Địa chỉ IP tương đương với / dev / null

Có một địa chỉ IP sẽ dẫn đến bất kỳ gói tin nào được gửi bị bỏ qua (bôi đen) không?

Tôi biết tôi luôn có thể thiết lập một bộ định tuyến có địa chỉ IP và sau đó chỉ cần bỏ qua tất cả các gói được gửi đến nó, nhưng liệu một thứ như vậy có tồn tại để cứu tôi khỏi rắc rối không?

Cụ thể có tiền tố lỗ đen trong IPV6, như được mô tả trong RFC 6666 , đó là 100 :: / 64. IP4 không có lỗ đen rõ ràng như thế, nhưng máy chủ không tồn tại trên một trong các khối dành riêng sẽ có tác dụng đó. (ví dụ: 240.0.0.0/4 là "dành riêng cho sử dụng trong tương lai" và sẽ không bị điều hướng bởi bất cứ điều gì.)

Có một thứ như lỗ đen mạng .

Nếu không có thiết bị nào trong mạng có địa chỉ IP 192.168.0.10, thì địa chỉ IP này là một lỗ đen và nó sẽ "loại bỏ" tất cả lưu lượng truy cập đến nó, đơn giản vì nó không tồn tại.

Các giao thức theo dõi trạng thái kết nối (TCP) có thể phát hiện máy chủ đích bị thiếu. Điều đó sẽ không xảy ra với UDP và các gói sẽ chết trong khi máy chủ gửi sẽ không được thông báo về điều đó.

Bạn có thể thiết lập lỗ đen với tường lửa bằng cách thiết lập nó để âm thầm thả các gói ( không từ chối ) từ các địa chỉ cụ thể (hoặc nhiều).

Theo tôi biết, không có địa chỉ tiêu chuẩn mạng nào sẽ tạo ra lỗ đen cho bạn trong TCP / IP phiên bản 4 (Cảm ơn Bandrami ).

Vì vậy, bạn có hai lựa chọn:

1. Một địa chỉ IP không được gán cho bất kỳ máy chủ lưu trữ nào;
2. Lưu trữ với tường lửa, âm thầm loại bỏ các gói hoặc biến thể của nó, ví dụ như sử dụng netcat: (như được đề xuất bởi ultrasawblade ).

nc -vv -l 25 > /dev/nullsẽ lắng nghe các kết nối gửi đến trên cổng TCP 25 và dẫn kết quả đến /dev/null. Thêm ví dụ ở đây .

Toàn bộ mạng con cũng có thể là một lỗ đen ( tuyến đường Null ).

Mặc dù đó không phải là lỗ đen, bạn cũng có thể muốn xem xét các IP được dành riêng cho mục đích thử nghiệm / ví dụ (bởi RFC 5737) , đặc biệt nếu mục tiêu của bạn là giá trị "mặc định không hoạt động an toàn".

• 192.0.2.0/24 (KIỂM TRA-NET-1),
• 198.51.100.0/24 (KIỂM TRA-NET-2)
• 203.0.113.0/24 (KIỂM TRA-NET-3)

Các nhà khai thác mạng NÊN thêm các khối địa chỉ này vào danh sách các không gian địa chỉ không thể định tuyến và nếu các bộ lọc gói được triển khai, thì khối địa chỉ này NÊN được thêm vào các bộ lọc gói.

Không có gì đảm bảo rằng các gói đến các địa chỉ đó sẽ bị chặn (điều đó phụ thuộc vào ISP của bạn, v.v.) nhưng chắc chắn không ai nên sử dụng chúng.

Không có "địa chỉ lỗ đen tiêu chuẩn" như vậy, và thực sự không có bất kỳ yêu cầu nào cho nó. Bạn không nói những gì bạn đang thực sự đạt được, vì vậy tôi không thể giúp bạn làm điều đó, nhưng đây là một số giải pháp sai cho vấn đề của bạn sẽ trả lời câu hỏi của bạn khi bạn hỏi nó:

• Bạn có thể sử dụng một địa chỉ RFC1918 không được sử dụng trên mạng của bạn và dựa vào ISP của bạn để gửi nó cho bạn. Ví dụ: nếu bạn chỉ sử dụng một số phần của 192.168, 10.255.255.1 sẽ bị định tuyến null bởi ISP của bạn (điều này sẽ có được nhờ vào cổng mặc định của bạn).
• Bạn có thể sử dụng một địa chỉ IP dành riêng cho sử dụng trong tương lai (và có thể sẽ không bao giờ được sử dụng); đó là phạm vi " Class E " cũ. Nó sẽ làm tương tự như trên, nhưng sẽ hoạt động ngay cả khi bạn đã sử dụng tất cả các phạm vi địa chỉ riêng tư (bằng cách có các mạng rộng hơn nhiều so với mức cần thiết, tôi nghi ngờ rằng bạn sẽ có hàng triệu thiết bị đính kèm). Ví dụ: 254.0.0.1 sẽ không bao giờ (về mặt pháp lý) đề cập đến một thiết bị thực.
• Trên máy bạn cần thứ này, bạn có thể thêm mục tiêu chỉ thả; sử dụng một địa chỉ không được sử dụng như ở trên, chẳng hạn, iptables -I OUTPUT -d 254.0.0.0/8 -j DROPsẽ đảm bảo mọi thứ được gửi đến "mạng" đó sẽ bị hủy âm thầm thay vì làm phiền bất kỳ cổng nào, hoặc thậm chí gây ra lưu lượng truy cập trên giao diện mạng thực tế.

Một lần nữa, bạn có thể không thực sự muốn bất kỳ thứ gì trong số này, ngay cả khi bạn nghĩ nó tiện lợi - không, nó khó hiểu và không rõ ràng và không phải là giải pháp tốt cho bất kỳ vấn đề nào của bạn thực sự là.

Bên cạnh câu hỏi của bạn, còn việc sử dụng "giao thức loại bỏ" thì sao?

Phạm vi kiểm tra

Tôi có lẽ sẽ đề xuất một trong các phạm vi địa chỉ "TEST-NET", "để sử dụng trong tài liệu và ví dụ. Nó không nên được sử dụng công khai" .

192.0.2.0/24
198.51.100.0/24
203.0.113.0/24

Phạm vi "Bogon" (Không có thật / Giả)

Tôi không chắc phải nói ở đâu, điều này dường như là một cách thực hành mà một cổng Internet sẽ cung cấp, thay vì một cách cụ thể để thực hiện một gói được định tuyến ở đâu đó mà nó không được

Phạm vi địa phương

Ngoài ra còn có phạm vi địa chỉ loopback 127.0.0.0/8, vd 127.0.0.255. Mặc dù mọi thứ vẫn có thể tồn tại ở đó, cụ thể là bất kỳ dịch vụ nào trên máy cục bộ, ít nhất bạn sẽ không can thiệp vào bất kỳ máy nào trên mạng (trừ khi bạn có các dịch vụ mạng được hỗ trợ bởi các dịch vụ mạng khác tôi đoán).

127.0.0.0/8

Phạm vi điểm đến bất hợp pháp

Có lẽ địa chỉ bất hợp pháp 0.0.0.0cũng có thể được sử dụng, mặc dù 0.0.0.0/8 được dành riêng cho "Được sử dụng cho các tin nhắn quảng bá đến hiện tại (" này ")" nên có nguy cơ bị phát tán trên đó.

0.0.0.0/8

Trang Wikipedia cho Null Route tuyên bố:

Các tuyến Null thường được cấu hình với cờ tuyến đặc biệt, nhưng cũng có thể được thực hiện bằng cách chuyển tiếp các gói đến một địa chỉ IP bất hợp pháp, chẳng hạn như 0.0.0.0 hoặc địa chỉ loopback.

Tài liệu tham khảo: https://en.wikipedia.org/wiki/Reserved_IP_addresses

Một điều cần xem xét (có thể hoặc không phải là vấn đề đối với kịch bản cụ thể của bạn) là nếu bạn chuyển hướng lưu lượng truy cập đến địa chỉ IP không tồn tại, bộ định tuyến và / hoặc máy chủ có thể cố gắng liên tục ARP cho địa chỉ đó, có thể là một điều xấu

Nếu bạn định cấu hình liên kết ARP <-> IP tĩnh cho địa chỉ ảo này, thì hệ thống sẽ luôn có mục ARP được giải quyết và nó sẽ chỉ đặt gói lên dây có địa chỉ ARP đó (giả sử là không có thật) và giao thông sẽ không thực sự hạ cánh bất cứ nơi nào.

Một lần nữa, điều này rất có thể KHÔNG phải là những gì bạn thực sự muốn, nhưng nó đáng để xem xét.