Điều gì ngăn ai đó định cấu hình mạng của họ bằng địa chỉ IP mà họ không sở hữu?


22

Đây là kịch bản. Tôi đang hình dung một trường đại học đã mua một loạt địa chỉ IP. Tôi nghĩ rằng họ vẫn ở trong một ISP (phải không?), Nhưng họ có quyền tự do định cấu hình công cụ theo cách họ muốn.

Điều gì ngăn họ quy kết các bộ định tuyến và máy chủ đã sử dụng địa chỉ IP?

Và điều gì sẽ xảy ra nếu thực sự có ai đó làm điều này?


6
Các trường đại học là các ISP gốc. Internet là một thí nghiệm hợp tác học thuật / chính phủ. Trên thực tế, Internet công cộng chỉ đơn giản là một loạt các ISP đi theo các ISP khác do chính họ lựa chọn. Chính phủ, tìm cách để giữ cho thông tin liên lạc xảy ra trong trường hợp thảm họa (ví dụ như chiến tranh hạt nhân, trong số những thứ khác), đã tài trợ cho các trường đại học và công ty viễn thông (vào thời điểm AT & T, không phải là nơi bạn biết ngày nay, là nơi duy nhất bạn biết telco thực sự) để đưa ra một phương pháp để duy trì liên lạc khi một đường dẫn bị phá hủy, và nó dẫn đến chuyển mạch gói và Internet.
Ron Maupin

1
Ở Anh, ví dụ, JISC giám sát việc phân bổ mạng cho các trường đại học.
Ngừng làm hại Monica

Không có gì. Nhưng tất nhiên đây không phải là vấn đề với IPv6.
Phục hồi Monica - M. Schröder

Câu trả lời:


32

Rất có thể nếu họ là một trường đại học lớn, họ là ISP của chính họ, sử dụng BGP để kết nối mạng của họ với internet thông qua một số mạng ngược dòng.

Không có gì ngăn họ sử dụng địa chỉ IP mà họ không nên sử dụng và nó sẽ hoạt động trong mạng cục bộ của họ. Tuy nhiên, nó sẽ không hoạt động trên Internet. Các mạng ngược dòng của họ cung cấp cho họ kết nối nên có các bộ lọc tại chỗ chỉ cho phép trường đại học quảng cáo các địa chỉ IP được gán cho họ. Nếu thượng nguồn trực tiếp sẽ không lọc chúng, thì thượng nguồn của thượng nguồn sẽ. Và nếu địa chỉ IP, được sử dụng bởi một mạng khác, sẽ được sử dụng bởi trường đại học, thì mạng khác sẽ không thể truy cập được từ mạng của trường đại học.

Ngoài ra, có một số dự án (ví dụ: RIPE RISBGPmon ) theo dõi các bảng định tuyến và cảnh báo về bất kỳ quảng cáo IP "bất hợp pháp" nào ( cướp BGP và dị thường định tuyến).


11
Đáng buồn là ngay cả ngày nay nên đã vẫn không có nghĩa là
Josef

7
@Josef Công bằng mà nói, BGP được xây dựng trong thời gian "tin tưởng ngầm" - mọi chủ sở hữu nút internet đều biết mọi chủ sở hữu nút internet khác , vì vậy họ biết ai sở hữu những gì và có hậu quả xã hội cho việc chiếm quyền điều khiển. BGP chưa bao giờ thực sự được thiết kế để "an toàn", nó chỉ được thiết kế để hoạt động.
410_Gone

2
Các ISP nói chung đã trở nên tốt hơn trong việc lọc BGP, bởi vì đã có một số lần ngừng hoạt động chính được công bố rộng rãi do ai đó (cố ý hoặc vô tình) quảng cáo một tuyến đường không có thật.
Barmar

1
Tôi sẽ nói thêm rằng họ có thể sẽ bị balckholed bởi hàng xóm của họ.
PEdroArthur

1
Nếu họ sử dụng IP của người khác trong nội bộ, nó sẽ hoạt động để truy cập trang web đó nhưng điều đó có nghĩa là mọi thứ được lưu trữ trên chủ sở hữu thực sự của IP đó sẽ không thể truy cập được.
Loren Pechtel

12

Điều gì ngăn họ quy kết các bộ định tuyến và máy chủ đã sử dụng địa chỉ IP?

Không có gì. Trong những năm qua, tôi đã thấy cả hai tổ chức thuộc mọi quy mô, cả công cộng và tư nhân, làm điều này bao gồm cả một công ty "thương hiệu" được công nhận trên toàn thế giới. Trên thực tế, tôi đã thấy điều này thường xuyên hơn trong môi trường kinh doanh so với môi trường đại học (phần lớn là do thực tế là có nhiều trường đại học tham gia vào Internet sớm hơn và giúp xác định các tiêu chuẩn và thực tiễn tốt nhất được sử dụng ngày nay).

Và điều gì sẽ xảy ra nếu thực sự có ai đó làm điều này?

Ngày nay, có lẽ không có gì khác ngoài việc tổ chức không thể tiếp cận các phần của Internet mà họ chồng chéo. Trước đây, loại điều này đã gây ra sự cố nghiêm trọng, bao gồm cả việc "phá Internet" đối với một số hoặc nhiều người dùng (trong một trường hợp, một ISP đã vô tình truyền một tuyến mặc định tới Internet làm quá tải mạng của họ khi lưu lượng truy cập Internet của họ tăng lên. đã cố gắng định tuyến qua chúng).

Các sự cố trong quá khứ như những sự cố mà bạn đề xuất đã trở thành cơ hội học tập và dẫn đến các thực tiễn tốt nhất bao gồm các biện pháp bảo vệ khỏi loại cấu hình sai này. Thông thường nhất hiện nay, các nhà cung cấp triển khai BCP38 / RFC2827 để lọc lưu lượng truy cập đến các tổ chức được kết nối với chỉ địa chỉ IP mà họ nên quảng cáo.

Một số nhà cung cấp vẫn thực hiện lọc bogon , khi được duy trì đúng cách sẽ giúp ngăn chặn lưu lượng truy cập từ không gian IP mà không có lưu lượng truy cập hợp lệ nào (ví dụ: dải địa chỉ riêng, không gian IP không được gán, v.v.). Mặc dù danh sách bogon IPv4 ngày nay nhỏ hơn rất nhiều so với trước đây (tức là hầu hết các địa chỉ IPv4 hiện đã được gán), danh sách bogon IPv6 vẫn có thể khá hữu ích, đặc biệt là trên các nhà cung cấp lớn để hạn chế phạm vi ngồi xổm IP (tức là sử dụng IP không được gán không gian).


8

Không có gì có thể ngăn họ sử dụng các địa chỉ trên máy của họ.

Điều gì xảy ra nếu họ cố gắng quảng cáo chúng lên Internet phụ thuộc vào mức độ cẩu thả của các nhà cung cấp. Nếu các nhà cung cấp của họ tuân theo các thực tiễn tốt nhất thì sẽ có các bộ lọc và quảng cáo sẽ không vượt ra khỏi biên giới của không tặc.

OTOH nếu nhà cung cấp của họ và nhà cung cấp nhà cung cấp của họ cẩu thả thì một thông báo không có thật có thể đi xa hơn dẫn đến sự gián đoạn đáng kể cho các chủ sở hữu hợp pháp của không gian IP.

Những sự việc như vậy gần như chắc chắn sẽ được chú ý và có khả năng sẽ có một số cuộc thảo luận sôi nổi và một số bộ lọc bổ sung được thêm vào.


6

Giả sử tôi có hai máy. Tôi gán địa chỉ 1.2.3.4 cho một và 1.2.3.5 cho địa chỉ khác. Tôi không sở hữu những địa chỉ này.

Miễn là tôi không thử Internet, hai máy này có thể nói chuyện với nhau mà không gặp vấn đề gì.

Bây giờ tôi kết nối với Internet. Các câu trả lời khác nói về các bộ lọc chặn mọi thứ, nhưng chúng ta hãy bỏ qua điều đó trong giây lát.

Máy của tôi 1.2.3.4 cố gắng kết nối với một số địa chỉ hợp pháp, như 12.34.56.78. Giả sử rằng địa chỉ này tồn tại và được kiểm soát bởi chủ sở hữu thích hợp của nó.

Vì vậy, máy của tôi gửi một gói:

Từ 1.2.3.4, Đến: 12.34.56.78, Nội dung: Bạn muốn làm bạn? (Dịch sang người)

Các bộ định tuyến nhìn vào phần To: và đưa nó chính xác đến 12.34.56.78. Máy này không nghi ngờ gì và tuân thủ câu trả lời

Từ: 12.34.56.78, Tới: 1.2.3.4, Nội dung: Chắc chắn, chúng ta hãy là bạn bè!

Bây giờ đến vấn đề. Câu trả lời này sẽ không bao giờ được gửi cho bạn. Thay vào đó, nó sẽ được chuyển đến 1.2.3.4 thật , người sẽ trở nên rất bối rối.

Vì vậy, nếu bạn sử dụng sai địa chỉ, bạn có thể nói chuyện với Internet, nhưng Internet sẽ không bao giờ trả lời bạn.


4
"Internet sẽ không bao giờ trả lời bạn" nếu bạn quảng cáo các địa chỉ không có thật trên BGP và không ai chặn thông báo của bạn thì phần lớn internet có thể trả lời bạn rất tốt, ít nhất là cho đến khi ai đó nhận ra điều gì đang xảy ra.
Peter Green

2
Bất kỳ ISP tốt nào cũng sẽ triển khai BCP38, vì vậy nỗ lực "nói chuyện với internet" của bạn sẽ kết thúc trong bộ lọc chống giả mạo của họ.
Teun Vink

Những gì bạn mô tả không phải là một nỗ lực không hoạt động để kết nối với internet, nhưng thực tế là một cuộc tấn công DOS tiềm năng vào phiên bản 1.2.3.4 thực (và có lẽ cả 12.34.56.78). Đó là lý do tại sao các bộ lọc được đề cập bởi TeunVink (hy vọng) được đặt ra
Hagen von Eitzen

@HagenvonEitzen: Đó là những bộ lọc hoàn toàn khác nhau. Teun đang nói về việc chặn quảng cáo tuyến đường bằng cách xác nhận các giao thức trao đổi tuyến đường như BGP. Để ngăn chặn DDoS giả mạo nguồn, bạn cần lọc đường dẫn ngược trên các gói không liên quan gì đến trao đổi tuyến.
Ben Voigt

2

Nó sẽ bôi đen những mảng lớn của Internet

Chắc chắn rồi. Giả sử họ làm điều phổ biến là sử dụng địa chỉ IP riêng trong mạng của họ, chẳng hạn như 10.xxx .. Bạn biết máy khoan, dịch địa chỉ mạng ở rìa mạng của họ, giống như mạng gia đình của bạn.

Ngoại trừ họ quyết định 10.xxx quá hạn chế đối với họ và họ bắt đầu gán địa chỉ IP công cộng trong nội bộ. Nó sẽ hoạt động, lúc đầu. Nhưng sau đó các vấn đề sẽ bắt đầu bật lên.

Đó là vấn đề thời gian trước khi ai đó sử dụng 172.217.15.68 cho máy thí nghiệm. Đây là một trong những địa chỉ IP DNS phân giải cho www.google.com. Bây giờ, đôi khi, khi ai đó trong trường đại học cố gắng thực hiện tìm kiếm trên Google, trình duyệt web của họ sẽ chuyển đến máy thí nghiệm đó . Bởi vì các bộ định tuyến bên trong sẽ không có khả năng hình dung rằng có hai chiếc 172.217.15.68, một bên trong và một bên ngoài; họ chỉ đơn giản là định tuyến các gói của bạn đến bên trong.

Các khối IP được gán bên trong không thể được định tuyến bên ngoài

Nhưng nó còn tệ hơn thế. Họ đã chỉ định toàn bộ netblock, vì vậy tất cả trong số 172.217.xx / 16 sẽ định tuyến đến phòng thí nghiệm đó. Bạn có thể sẽ không ghi đè mọi IP của Google, nhưng rất nhiều tìm kiếm sẽ thất bại. Đối với các trang phục nhỏ hơn như Craigslist nơi tất cả các địa chỉ của họ nằm trong cùng một netblock, nếu trường đại học chỉ định netblock đó trong nội bộ, toàn bộ trang web sẽ bị chặn lạnh.

Điều này sẽ không ảnh hưởng đến bất cứ ai ngoài mạng nội bộ của trường đại học. Các nhà cung cấp bên ngoài sẽ không chấp nhận việc phân bổ lại không gian IP của trường đại học. Lưu lượng truy cập duy nhất được chuyển đến trường đại học sẽ là các địa chỉ IP công cộng mà trường đại học sở hữu.

Chỉ cần sử dụng IPv6 thay thế

Nếu bạn đăng ký Comcast, họ sẽ cung cấp cho bạn một / 64 của chính bạn. Nếu bạn hỏi độc đáo, tôi đã nghe nói họ sẽ chỉ cho bạn một / 48. Nhưng giả sử bạn chỉ nhận được a / 64, và sau đó, thực hiện chính xác âm mưu RevOlutions và tạo ra các nanit tự sao chép ăn điện, với cùng số lượng như đã thảo luận trong chương trình. Bạn có đủ địa chỉ IPv6 để mỗi nanite có riêng không?

Vâng. Và đủ phụ tùng để làm điều này trên 2 triệu trái đất song song.

Vì vậy, nếu bạn thực sự lo lắng về việc hết địa chỉ IP, đó là cách nên làm.


2

Như nhiều người khác đã tuyên bố, không có gì ngăn cản bất cứ ai làm như vậy, nhưng nói chung, điều này sẽ không có bất kỳ ảnh hưởng nào bên ngoài tổ chức, và thậm chí sẽ gây ra vấn đề trong nội bộ.

Bây giờ, nếu bạn là một ISP và bắt đầu nói với người khác rằng bạn là người sử dụng để định tuyến IP này (sử dụng giao thức định tuyến như BGP), thì IP đó sẽ "một phần" trở thành của bạn trong một thời gian. Một phần, bởi vì khi vấn đề được chú ý, các biện pháp sẽ được thực hiện để ngăn chặn nó. "Trong một thời gian", tốt, cho đến khi các biện pháp được thực hiện.

Sự cố với BGP đã xảy ra trong quá khứ, khiến giao thông bị chuyển đến sai địa điểm. Đây là một liên kết đến một sự cố gần đây: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-ENC-nigeria-china-and-russia/ Bạn có thể tìm kiếm "rò rỉ tuyến đường BGP" để tìm hiểu thêm.

Internet chạy rất nhiều trên niềm tin. Mọi thứ đang thay đổi chậm, nhưng trong nhiều trường hợp, các ISP chỉ tin tưởng các ISP khác.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.