Co powstrzymuje kogoś przed konfigurowaniem sieci za pomocą adresów IP, których nie jest właścicielem?

22

Oto scenariusz. Wyobraziłem sobie uniwersytet, który kupił szereg adresów IP. Myślę, że nadal byliby w usługodawcy internetowym (prawda?), Ale mieliby swobodę konfigurowania rzeczy tak, jak chcieli.

Co powstrzymuje ich przed przypisywaniem routerów i hostów, którzy już używają adresów IP?

A co by się stało, gdyby rzeczywiście ktoś to zrobił?

router ip network internet ip-address Tiago Oliveira
źródło
6
Uniwersytety były oryginalnymi dostawcami usług internetowych. Internet był wspólnym eksperymentem akademickim / rządowym. W rzeczywistości publiczny Internet to po prostu grupa dostawców usług internetowych, przyglądających się innym wybranym przez siebie dostawcom usług internetowych. Rząd, szukając sposobu na utrzymanie ciągłości komunikacji w przypadku katastrofy (między innymi wojny nuklearnej), sfinansował uniwersytety i telekomunikację (w tamtym czasie AT&T, nie tę, którą znacie dzisiaj, która była jedyną real telco), aby opracować metodę utrzymywania komunikacji po zniszczeniu ścieżki, co spowodowało przełączanie pakietów i Internet.
Ron Maupin
1
Na przykład w Wielkiej Brytanii JISC nadzoruje przydziały sieci dla uniwersytetów.
Przestań krzywdzić Monikę
Nic. Ale oczywiście nie jest to problem z IPv6.
Przywróć Monikę - M. Schröder
Czy jakaś odpowiedź ci pomogła? Jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie w poszukiwaniu odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

32

Najprawdopodobniej, jeśli są dużym uniwersytetem, są własnym ISP, używającym BGP do łączenia swojej sieci z Internetem za pośrednictwem wielu sieci upstream.

Nic nie powstrzymuje ich przed korzystaniem z adresów IP, których nie powinni używać, i działałoby to w ich sieci lokalnej. Jednak nie będzie działać w Internecie. Ich sieci upstream, zapewniające im łączność, powinny mieć zainstalowane filtry, które pozwoliłyby uniwersytetowi reklamować przypisane im adresy IP. Jeśli bezpośrednie strumienie nie będą ich filtrować, strumienie wyższego rzędu będą. A jeśli adresy IP, które są używane przez inną sieć, byłyby używane przez uniwersytet, ta inna sieć stałaby się nieosiągalna z sieci uniwersyteckiej.

Ponadto istnieje wiele projektów (na przykład RIPE RIS i BGPmon ), które monitorują tabele routingu i ostrzegają o każdej „nielegalnej” reklamie IP ( przejęcia BGP i anomalie routingu).

Teun Vink
źródło
11
Niestety, nawet dzisiaj powinno mieć nadal nie oznacza mieć
Josef
7
@Josef Aby być uczciwym, BGP został zbudowany w czasach „domniemanego zaufania” - każdy właściciel węzła internetowego znał każdego innego właściciela węzła internetowego, więc wiedzieli, kto był właścicielem i jakie były społeczne konsekwencje porwania. BGP nigdy nie był tak zaprojektowany, aby był „bezpieczny”, po prostu został zaprojektowany do pracy.
Der Kommissar
2
Dostawcy usług internetowych ogólnie poprawili się w filtrowaniu BGP, ponieważ pojawiły się głośne awarie z powodu kogoś (celowo lub przypadkowo) reklamującego fałszywą trasę.
Barmar
1
Dodałbym, że prawdopodobnie sąsiedzi zepsują się.
PEdroArthur
1
Jeśli używają cudzego adresu IP wewnętrznie, będzie działało w celu uzyskania dostępu do tej witryny, ale będzie to oznaczać, że wszystko hostowane na prawdziwym właścicielu tego adresu IP będzie nieosiągalne.
Loren Pechtel
12

Co powstrzymuje ich przed przypisywaniem routerów i hostów, którzy już używają adresów IP?

Nic. Przez lata widziałem, jak robią to obie organizacje różnej wielkości, zarówno publiczne, jak i prywatne, w tym uznana na całym świecie firma „markowa”. W rzeczywistości widziałem to częściej w otoczeniu biznesowym niż uniwersyteckim (głównie ze względu na fakt, że więcej uniwersytetów było wcześniej zaangażowanych w Internet i pomogło zdefiniować standardy i najlepsze praktyki stosowane dzisiaj).

A co by się stało, gdyby rzeczywiście ktoś to zrobił?

Dzisiaj prawdopodobnie nic poza tym, że organizacja nie jest w stanie dotrzeć do części Internetu, które się pokrywają. W przeszłości tego typu rzeczy powodowały poważne problemy, w tym „łamanie Internetu” dla niektórych lub wielu użytkowników (w jednym przypadku pojedynczy dostawca Internetu przypadkowo propagował domyślną trasę do Internetu, przeciążając własną sieć tak dużą ilością ruchu internetowego próbowałem przez nie przejść).

Wcześniejsze zdarzenia, takie jak te, które proponujesz, stały się okazjami do nauki i zaowocowały najlepszymi praktykami obejmującymi zabezpieczenia przed tego rodzaju błędną konfiguracją. Najczęściej dziś dostawcy wdrażają BCP38 / RFC2827 w celu filtrowania ruchu do połączonych organizacji do adresu IP, który powinny być reklamowane.

Niektórzy dostawcy nadal wdrażają również filtrowanie bogon, które przy odpowiednim zarządzaniu pomaga zapobiegać ruchowi z przestrzeni IP, z którego nie powinien pochodzić żaden prawidłowy ruch (tj. Prywatne zakresy adresów, nieprzydzielona przestrzeń IP itp.). Chociaż lista bogonów IPv4 jest dziś znacznie mniejsza niż w przeszłości (tzn. Większość adresów IPv4 jest teraz przypisywana), lista bogonów IPv6 może być nadal bardzo przydatna, szczególnie u dużych dostawców, aby ograniczyć zakres przysiadu IP (tj. Używając nieprzypisanego adresu IP przestrzeń).

YLearn
źródło
8

Nic nie powstrzyma ich przed użyciem adresów na własnych komputerach.

Co się stanie, jeśli spróbują je zareklamować w Internecie, zależy od tego, jak niechlujni są ich dostawcy. Jeśli ich dostawcy przestrzegają najlepszych praktyk, zostaną wprowadzone filtry, a reklamy nie przekroczą granic porywacza.

OTOH, jeśli ich dostawcy i ich dostawcy są niechlujni, wówczas fałszywe ogłoszenie może pójść znacznie dalej, powodując znaczne zakłócenia dla prawowitych właścicieli przestrzeni IP.

Takie wydarzenia prawie na pewno zostaną zauważone i prawdopodobnie będą miały miejsce ożywione dyskusje i dodatkowe filtrowanie.

Peter Green
źródło
6

Załóżmy, że mam dwie maszyny. Przypisuję adres 1.2.3.4 jednemu, a 1.2.3.5 drugiemu. Nie posiadam tych adresów.

Tak długo, jak nie próbuję korzystać z Internetu, te dwa urządzenia mogą rozmawiać ze sobą bez żadnych problemów.

Teraz łączę się z Internetem. Inne odpowiedzi mówią o filtrach blokujących różne rzeczy, ale pomińmy to przez chwilę.

Mój komputer 1.2.3.4 próbuje połączyć się z pewnym prawidłowym adresem, takim jak 12.34.56.78. Załóżmy, że ten adres istnieje i jest kontrolowany przez jego właściwego właściciela.

Tak więc moja maszyna wysyła pakiet:

Od 1.2.3.4, Do: 12.34.56.78, Treść: Chcesz być przyjaciółmi? (Przetłumaczone na człowieka)

Routery patrzą na część Do: i poprawnie dostarczają ją do 12.34.56.78. Ta maszyna niczego nie podejrzewa i odpowiada na odpowiedź

Od: 12.34.56.78, Do: 1.2.3.4, Treść: Jasne, zostańmy przyjaciółmi!

Teraz dochodzi do problemu. Ta odpowiedź nigdy nie zostanie dostarczona. Zamiast tego zostanie dostarczony prawdziwemu 1.2.3.4, który stanie się bardzo zdezorientowany.

Jeśli więc użyjesz niewłaściwego adresu, możesz rozmawiać z Internetem, ale Internet nigdy nie odbierze.

Stig Hemmer
źródło
4
„Internet nigdy ci nie odpowie”, jeśli reklamujesz fałszywe adresy za pośrednictwem BGP i nikt nie blokuje twoich ogłoszeń, wówczas duże części Internetu mogą bardzo dobrze odpowiedzieć, przynajmniej dopóki ktoś nie zorientuje się, co się dzieje.
Peter Green
2
Każdy przyzwoity dostawca usług internetowych wdroży BCP38, więc próba „rozmowy z Internetem” zakończy się filtrem przeciwdziałającym podszywaniu się.
Teun Vink
To, co opisujesz, nie jest niedziałającą próbą połączenia z Internetem, ale w rzeczywistości potencjalnym atakiem DOS na prawdziwe 1.2.3.4 (i być może także 12.34.56.78). Właśnie dlatego filtry wymienione przez TeunVink są (mam nadzieję) na miejscu
Hagen von Eitzen
@HagenvonEitzen: To są zupełnie inne filtry. Teun mówi o blokowaniu reklam tras poprzez sprawdzanie poprawności protokołów wymiany tras, takich jak BGP. Aby zapobiec podszywaniu się pod źródła DDoS, potrzebujesz filtrowania ścieżki zwrotnej w pakietach, które nie mają nic wspólnego z wymianą tras.
Ben Voigt
2

To wewnętrznie zaciemniłoby duże próbki Internetu

Pewnie. Powiedzmy, że często używają prywatnych adresów IP wewnętrznie do swojej sieci, takich jak 10.xxx.

Tyle że zdecydowali, że 10.xxx jest dla nich zbyt restrykcyjny i zaczynają przypisywać publiczne adresy IP wewnętrznie. Na początku będzie działać. Ale wtedy problemy zaczną się pojawiać.

To kwestia czasu, zanim ktoś użyje 172.217.15.68 na maszynie laboratoryjnej. Jest to jeden z adresów IP, które DNS rozpoznaje dla www.google.com. Czasami, gdy ktoś z uniwersytetu próbuje przeprowadzić wyszukiwanie w Google, jego przeglądarka zamiast tego przechodzi na tę maszynę laboratoryjną . Ponieważ routery wewnętrzne nie byłyby w stanie wyobrazić sobie, że istnieją dwa 172.217.15.68, jeden wewnętrzny i jeden zewnętrzny; oni by po prostu trasa swoje pakiety do jednego wewnętrznego.

Bloki IP przypisane wewnętrznie nie mogą być kierowane zewnętrznie

Ale jest gorzej. Przypisali cały blok sieci, więc wszystkie 172.217.xx / 16 będą kierować do tego laboratorium. Prawdopodobnie nie zablokowałbyś każdego adresu IP Google, ale wiele wyszukiwań zakończyło się niepowodzeniem. W przypadku mniejszych strojów, takich jak Craigslist, w których wszystkie ich adresy znajdują się w tym samym bloku sieci, gdyby uniwersytet przypisał ten blok wewnętrznie, cała strona zostałaby zablokowana na zimno.

Nie wpłynie to na nikogo spoza wewnętrznej sieci uniwersytetu. Zewnętrzni dostawcy nie zaakceptują przeniesienia przez uniwersytet przestrzeni IP Google. Jedynym ruchem kierowanym do uniwersytetu będą publiczne adresy IP, które uniwersytet posiada.

Zamiast tego użyj protokołu IPv6

Jeśli zarejestrujesz się w Comcast, otrzymają oni / 64 własnych. Jeśli ładnie zapytasz, słyszałem, że podadzą ci / 48. Ale powiedzmy, że dostajesz tylko a / 64, a następnie wykonaj dokładnie fabułę RevOlution i stwórz samoreplikujące się nanity, które jedzą elektryczność, w takiej samej ilości, jak omówiono w serialu. Czy masz wystarczająco dużo adresów IPv6, aby każdy nanit miał swój własny?

Tak. I wystarczająco dużo części zamiennych, aby to zrobić na 2 milionach równoległych ziem.

Więc jeśli naprawdę martwisz się wyczerpaniem adresów IP, to jest to właściwy sposób.

Harper - Przywróć Monikę
źródło
2

Jak twierdzi wiele innych, nic nie stoi na przeszkodzie, aby to zrobić, ale ogólnie rzecz biorąc, nie będzie to miało żadnego wpływu poza organizacją, a nawet spowoduje wewnętrzne problemy.

Teraz, jeśli sam jesteś dostawcą usług internetowych i zaczniesz mówić innym, że to ty używasz do kierowania tymi adresami IP (używając protokołu routingu, takiego jak BGP), wówczas te adresy IP „częściowo” staną się na chwilę twoje. Częściowo, ponieważ gdy problem zostanie zauważony, zostaną podjęte środki, aby go zatrzymać. „Przez chwilę”, no cóż, dopóki nie zostaną podjęte środki.

Incydenty z BGP zdarzały się w przeszłości, powodując kierowanie ruchu do niewłaściwych miejsc. Oto link do niedawnego incydentu: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Możesz wyszukaj „wyciek trasy BGP”, aby dowiedzieć się więcej.

Internet działa na zasadzie zaufania. Sprawy zmieniają się powoli, ale w wielu przypadkach dostawcy usług internetowych tylko ufają innym dostawcom usług internetowych.

użytkownik1532080
źródło