Co powstrzymuje Cię przed zmianą publicznego adresu IP i spustoszeniem?

38

Zadano mi interesujące pytanie i nie wiedziałem, na co odpowiedzieć. Więc zapytam tutaj.

Załóżmy, że subskrybuję dostawcę usług internetowych i korzystam z kablowego dostępu do Internetu. ISP daje mi publiczny adres IP 60.61.62.63.

Co powstrzymuje mnie od zmiany tego adresu IP na, powiedzmy, 60.61.62.75 i bałagania się w dostępie do Internetu innego konsumenta?

Ze względu na ten argument powiedzmy, że ten drugi adres IP jest również własnością tego samego dostawcy usług internetowych. Załóżmy również, że mogę przejść do ustawień modemu kablowego i ręcznie zmienić adres IP.

Zgodnie z umową biznesową, w której przydzielane są adresy statyczne, użytkownik otrzymuje również bramę domyślną, adres sieciowy i adres rozgłoszeniowy. To 3 adresy, które ISP „przegrywa” z tobą. Wydaje się to bardzo marnotrawstwem w przypadku dynamicznie przypisywanych adresów IP, którymi jest większość klientów.

Czy mogą po prostu używać statycznych arpów? ACL? Inne proste mechanizmy?

Whitemage
źródło
1
domyślna brama jest wspólna dla wszystkich w tej samej linii, więc nie traci tego adresu, a adres transmisji i tak zostaje utracony w IPv4 (i jest również dzielony w linii, może nawet w kilku liniach)
maniak ratchet
Próbowałem tego lata temu (może 5-10 lat temu), ręcznie ustawiając moje IP na coś innego niż to, co ISP wysyłał przez DHCP. Nie działało! Myślę, że próbowałem z modemem PCI DSL, więc komputer ma bezpośrednie połączenie z Internetem. A jeśli chcesz -problem- ustawić inny adres IP, ustaw go w systemie Windows .. w każdym razie, jak wspomniano, nie działało! (Możesz spróbować!)
barlop
1
Wiele lat temu, kiedy pracowałem u usługodawcy internetowego, (obecnie były) pracownik skonfigurował ustawienia połączenia telefonicznego, aby korzystać z adresu IP ogólnokrajowego serwera DNS tego dostawcy. Wówczas trasy były dozwolone i jako taka cała baza klientów zaczęła wysyłać wszystkie żądania DNS do tego jednego użytkownika połączenia telefonicznego. Rzeczywiście, nikt nie ma internetu, dopóki nie opracowaliśmy wtf. Routery teraz dodają adresy IP do białej listy według klientów.
Mark McDonald

Odpowiedzi:

34

Modemy kablowe nie są jak domowy router (tzn. Nie mają interfejsu internetowego z prostymi przyciskami typu „wskaż i kliknij”, do których każde dziecko może „włamać się”).

Modemy kablowe są „sprawdzane” i lokalizowane przez ISP według ich adresu MAC, i zwykle uzyskują do nich dostęp technicy korzystający z zastrzeżonego oprogramowania, do którego tylko oni mają dostęp, który działa tylko na ich serwerach, a zatem nie może zostać skradziony.

Modemy kablowe również uwierzytelniają i sprawdzają ustawienia krzyżowe z serwerami ISP. Serwer musi poinformować modem, czy jego ustawienia (i lokalizacja w sieci kablowej) są prawidłowe, i po prostu ustawia to, do czego ISP go ustawił (przepustowość, alokacje DHCP itp.). Na przykład, kiedy powiesz swojemu dostawcy usług internetowych „Chciałbym statyczny adres IP, proszę”, przydzielają go do modemu za pośrednictwem swoich serwerów, a modem umożliwia korzystanie z tego adresu IP. To samo dotyczy na przykład zmian przepustowości.

Aby zrobić to, co sugerujesz, prawdopodobnie musiałbyś włamać się do serwerów u usługodawcy internetowego i zmienić ustawienia skonfigurowane dla modemu.


Czy mogą po prostu używać statycznych arpów? ACL? Inne proste mechanizmy?

Każdy dostawca usług internetowych jest inny, zarówno w praktyce, jak i od tego, jak blisko są większej sieci, która świadczy im usługi. W zależności od tych czynników mogą używać kombinacji ACL i statycznego ARP. Zależy to również od technologii w samej sieci kablowej. Dostawca usług internetowych, dla którego pracowałem, użył jakiejś formy ACL, ale ta wiedza była nieco wyższa od mojej podwyżki. Pracowałem tylko z interfejsem technika i rutynowo przeprowadzałem konserwację i zmiany serwisowe.


Co powstrzymuje mnie od zmiany tego adresu IP na, powiedzmy, 60.61.62.75 i bałagania się dostępu do Internetu innego konsumenta?

Biorąc powyższe pod uwagę, to, co powstrzymuje cię przed zmianą adresu IP na taki, którego ISP nie dał ci specjalnie, to serwer, który instruuje modem, co może, a czego nie może zrobić. Nawet jeśli w jakiś sposób włamałeś się do modemu, jeśli 60.61.62.75 jest już przydzielony innemu klientowi, serwer po prostu powie modemowi, że nie może go mieć.

Mojżesz
źródło
Odpowiedź Davida Schwartza jest również bardzo dobra, zapomniałem o zwrotnym przekazywaniu ścieżek. Problem ten jest wciąż aktualny, nawet 10 lat później, a wiele aspektów, o których mowa w dokumencie, do którego się odnosił, jest nadal bardzo istotnych. Zdecydowanie warto przeczytać!
Mojżesz
6
W przypadku usługodawcy internetowego, dla którego pracuję, każde połączenie przychodzące ma swoją własną sieć VLAN, a nasz główny router odmawia kierowania ruchu z adresu IP, który nie powinien znajdować się w tej konkretnej sieci VLAN. Problem rozwiązany.
Shadur
23

Większość współczesnych dostawców usług internetowych (około 13 lat) nie zaakceptuje ruchu z połączenia klienta, chyba że ma źródłowy adres IP, który kierowałby do tego klienta, gdyby był to docelowy adres IP. Nazywa się to „przekazywaniem wstecznej ścieżki”. Zobacz BCP 38 .

Dostawcy usług internetowych albo nie używają dynamicznych protokołów routingu z połączeniami klientów, albo filtrują trasy, które otrzymują przez te połączenia. Więc nie będzie to miało wpływu na otrzymane pakiety.

David Schwartz
źródło
1
rozważ dodanie odpowiedniej interpunkcji do swojej odpowiedzi, aby była bardziej zrozumiała.
Harshdeep
1
Wygląda na to, że weryfikacja „przekieruj potwierdzenie do tyłu DNS” jest często stosowana w zapobieganiu spamowi.
deed02392,
1

Twoje pakiety przechodzą przez twojego dostawcę usług internetowych, więc wyobrażam sobie, że porównuje ono źródłowy adres IP za pomocą jakiejś listy ACL, a następnie odpowiednio filtruje. Sfałszowanie adresu IP najprawdopodobniej zakończy się niepowodzeniem, chyba że dostawca usług internetowych nie ma odpowiedniego zabezpieczenia. Podobno istnieją horrory o tym, że dostawca usług internetowych w Wielkiej Brytanii wypuszcza prywatne adresy IP przez swoją sieć, powodując spustoszenie, ale to nie powinno się zdarzyć.

tist
źródło
1

Nie jestem ekspertem, ale wiem, że korzystam z Verizon FIOS, za każdym razem, gdy zmieniam routery, jestem zmuszony zrobić jedną z dwóch rzeczy:

  1. Zmień adres MAC nowego routera na adres starego (prawdopodobnie tak, że system myśli, że to stary router)
  2. Skontaktuj się z pomocą techniczną Verizon i poproś o przerwanie dzierżawy mojego obecnego adresu IP, aby można go było ponownie przypisać do nowego routera

Nie sądzę, czy uważają to za filtrowanie adresów MAC, ale obawiałem się zmiany routera, ponieważ nie mogłem zrozumieć, dlaczego kiedy mój nowy router jest podłączony bezpośrednio do kabla sieciowego, nie mogłem uzyskać połączenia z Internetem.

Dopiero gdy próbowałem podłączyć router Asus bez powodzenia, rozmawiając ze wsparciem Asusa, zdarzyło mi się wspomnieć, że mój stary router nadal dobrze się łączy, ale nowy Asus nie. Powiedział mi, żebym zmienił adres MAC nowego routera na stary D-Link, zrestartowałem i to zadziałało. Powiedział: „W porządku, więc Verizon dokonuje filtrowania adresów MAC”.

Obsługa Verizon twierdziła, że ​​nie są, ale jakkolwiek to nazywają, w efekcie uniemożliwiłoby to użycie adresu IP innej osoby, ponieważ adres MAC nie byłby zgodny z adresem routera od prawdziwego właściciela konta.

użytkownik266290
źródło
1

Jest w tym trochę więcej. Komputer lub router może uzyskać adres IP przez DHCP lub możesz zapłacić za statyczny adres IP, ale tak czy inaczej dostawca usług internetowych nie traci adresów IP. Brama domyślna jest używana przez każdy adres IP w sieci. Same modemy kablowe będą komunikować się z UBR (Universal Broadband Router) w prywatnej sieci IP, zwykle o adresie 10.10.xx, w ten sposób dostawca usług internetowych nie płaci za tyle publicznych adresów IP. Domyślna brama dla twojego publicznego adresu IP znajduje się na drugim końcu tunelu sieciowego. Jeśli zmienisz adres IP komputera z adresu DHCP na inny statyczny adres IP, modem kablowy po prostu nie zaakceptuje ruchu z tego adresu.

Todd
źródło