Что мешает кому-то настроить свою сеть с IP-адресами, которые ему не принадлежат?


22

Вот сценарий. Я представлял университет, который купил ряд IP-адресов. Я думаю, что они все еще были бы внутри ISP (верно?), Но у них была бы свобода настраивать вещи так, как они хотели.

Что мешает им приписать свои маршрутизаторы и хосты, которые уже используют IP-адреса?

И что будет, если действительно кто-то сделает это?


6
Университеты были оригинальными провайдерами. Интернет был совместным академическим / правительственным экспериментом. На самом деле, общедоступный Интернет - это просто группа интернет-провайдеров, работающих с другими интернет-провайдерами по своему выбору. Правительство, ища способ поддерживать связь в случае бедствия (например, ядерной войны), финансировало университеты и телекоммуникационные компании (в то время AT & T, а не тот, который вы знаете сегодня, который был единственным настоящая телекоммуникационная компания) разработать метод для поддержания связи, когда путь был разрушен, и это привело к коммутации пакетов и Интернету.
Рон Мопин

1
В Великобритании, например, JISC контролирует распределение сети для университетов.
Стоп Harm Monica

Ничего такого. Но, конечно, это не проблема с IPv6.
Восстановить Монику - М. Шредер

Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:


32

Скорее всего, если они большой университет, они являются их собственным интернет-провайдером, использующим BGP для подключения своей сети к Интернету через несколько восходящих сетей.

Ничто не мешает им использовать IP-адреса, которые они не должны использовать, и это будет работать в их локальной сети. Тем не менее, это не будет работать в Интернете. В их восходящих сетях, обеспечивающих связь, должны быть установлены фильтры, которые позволят университету объявлять только назначенные им IP-адреса. Если прямые восходящие потоки не будут их фильтровать, восходящие потоки будут. И если IP-адреса, используемые другой сетью, будут использоваться университетом, эта другая сеть станет недоступной из университетской сети.

Кроме того, существует ряд проектов (например, RIPE RIS и BGPmon ), которые отслеживают таблицы маршрутизации и оповещают о любой «незаконной» рекламе IP ( перехваты BGP и аномалии маршрутизации).


11
К сожалению, даже сегодня должно быть еще не значит иметь
Йозеф

7
@Josef Чтобы быть справедливым, BGP был построен в эпоху «неявного доверия» - каждый владелец интернет узел знал каждый другой владелец интернет узла, чтобы они знали , кто владел , что и там были социальные последствия для угона. BGP никогда не был разработан, чтобы быть «безопасным», он просто был разработан для работы.
Der Kommissar

2
Интернет-провайдеры, как правило, лучше справляются с фильтрацией BGP, потому что произошли некоторые широко разрекламированные крупные сбои из-за того, что кто-то (намеренно или случайно) рекламировал фиктивный маршрут.
Бармар

1
Я бы добавил, что их соседи, вероятно, будут обмануты.
PEdroArthur

1
Если они используют чужой IP-адрес внутренне, это будет работать для достижения этого сайта, но это будет означать, что все, что размещено на реальном владельце этого IP-адреса, будет недоступно.
Лорен Печтел

12

Что мешает им приписать свои маршрутизаторы и хосты, которые уже используют IP-адреса?

Ничего такого. На протяжении многих лет я видел, как обе организации всех размеров, как государственные, так и частные, делали это, в том числе всемирно известная компания-бренд. На самом деле, я видел это чаще в бизнес-условиях, чем в университетах (в основном из-за того, что больше университетов были вовлечены в Интернет раньше и помогли определить стандарты и лучшие практики, используемые сегодня).

И что будет, если действительно кто-то сделает это?

Сегодня, скорее всего, ничто иное, как организация, не способная охватить те участки Интернета, которые они перекрывают. В прошлом подобные вещи вызывали серьезные проблемы, в том числе «взлом интернета» для некоторых или многих пользователей (в одном случае один провайдер случайно передавал маршрут по умолчанию в интернет, перегружая свою собственную сеть как можно большей частью интернет-трафика. попытался проложить через них).

Прошлые инциденты, подобные тем, которые вы предлагаете, стали возможностями для обучения и привели к лучшим практикам, которые включают защиту от этого типа неправильной конфигурации. В настоящее время чаще всего провайдеры внедряют BCP38 / RFC2827 для фильтрации трафика между подключенными организациями только по IP-адресу, который они должны рекламировать.

Некоторые провайдеры по-прежнему также используют фильтрацию Богона, которая при правильном обслуживании помогает предотвратить трафик из пространства IP, из которого не должен поступать действительный трафик (т. Е. Диапазоны частных адресов, неназначенное пространство IP и т. Д.). Хотя список богонов IPv4 сегодня намного меньше, чем в прошлом (т. Е. Большинство адресов IPv4 теперь назначены), список богонов IPv6 все еще может быть весьма полезным, особенно для крупных поставщиков, чтобы ограничить область приседания IP (т. Е. Используя неназначенный IP). Космос).


8

Ничто не помешает им использовать адреса на своих машинах.

Что произойдет, если они попытаются рекламировать их в Интернете, зависит от того, насколько неряшливы их провайдеры. Если их провайдеры следуют передовым методам, тогда будут фильтры, и реклама не выйдет за границы угонщика.

OTOH, если их провайдеры и провайдеры провайдеров неаккуратны, то ложное объявление может пойти гораздо дальше, что приведет к значительным нарушениям для законных владельцев пространства IP.

Такие события почти наверняка будут замечены, и, скорее всего, будут жаркие дискуссии и добавлена ​​дополнительная фильтрация.


6

Предположим, у меня есть две машины. Я назначаю адрес 1.2.3.4 одному и 1.2.3.5 другому. Я не владею этими адресами.

Пока я не пытаюсь подключиться к Интернету, эти две машины могут без проблем общаться друг с другом.

Теперь я подключаюсь к Интернету. Другие ответы говорят о фильтрах, блокирующих вещи, но давайте на мгновение проигнорируем это.

Моя машина 1.2.3.4 пытается подключиться к какому-либо законному адресу, например 12.34.56.78. Предположим, что этот адрес существует и контролируется его владельцем.

Итак, моя машина отправляет пакет:

С 1.2.3.4, Кому: 12.34.56.78, Содержание: Хотите дружить? (Переведено на человека)

Маршрутизаторы смотрят на часть To: и правильно доставляют ее до 12.34.56.78. Эта машина ничего не подозревает и соответствует ответу

От: 12.34.56.78, До: 1.2.3.4, Содержание: Конечно, давайте дружить!

Теперь доходит до проблемы. Этот ответ никогда не будет доставлен вам. Вместо этого он будет доставлен в реальный 1.2.3.4, который станет очень смущенным.

Таким образом, если вы используете неправильный адрес, вы можете поговорить с Интернетом, но Интернет никогда не ответит вам.


4
«Интернет никогда не ответит вам», если вы рекламируете фиктивные адреса через BGP, и никто не блокирует ваши объявления, тогда большие части Интернета могут очень хорошо ответить вам, по крайней мере, пока кто-то не поймет, что происходит.
Питер Грин

2
Любой приличный провайдер будет использовать BCP38, поэтому ваша попытка «поговорить с интернетом» закончится их антиспуфинговым фильтром.
Теун Винк

То, что вы описываете, - это не нерабочая попытка подключиться к Интернету, а фактически потенциальная атака DOS на реальный 1.2.3.4 (и, возможно, также на 12.34.56.78). Вот почему фильтры, упомянутые TeunVink , (надеюсь) на месте
Хаген фон Айцен

@HagenvonEitzen: Это совершенно разные фильтры. Теун говорит о блокировке рекламы маршрутов путем проверки протоколов обмена маршрутами, таких как BGP. Чтобы предотвратить подделку исходного кода DDoS, вам нужна фильтрация обратного пути для пакетов, которые не имеют ничего общего с обменом маршрутами.
Бен Фойгт

2

Это внутренне затемнит большие образцы Интернета

Конечно. Допустим, они используют обычные внутренние IP-адреса для своей сети, например 10.xxx. Вы знаете, как выполнять преобразование сетевых адресов на границе своей сети, как в вашей домашней сети.

За исключением того, что они решили, что 10.xxx слишком ограничен для них, и они начинают назначать общедоступные IP-адреса внутренне. Сначала это сработает. Но тогда начнут появляться проблемы.

Это вопрос времени, когда кто-то использует 172.217.15.68 для лабораторной машины. Это один из IP-адресов, которые DNS разрешает для www.google.com. Теперь, иногда, когда кто-то из университета пытается выполнить поиск в Google, вместо этого его веб-браузер переходит на этот лабораторный компьютер . Поскольку внутренние маршрутизаторы не смогут понять, что существует два 172.217.15.68, один внутренний и один внешний; они просто перенаправят ваши пакеты на внутренний.

IP-блоки, назначенные внутри, не могут маршрутизироваться извне

Но это еще хуже. Они назначили целый сетевой блок, поэтому все 172.217.xx / 16 будут направлены в эту лабораторию. Скорее всего, вы не затрете каждый IP-адрес Google, но многие поиски не пройдут. Для небольших компаний, таких как Craigslist, где все их адреса находятся в одном и том же сетевом блоке, если университет назначит этот сетевой блок внутренне, весь сайт будет заблокирован холодным способом.

Это ни на кого не повлияет вне внутренней сети университета. Внешние поставщики не примут университетское переназначение IP-пространства Google. Единственным трафиком, направляемым в университет, будут публичные IP-адреса, которыми владеет университет.

Просто используйте вместо этого IPv6

Если вы зарегистрируетесь в Comcast, вам дадут / 64 ваших собственных. Если вы хорошо спросите, я слышал, что они просто передадут вам / 48. Но, скажем, вы получаете только / 64, а затем точно делаете сюжет RevOlution и создаете самовоспроизводящиеся наниты, которые потребляют электричество, в том же количестве, что и обсуждаемое на шоу. Достаточно ли у вас адресов IPv6, чтобы каждый нанит имел свой собственный?

Да. И достаточно запасных частей, чтобы сделать это на 2 миллионах параллельных земель.

Так что, если вы действительно беспокоитесь об исчерпании IP-адресов, это путь.


2

Как утверждают многие другие, ничто не мешает кому-либо сделать это, но в целом это не окажет никакого влияния за пределами организации и даже вызовет проблемы внутри компании.

Теперь, если вы сами являетесь провайдером и начинаете говорить другим, что именно вы используете их для маршрутизации этих IP-адресов (используя протокол маршрутизации, такой как BGP), то эти IP-адреса «частично» станут вашими на некоторое время. Частично, потому что, когда проблема замечена, будут приняты меры, чтобы остановить это. «На время», ну, пока не будут приняты меры.

Инциденты с BGP происходили в прошлом, в результате чего трафик направлялся в неправильные места. Вот ссылка на недавний инцидент: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Вы можете ищите "утечка маршрута BGP", чтобы узнать больше.

Интернет много работает на доверии. Все меняется медленно, но во многих случаях интернет-провайдеры просто доверяют другим интернет-провайдерам.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.