Czy możesz zdobyć dowolny adres IP w Internecie?

82

W sieci osobistej (LAN) można po prostu pobrać adres IP . Jeśli wybierzesz ten sam adres IP, co istniejący klient, pojawią się problemy. Są firmy takie jak IANA i ICANN, które są odpowiedzialne za większość adresów IP i sprzedają je. Ale co powstrzymuje Cię od pobrania losowego adresu IP? Czy to jest zbudowane na zaufaniu? Co by było, gdyby ktoś złapał adres IP i nastąpiłoby konflikt. Czy istnieje jakiś sposób na prześledzenie tego adresu IP do lokalizacji serwera, który go używa?

Czy firmy, które faktycznie utrzymują fizyczne kable internetowe, sprawdzają, czy klienci łączący się używają kupionych bloków adresów IP?

Przyjaciel Kim
źródło

Odpowiedzi:

114

Nic nie stoi na przeszkodzie, aby dołączyć do Internetu skrzynkę skonfigurowaną z czyimś adresem IP. Nie musi to jednak powodować żadnych problemów dla nikogo poza tobą.

Jeśli kradniesz adres IP innej osoby poza podsiecią, z którą jesteś fizycznie podłączony, jedyną rzeczą, którą możesz osiągnąć, to nie być w stanie odbierać żadnego ruchu, ponieważ każdy router, zachowując się prawidłowo, będzie kierował ruch do prawdziwego właściciela tego Adres IP. Być może będziesz w stanie reklamować fałszywe trasy do dowolnego routera brzegowego, który znajduje się przed tobą w nadziei, że zostaną one propagowane dalej w nadziei na przekierowanie ruchu do ciebie na podstawie skradzionego adresu IP, ale każdy marginalnie kompetentny dostawca usług internetowych / dostawca usług nadrzędnych zrobiłby to nigdy nie akceptuj tras od klientów niebędących przedsiębiorcami. Jeśli chodzi o klientów korporacyjnych / innych dostawców usług internetowych, obowiązują ich szczegółowe zasady dotyczące tras, które mogą reklamować i korzystać ze swojego dostawcy tranzytowego lub równorzędnego, które są monitorowane 24 godziny na dobę przez 7 dni w tygodniu przez Operacje sieciowe i zespoły sterujące. Większość ma również zasady dotyczące tego, które trasy zaakceptują jako ważne, w zależności od tego, kto je reklamował. Krótko mówiąc, kradzież czyjegoś adresu IP poza podsiecią, z którą jesteś połączony, nie robi nic, chyba że możesz również manipulować nadrzędnymi tablicami routingu.

Poza tym, jeśli miałbyś ukraść adres IP osoby w tej samej podsieci, zakłóciłbyś ruch zarówno osoby, która jest jego właścicielem, jak i ciebie. W przypadku dowolnego zarządzanego przełącznika lub routera wywoła to alarm, ponieważ w sieci istnieje zduplikowany adres i prawdopodobnie doprowadzi to do zablokowania połączenia.

Fred Thomsen
źródło
Jedną z rzeczy, o których wspomniałeś, ale której nie wspomniałeś wyraźnie, jest to, że nie możesz komunikować się z prawdziwym właścicielem adresu IP, a może z prawdziwym właścicielem całej podsieci.
Michael Hampton
3
Wyjaśniłbym „nie być w stanie odbierać żadnego ruchu z Internetu ” zamiast „w ogóle nie ma ruchu”. [Przykład nie jest w pomyśle OP:] Są (były?) Niektóre przedsiębiorstwa, które uważały, że można używać adresów internetowych jako wewnętrznych adresów IP w ich sieciach LAN ... I to „działa” (ale jest okropne pomysł, a nie do odtworzenia). Ale potem zastanawiają się, dlaczego nie mogą uzyskać dostępu do niektórych stron (ponieważ nawet przy użyciu NAT-owania na ich bramie internetowej: wszelkie pakiety skierowane do hosta w tym samym zakresie, co ich „wewnętrzny” zasięg, będą wysyłane przez ich maszyny LAN w ich sieci LAN, zamiast do bramy, która ma zostać wysłana ...)
Olivier Dulac
@OlivierDulac Nie musi to być problem, o ile nie kierujesz / NAT do Internetu, ale korzystasz z serwerów proxy. Trwa bardzo ostrożna konfiguracja, ale z pewnością jest to możliwe. (W rzeczywistości pracuję dla firmy, która działa w ten sposób. Międzynarodowa z około 500 000 urządzeń ip.)
Tonny
Czy dostawcy usług internetowych odrzucają ruch od klientów, którzy (wybacz mi terminologię, jeśli są niepoprawne) żądają statycznego adresu IP zamiast tego przez DHCP?
Dean MacGregor
@Tonny: Właśnie ograniczyłem nieco „dowolny ruch”. Wiem, że istnieją rozwiązania / obejścia, ale nadal lepiej jest użyć zastrzeżonej klasy A (10.x / 8, więc ponad 16 milionów adresów lub ich podsieci, jeśli potrzebujesz mniej [dobrze, aby zachować nieużywane zakresy w szczególnych przypadkach] ) niż korzystać z niezarezerwowanego zakresu [gdzie każda tablica routingu routera lokalnego musi zostać starannie zaprojektowana, aby odróżnić lokalny ruch od tych z dostępem do Internetu. Niektóre staranne ustawienia sprawiają, że jest to „łatwe”, większość nie]
Olivier Dulac
120

Podobne do odpowiedzi mpez0, ale lubię dobrą analogię do samochodu ...

Wybieram do tego Wielką Brytanię, ponieważ tam mieszkam. Wyobraź sobie, że żyjesz w świecie, w którym ludzie bez pytania podążają za znakami drogowymi, a zdarza się, że mieszkasz w północnej Szkocji, tak daleko od Londynu, jak to możliwe, bez przekraczania wody. Mieszkasz w małym miasteczku i pewnego dnia zdecydujesz, że zmienisz nazwę swojego miasta na „Londyn”, ponieważ to oczywiście spowoduje zwiększenie ruchu handlowego i turystycznego w twoim mieście, prawda? Zadajesz sobie nawet trud aktualizacji lokalnych znaków drogowych, aby odzwierciedlić nową nazwę swojego miasta.

Co się właściwie dzieje? Cóż, wielu ludzi z okolicznych wiosek odwiedza twoje miasto, kierując się znakami i zastanawiając się, dlaczego nie ma ich w Londynie. Ale poza tym nic się nie zmienia. Dlaczego?

Rozważmy kogoś, kto mieszka w środkowej Anglii. Wiedzą, że Londyn znajduje się na południu, więc kiedy wyruszają w drogę do Londynu, kierują się znakami z napisem „POŁUDNIE” i jeżdżą dalej, aż znaki staną się bardziej szczegółowe. Innymi słowy, ich znaki drogowe nadal wskazują na prawdziwy Londyn. Ich „tabele routingu” nie uległy zmianie. To, że twoje miasto postanowiło zmienić nazwę na Londyn, jest dla nich bez znaczenia. Ich lokalne trasy nie są wystarczająco szczegółowe, aby zauważyć zmianę.

Jeśli zdecydujesz się zmienić adres IP, routery gdzie indziej nie będą nagle o tym wiedzieć. Znaki drogowe się nie zmienią.

Chris McKeown
źródło
13
To naprawdę dobre porównanie.
Przyjaciel Kim
Mówiąc o tym, że są mylone znakami, nie wiem, czy Wielka Brytania jest taka, ale w USA nierzadko jest mieć znak przed zjechaniem na autostradę reklamującą miasto setki mil dalej. Kiedy byłem dzieckiem, uznałem to za mylące, ponieważ ktoś może być w Szkocji i jechać autostradą, spodziewając się, że Londyn będzie kolejnym miastem po ...
Michael
14
@Michael Z drugiej strony w Wielkiej Brytanii nierzadko widuje się znaki, które w rzeczywistości mówią po prostu „Południe” .
EP
2
Istnieje również pojęcie domyślnej trasy na znakach drogowych: „Wszystkie kierunki” lub „Inne kierunki”. Kiedyś we Francji znaleźliśmy przejście, które miało oba znaki, ale wskazywało w różnych kierunkach;)
MSalters
21

Rozważ analogię adresu swojego domu. Pewnego dnia zdecydujesz się zmienić adres z „123 First Street” na „1600 Pennsylvania Avenue”. Jaką różnicę robi to poza twoimi własnymi liniami nieruchomości? Brak - ponieważ reszta świata nadal zachowuje się tak, jakby fizyczna lokalizacja domu nie uległa zmianie, nazwa ulicy nie zmieniła się, nazwa miasta nie zmieniła się, kod pocztowy nie zmienił się .. . Masz pomysł.

Poczta, paczki itd. Zostaną „przekierowane” do twojego domu na podstawie jego lokalizacji w sieci adresowej twojej społeczności. Numer twojego domu (komputera) sam w sobie jest tylko ostatnim i ostatnim przystankiem (przeskok sieci). Wszystko po drodze musi się zgadzać, synchronizować, a ty kontrolujesz tylko sam koniec ścieżki.

Możesz numerować swój dom (lub komputer), co chcesz, ale aby ruch sieciowy nadal płynął, musisz to zrobić w synchronizacji ze środowiskiem. Aby zmienić adres domu, musisz zmienić jego numer ORAZ uzyskać biurokrację, aby zmienić nazwę swojej ulicy ORAZ zmienić nazwę swojego miasta ORAZ kodu pocztowego. Podobnie, aby zmienić adres IP na coś poza przydzielonym blokiem, musisz zmienić jego numer ORAZ poprosić dostawcę usług nadrzędnych o zmianę przydzielonego bloku ORAZ zmienić ich routery, aby przekierowali ten blok do Ciebie, I reklamuj to za pośrednictwem BGP na ich równorzędne trasy.

W obu przypadkach synchronizujesz zmianę ze światem zewnętrznym, aby świat zewnętrzny wiedział, jak cię znaleźć. W przeciwnym razie ruch sieciowy nie będzie już mógł Cię znaleźć - a jedyną jednostką, na którą wpłynie Twoja zmiana adresu, jesteś Ty. Co z architektonicznego punktu widzenia jest dobrą rzeczą!

AndroidNewbie
źródło
10

Dany dostawca usług internetowych może przypisać dowolny adres dowolnemu klientowi. Jednak adresy są użyteczne tylko dlatego, że mogą mieć trasy między nimi a innymi adresami. Dostawca usług internetowych, który przypisuje adresy spoza zakresu przydzielonego przez ICANN, albo nie dostanie pakietów skierowanych do / z tego adresu, albo spowoduje błędy routingu w innym miejscu w Internecie. Dzieje się tak, gdy niektóre krajowe cenzury lub filtry internetowe nie działają prawidłowo lub czasami, gdy dostawcy usług internetowych najwyższego poziomu błędnie konfigurują informacje o routingu.

Tak, tak, możesz skonfigurować wewnętrzny serwer z tymi samymi adresami co Google.com, army.mod.uk itp. Ale prawdopodobnie nie dostaniesz pakietów, które byłyby przeznaczone dla tych hostów, przynajmniej nie spoza twojego routingu schemat.

mpez0
źródło
6

Jeśli jesteś dostawcą usług internetowych, możesz ukraść całe zakresy adresów IP. Dostawcy, duża firma i tym podobne mają tak zwane systemy autonomiczne identyfikowane przez „AS” i 16-bitową wartość całkowitą. Systemy te komunikują się z innymi systemami. Potrzebują protokołu, aby poinformować inne systemy, które adresy IP są właścicielami i do jakich innych systemów AS są podłączone, a także o „koszcie” połączenia. Pomiędzy AS jest to zwykle BGP .

Problem w tym, że wciąż opiera się to głównie na zaufaniu. Jeśli jakiś dostawca ogłosi, że jest właścicielem IP-Space Google, a koszt jest bardzo niski, wszystkie inne systemy wysyłają ruch do Google dla tego dostawcy. Dokonano tego np. Przy pomocy serwisu Youtube w celu zablokowania go przez Pakistan w Pakistanie. Nadal nie ma prawdziwego rozwiązania technicznego. To w zasadzie nadal działa. Większość dostawców przestawiła się z procesu automatycznego na półautomatyczny, w którym określają niektóre kryteria dotyczące zmian trasy ogłaszane przez innych dostawców, gdy muszą zostać sprawdzone przez człowieka. Ale Internet jest po prostu zbyt duży, aby to wszystko sprawdzić. Mają więc takie zasady, jak „jeśli AS wcześniej zrobił coś złego, sprawdź ręcznie”.

Więc nie, jako normalna osoba nie możesz ukraść adresu IP. Ale jeśli jesteś wystarczająco dużym dostawcą, możesz ukraść całe zakresy adresów IP przez co najmniej godziny, a nawet dni. Jeśli po prostu zrobisz to dla bardzo małych podsieci i spróbujesz przekierować ruch do prawdziwego celu, możesz nawet uciec z mężczyzną w środku ataku, którego nikt nie zauważy.

Jest oczywiście także artykuł na Wikipedii !

Jeśli chcesz się pobawić, dobrym początkiem jest narzędzie informacyjne BGP firmy Hurricane Electric. Istnieje również narzędzie graficzne. Możesz wprowadzić numer AS swojego usługodawcy, o którym informuje go strona internetowa, i zobaczyć, jakie połączenia używa twój dostawca.

Josef
źródło
5

„Czy dostawca usług internetowych może obsłużyć dostawców, których jeszcze nie kupił?”

Komunikacja odbywa się zasadniczo w następujący sposób: komputer do komputera docelowego (routera lub bezpośrednio do celu - określany przez maszynę wysyłającą poprzez porównanie jego adresu IP i jego maski podsieci; jeśli cel nie znajduje się w tej samej podsieci, jest wysyłany do router do routingu).

Jeśli router odbiera pakiet do routingu, podejmuje podobną decyzję na podstawie wszystkich podsieci, do których jest bezpośrednio podłączony. Wybiera, która podsieć ma wysłać pakiet dalej poprzez swoją „tablicę routingu”. Uwaga: Tabela routingu na komputerze klienckim została użyta w pierwszym kroku - wypróbuj CMD: „Route Print” w systemie Windows.

Na ostatnim routerze w procesie, tym z docelowym adresem IP w jednej z dołączonych do niego podsieci, router wysyła bezpośrednio do hosta za pośrednictwem swojego adresu MAC (być może po użyciu RARP).

Tak więc adresy IP są używane do trasowania między routerami, a routery mają pewien sposób na ustalenie trasy na podstawie ograniczonych zestawów informacji. Routery dynamicznie dzielą się informacjami o zmianach tras (dostępność podsieci sieciowej), ale „mogą to zrobić w sposób uwierzytelniony”. Nie mogę komentować, czy uwierzytelnianie jest wymuszone.

Jeśli dostawca usług internetowych „wyda” adresy IP hostom za pośrednictwem DHCP lub w jakikolwiek inny sposób, dane tablicy tras muszą istnieć dla udanej dwukierunkowej komunikacji. Identyfikacja nieuczciwego dostawcy usług internetowych byłaby trywialna. Nawet gdyby na różnych poziomach istniało podejście oparte na zaufaniu, cenzurowanie aktualizacji routingu od dostawcy usług internetowych byłoby nadal trywialne.

Martin O'Keefe
źródło
4

Rejestracja adresu IP jest regulowana w sieci lokalnej przez pewien rodzaj routera. Dzięki DHCP komputer pyta, czy ma adres IP z routera, i jest mu przypisywany. Ale kiedy chcesz opuścić sieć lokalną, twój adres IP jest przypisywany przez twojego dostawcę usług internetowych. Istnieją sposoby na sfałszowanie adresu IP, z którego pochodzi pakiet, ale gdy tylko dotrze on do jednego z routerów usługodawcy internetowego, adres IP jest zastępowany własnym. Jedyną rzeczą, która pozostaje ta sama, jest adres MAC, który również może zostać sfałszowany. Ale ponieważ adres IP jest zastępowany na pierwszym routerze, ogranicza to, co możesz zrobić.

Aby dać ci krótką odpowiedź, ISP wyznacza wszystko na potoku, który ma być powiązany z zarejestrowanym adresem IP. To tak, jakbym kazał ci wybrać kartę, a jest tylko jedna karta. Lokalne i publiczne adresy IP są całkowicie oddzielne.

Aby uzyskać więcej informacji, możesz to sprawdzić http://en.wikipedia.org/wiki/IP_address_spoofing

Upadły
źródło
1
Dziękuję za dobrą odpowiedź. Jednak nie myślę o tym, że zmienię adres IP w mojej prywatnej sieci. Mówię o firmach łączących się bezpośrednio z Internetem, takich jak na przykład firmy serwerów internetowych. Kontynuuj swój przykład. Czy dostawca usług internetowych mógłby zacząć rozdawać adresy IP, których nie kupił?
Przyjaciel Kim
1
Uważam, że na najwyższym poziomie ISP system ten opiera się na zaufaniu. Ale nie jestem pewien. Oto kilka informacji: en.wikipedia.org/wiki/Tier_1_network , en.wikipedia.org/wiki/…
Fallen
5
Ta odpowiedź jest błędna w kilku punktach. Zakłada się, że wszyscy używają NAT, co nie jest prawdą. To połączenie NAT i routingu. A stwierdzenie o zachowaniu adresu MAC podczas odrzucania źródłowego adresu IP jest wręcz przeciwne do tego, co dzieje się, gdy pakiet przechodzi przez bramę.
JdeBP
NAT bierze udział w mojej odpowiedzi, ale nawet bez NAT nie zmieniłoby to faktu, że adres IP przypisany przez dostawcę usług internetowych zastąpiłby adres IP w pakietach. Chyba że dostawcy usług internetowych przyjmą w dobrej wierze, że adresy IP są prawidłowe i nie będą ich modyfikować.
Fallen
@Fallen: Mój sprawdza adresy IP, ale ich wcale nie dotyka. Albo adres IP jest nieprawidłowy, a pakiet jest upuszczany lub jest przekazywany. Osobiście nie znam wielu dostawców usług internetowych, którzy przepisują adresy IP, ale rozumiem, że jest to częstsze w Azji (brak adresów IPv4)
MSalters
4

Możesz „użyć” dowolnego adresu IP dla wysyłanych pakietów, ale w rzeczywistości ograniczenie dotyczy pakietów, które otrzymasz.

„Kupowanie” zakresu adresów IP oznacza, że ​​kilka innych osób skonfiguruje swoje routery, aby pakiety wysyłane do tego zakresu adresów IP były przekazywane o krok bliżej Ciebie, w końcu docierając do urządzenia, które sam kontrolujesz. Chodzi o utrzymanie dużo tablic routingu z listy mówiąc (nieco uproszczony) „xxx.yyy. . Wysyłane do lewej, xxx.zzz. . Wysyłane w prawo”.

„Po prostu pobranie” dowolnego adresu spowoduje, że jeśli chcesz skontaktować się z www.google.com, wyślesz do nich pakiet początkowy, ale pakiet odpowiedzi zostanie przesłany do właściwego zamierzonego właściciela, odpowiednio skonfigurowanego, i wygrałeś nie widzę tego. Jeśli złapałeś adres należący do twojego sąsiada u tego samego usługodawcy internetowego, najbliższy router routera usługodawcy internetowego zostanie skonfigurowany do wysyłania wszystkich takich wiadomości do twojego sąsiada, a nie do ciebie. Jeśli wybierzesz losowy adres, najprawdopodobniej zostanie on wysłany do innego zakątka świata, a odpowiedź nawet nie zbliży się do twojego dostawcy usług internetowych.

Tak samo jest z pocztą, jeśli mieszkasz w Pjongjangu, ale chcesz zacząć otrzymywać pocztę zaadresowaną do „1600 Pennsylvania Ave NW, Waszyngton, DC 20500, Stany Zjednoczone”, musisz przekonać (przynajmniej jedną z) usług pocztowych między nadawcą a właścicielem adresu, aby wysłać takie wiadomości na swój sposób. Jest to możliwe, jeśli wszyscy nadawcy są w wewnętrznej sieci firmowej; ale to chyba nie było pytanie.

Piotr jest
źródło
2

Funkcja protokołu DHCP (Dynamic Host Configuration Protocol) routera, do którego podłączona jest osoba fizyczna, w celu przydzielenia adresu IP w określonym zakresie. Nie możesz po prostu poprosić o określony adres IP. O ile mi wiadomo, osoba nie może „sfałszować” adresu IP.

Peter Fowler
źródło
1
Dziękuję za dobrą odpowiedź. Jednak nie myślę o tym, że zmienię adres IP w mojej prywatnej sieci. Mówię o firmach łączących się bezpośrednio z Internetem, takich jak na przykład firmy serwerów internetowych. Kontynuuj swój przykład. Czy dostawca usług internetowych mógłby zacząć rozdawać adresy IP, których nie kupił?
Przyjaciel Kim
1
w rzeczywistości możesz poprosić o określony adres przez DHCP. Jednak to od serwera zależy, czy wyrazi zgodę na twoją prośbę.
BRPocock
@Peter, pyta co jeśli jesteś DHCP.
Pacerier