผู้ให้บริการขนาดใหญ่เพื่อ จำกัด ขอบเขตของการนั่งยอง IP พื้นที่)


8

ไม่มีอะไรจะหยุดพวกเขาโดยใช้ที่อยู่ในเครื่องของตัวเอง

จะเกิดอะไรขึ้นหากพวกเขาพยายามโฆษณากับอินเทอร์เน็ตขึ้นอยู่กับว่าผู้ให้บริการของพวกเขาเลอะเทอะอย่างไร หากผู้ให้บริการของพวกเขาปฏิบัติตามแนวทางปฏิบัติที่ดีแล้วก็จะมีตัวกรองอยู่และโฆษณาจะไม่ไปไกลเกินขอบเขตของนักจี้

OTOH ถ้าผู้ให้บริการของพวกเขาและผู้ให้บริการของพวกเขาเลอะเทอะการประกาศปลอมสามารถดำเนินการต่อไปได้มากขึ้นส่งผลให้เจ้าของลิขสิทธิ์ที่ถูกกฎหมายของพื้นที่ไอพีนั้นหยุดชะงัก

เหตุการณ์ดังกล่าวจะสังเกตเห็นได้อย่างแน่นอนและอาจมีการพูดคุยกันอย่างดุเดือดและมีการกรองพิเศษเพิ่มเติม


6

สมมติว่าฉันมีสองเครื่อง ฉันกำหนดที่อยู่ 1.2.3.4 ให้หนึ่งและ 1.2.3.5 ให้กับอีกที่หนึ่ง ฉันไม่ได้เป็นเจ้าของที่อยู่เหล่านี้

ตราบใดที่ฉันไม่ได้ลองอินเทอร์เน็ตเครื่องทั้งสองนี้สามารถพูดคุยกันได้โดยไม่มีปัญหา

ตอนนี้ฉันเชื่อมต่ออินเทอร์เน็ต คำตอบอื่น ๆ พูดถึงตัวกรองที่ปิดกั้นสิ่งต่าง ๆ แต่ให้เราเพิกเฉยสักครู่

เครื่องของฉัน 1.2.3.4 พยายามเชื่อมต่อกับที่อยู่ที่ถูกต้องเช่น 12.34.56.78 สมมติว่าที่อยู่นี้มีอยู่และถูกควบคุมโดยเจ้าของที่เหมาะสม

ดังนั้นเครื่องของฉันส่งแพ็กเก็ต:

จาก 1.2.3.4, ถึง: 12.34.56.78, เนื้อหา: ต้องการเป็นเพื่อน? (แปลเป็นมนุษย์)

เราเตอร์ดูที่ส่วน: ถึงและส่งไปที่ 12.34.56.78 อย่างถูกต้อง เครื่องนี้ไม่สงสัยอะไรเลยและปฏิบัติตามคำตอบ

จาก: 12.34.56.78, ถึง: 1.2.3.4, เนื้อหา: แน่นอน, มาเป็นเพื่อนกัน!

ตอนนี้มาถึงปัญหา คำตอบนี้จะไม่ถูกส่งถึงคุณ แต่มันจะถูกส่งไปยัง1.2.3.4 จริงซึ่งจะสับสนมาก

ดังนั้นหากคุณใช้ที่อยู่ผิดคุณสามารถพูดคุยกับอินเทอร์เน็ตได้ แต่อินเทอร์เน็ตจะไม่ตอบคุณ


4
"อินเทอร์เน็ตจะไม่ตอบคุณ" หากคุณโฆษณาที่อยู่ปลอมผ่าน BGP และไม่มีใครบล็อกการประกาศของคุณส่วนใหญ่ของอินเทอร์เน็ตอาจตอบคุณอย่างน้อยที่สุดก็จนกว่าคนจะรู้ว่าเกิดอะไรขึ้น
ปีเตอร์กรี

2
ผู้ให้บริการอินเทอร์เน็ตที่เหมาะสมจะใช้ BCP38 ดังนั้นความพยายามของคุณในการ "พูดคุยกับอินเทอร์เน็ต" จะสิ้นสุดลงในตัวกรองการต่อต้านการปลอมแปลง
Teun Vink

สิ่งที่คุณอธิบายไม่ได้เป็นความพยายามที่ไม่ทำงานในการเชื่อมต่ออินเทอร์เน็ต แต่ในความเป็นจริงแล้วการโจมตี DOS ที่อาจเกิดขึ้นใน 1.2.3.4 จริง (และอาจเป็น 12.34.56.78) นั่นเป็นเหตุผลที่ตัวกรองที่กล่าวถึงโดยTeunVinkอยู่ (หวังว่า) ในสถานที่
Hagen von Eitzen

@HagenvonEitzen: ตัวกรองเหล่านี้แตกต่างกันอย่างสิ้นเชิง Teun กำลังพูดถึงการบล็อกโฆษณาเส้นทางโดยตรวจสอบโปรโตคอลการแลกเปลี่ยนเส้นทางเช่น BGP เพื่อป้องกันการปลอมแปลงแหล่งที่มา DDoS คุณต้องมีการกรองย้อนกลับเส้นทางบนแพ็คเก็ตที่ไม่มีส่วนเกี่ยวข้องกับการแลกเปลี่ยนเส้นทาง
Ben Voigt

2

มันจะทำให้แถบอินเทอร์เน็ตขนาดใหญ่ดับมืดสนิท

แน่ใจ สมมติว่าพวกเขาทำสิ่งที่พบได้ทั่วไปในการใช้ที่อยู่ IP ส่วนตัวภายในเครือข่ายของพวกเขาเช่น 10.xxx .. คุณรู้ว่าการเจาะการแปลที่อยู่เครือข่ายที่ขอบเครือข่ายของพวกเขาเช่นเดียวกับเครือข่ายในบ้านของคุณ

ยกเว้นว่าพวกเขาตัดสินใจ 10.xxx นั้นเข้มงวดเกินไปสำหรับพวกเขาและพวกเขาเริ่มกำหนดที่อยู่ IP สาธารณะภายใน มันจะทำงานในตอนแรก แต่ปัญหาจะเริ่มโผล่ขึ้นมา

มันเป็นเรื่องของเวลาก่อนที่ใครบางคนใช้ 172.217.15.68 สำหรับเครื่องแล็บ นี่เป็นหนึ่งในที่อยู่ IP ที่ DNS ได้รับการแก้ไขสำหรับ www.google.com ตอนนี้บางครั้งเมื่อมีคนภายในมหาวิทยาลัยพยายามที่จะทำค้นหาใน Google, เว็บเบราว์เซอร์ของพวกเขาไปที่ห้องปฏิบัติการเครื่องที่แทน เนื่องจากเราเตอร์ภายในจะไม่มีความสามารถที่จะเข้าใจว่ามี 172.217.15.68 สองอันคือภายในหนึ่งและภายนอกหนึ่ง พวกเขาเพียงแค่กำหนดเส้นทางแพ็กเก็ตของคุณไปยังอุปกรณ์ภายใน

บล็อก IP ที่กำหนดไว้ภายในไม่สามารถกำหนดเส้นทางภายนอกได้

แต่มันแย่ไปกว่านั้น พวกเขากำหนด netblock ทั้งหมดดังนั้น 172.217.xx / 16 ทั้งหมดจะกำหนดเส้นทางไปยังห้องปฏิบัติการนั้น คุณอาจไม่ปิดบังทุก IP ของ Google แต่การค้นหาจำนวนมากจะล้มเหลว สำหรับชุดเล็ก ๆ อย่าง Craigslist ซึ่งที่อยู่ทั้งหมดของพวกเขาอยู่ใน netblock เดียวกันถ้ามหาวิทยาลัยกำหนดว่า netblock ภายในนั้นไซต์ทั้งหมดจะถูกบล็อกให้เย็น

สิ่งนี้จะไม่ส่งผลกระทบต่อทุกคนที่อยู่นอกเครือข่ายภายในของมหาวิทยาลัย ผู้ให้บริการภายนอกจะไม่ยอมรับการกำหนดพื้นที่ IP ของ Google อีกครั้ง การรับส่งข้อมูลเฉพาะที่ส่งไปยังมหาวิทยาลัยจะเป็นที่อยู่ IP สาธารณะที่มหาวิทยาลัยเป็นเจ้าของ

เพียงใช้ IPv6 แทน

หากคุณสมัคร Comcast พวกเขาจะให้ / 64 ของคุณเอง หากคุณถามเป็นอย่างดีฉันได้ยินมาว่าพวกเขาจะส่ง a / 48 ให้คุณ แต่สมมติว่าคุณได้รับ / 64 เท่านั้นจากนั้นทำพล็อตของRevOlutionและสร้าง nanites ที่จำลองตัวเองซึ่งกินพลังงานไฟฟ้าในปริมาณเดียวกับที่กล่าวไว้ในรายการ คุณมีที่อยู่ IPv6 เพียงพอสำหรับทุก nanite ที่จะมีเป็นของตัวเองหรือไม่

ใช่. และมีอะไหล่เพียงพอที่จะทำสิ่งนี้บนโลกคู่ขนาน 2 ล้าน

ดังนั้นหากคุณกังวลเกี่ยวกับที่อยู่ IP หมดนั่นคือวิธีที่จะไป


2

ตามที่ระบุไว้โดยคนอื่น ๆ ไม่มีอะไรป้องกันไม่ให้ใครทำเช่นนั้น แต่โดยทั่วไปสิ่งนี้จะไม่มีผลกระทบใด ๆ ภายนอกองค์กรและจะทำให้เกิดปัญหาภายใน

ตอนนี้หากคุณเป็น ISP ของคุณและเริ่มบอกคนอื่นว่าคุณเป็นผู้ใช้ในการกำหนดเส้นทาง IP นี้ (โดยใช้โปรโตคอลการกำหนดเส้นทางเช่น BGP) IP เหล่านั้นจะกลายเป็นของคุณเป็นระยะเวลาหนึ่ง ส่วนหนึ่งเป็นเพราะเมื่อพบปัญหามาตรการจะถูกนำไปใช้เพื่อหยุดมัน "ชั่วขณะหนึ่ง" ดีจนกว่าจะมีมาตรการ

เหตุการณ์ที่เกิดขึ้นกับ BGP เกิดขึ้นในอดีตทำให้การรับส่งข้อมูลถูกส่งไปยังสถานที่ที่ไม่ถูกต้อง นี่คือลิงก์ไปยังเหตุการณ์ล่าสุด: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ คุณสามารถ ค้นหา "การรั่วไหลของเส้นทาง BGP" เพื่อเรียนรู้เพิ่มเติม

อินเทอร์เน็ตมีความน่าเชื่อถือเป็นอย่างมาก สิ่งต่าง ๆ กำลังเปลี่ยนแปลงอย่างช้าๆ แต่ในหลาย ๆ กรณีผู้ให้บริการอินเทอร์เน็ตก็เชื่อมั่นใน ISP รายอื่น ๆ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.