Birinin ağını, sahip olmadığı IP adresleriyle yapılandırmasını engelleyen nedir?


22

İşte senaryo. Bir dizi IP adresi alan bir üniversiteyi hayal ediyordum. Bence hala bir ISS'nin içinde olacaklar (doğru?), Ancak işleri istedikleri şekilde yapılandırma özgürlüğüne sahiplerdi.

Zaten kullanımda olan IP adreslerini yönlendiricilerine ve ana bilgisayarlarına bağlamalarını engelleyen nedir?

Ve gerçekten biri bunu yaparsa ne olur?


6
Üniversiteler orijinal ISS'lerdi. İnternet işbirlikçi bir akademik / devlet deneyiydi. Aslında, halka açık İnternet, kendi seçtikleri diğer ISS'lere bakan bir grup ISS'den ibarettir. Bir felaket durumunda iletişimi sürdürmenin bir yolunu arayan hükümet (örneğin nükleer savaş, diğer şeylerin yanı sıra), üniversiteleri ve telkoyu (AT&T zamanında, bugün bildiğin gibi değil) buldu. gerçek telko) bir yol tahrip edildiğinde iletişimi sürdürmek için bir yöntem geliştirmek ve bunun paket anahtarlaması ve İnternet ile sonuçlanması.
Ron Maupin

1
Örneğin İngiltere'de, JISC üniversiteler için ağ dağıtımlarını yönetmektedir.
Monica Jan'a Zarar Vermeyi Durdurun

Hiçbir şey değil. Ama elbette bu IPv6 ile ilgili bir sorun değil.
Monica'yı eski durumuna getirin - M. Schröder

Herhangi bir cevap size yardımcı oldu mu? Eğer öyleyse, cevabı kabul etmelisin ki soru sonsuza kadar ortaya çıkmayacak, bir cevap arayacaksın. Alternatif olarak, kendi cevabınızı sağlayabilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


32

Büyük olasılıkla büyük bir üniversite iseler, ağlarını internete bağlamak için BGP kullanarak bir dizi giriş ağları üzerinden kendi ISS'leridir .

Hiçbir şey, kullanmaması gereken IP adreslerini kullanmalarını engellemez ve yerel ağlarında çalışır. Ancak, internette çalışmaz. Onlara bağlantı sağlayan giriş ağları, üniversitenin yalnızca kendilerine atanan IP adreslerinin reklamını yapmasını sağlayacak filtrelere sahip olmalıdır. Doğrudan yukarı akışlar onları filtrelemezse, yukarı akışların yukarı akışları süzülür. Ve eğer başka bir ağ tarafından kullanılan IP adresleri üniversite tarafından kullanılacaksa, diğer ağa üniversite ağından erişilemez olacaktır.

Ek olarak, yönlendirme tablolarını izleyen ve "yasadışı" IP reklamları ( BGP kaçırmaları ve yönlendirme anormallikleri) hakkında uyarı veren birkaç proje (örneğin, RIPE RIS ve BGPmon ) vardır .


11
Ne yazık ki bugün bile gerekirdi hala anlamına gelmez var
Josef

7
@Josef Adil olmak gerekirse, BGP "gizli bir güven" döneminde inşa edildi - her internet düğümü sahibi, diğer her internet düğümü sahibini tanıyordu , bu nedenle korsanlık için neyin ve neyin sosyal sonuçlara sahip olduğunu biliyorlardı . BGP asla gerçekten "güvenli" olacak şekilde tasarlanmadı, sadece çalışması için tasarlandı.
Der Kommissar

2
ISP'ler genel olarak BGP'yi filtrelemede daha iyi oldular, çünkü sahte bir rota reklamı yapan birisinin (kasten veya kazayla) biri nedeniyle iyi bir şekilde duyurulan bazı önemli kesintiler oldu.
Barmar

1
Eklemek isterim ki, muhtemelen komşuları tarafından korkutulurlardı.
PEdroArthur

1
Başka birinin IP'sini dahili olarak kullanırlarsa, bu siteye ulaşmak için çalışacaklardır, ancak bu IP'nin gerçek sahibinde barındırılan herhangi bir şeyin erişilemeyeceği anlamına gelecektir.
Loren Pechtel

12

Zaten kullanımda olan IP adreslerini yönlendiricilerine ve ana bilgisayarlarına bağlamalarını engelleyen nedir?

Hiçbir şey değil. Yıllar boyunca, dünya çapında tanınan bir "marka" şirketi de dahil olmak üzere, hem kamu hem de özel her boyutta kuruluşu gördüm. Aslında, bunu iş ortamlarında üniversite ortamlarından daha sık görmüştüm (büyük ölçüde internette daha önce daha fazla sayıda üniversitenin yer alması ve bugün kullanılan standartların ve en iyi uygulamaların tanımlanmasına yardımcı olması nedeniyle).

Ve gerçekten biri bunu yaparsa ne olur?

Bugün, büyük olasılıkla, kuruluştan başka hiçbir şey İnternet'in örtüştüğü kısımlarına ulaşamamaktadır. Geçmişte, bu tür bir şey, bazı veya birçok kullanıcı için "İnterneti sonlandırmak" da dahil olmak üzere ciddi sorunlara neden oldu (bir durumda, tek bir ISS yanlışlıkla İnternet trafiğinin çoğunu kendi ağını aşırı yükleyerek İnternet'e varsayılan bir rota getirdi onların arasından yönlendirmeye çalıştı).

Önerdiğiniz gibi geçmiş olaylar, öğrenme fırsatları haline geldi ve bu tür yanlış yapılandırmalardan korunmaları içeren en iyi uygulamalarla sonuçlandı. Günümüzde, çoğu kez sağlayıcılar bağlı kuruluşlara gelen trafiği yalnızca reklamları olması gereken IP adresine filtrelemek için BCP38 / RFC2827 kullanıyor.

Bazı sağlayıcılar hala da uygulamak filtreleme Bogon düzgün muhafaza zaman hiçbir geçerli trafik (yani özel adres aralıkları, atanmamış IP uzay, vb) gelen gerektiğini IP uzaydan trafiği önlemeye yardımcı olur. IPv4 bogon listesi bugün geçmişte olduğundan çok daha küçük olsa da (yani çoğu IPv4 adresi şimdi atanmıştır), IPv6 bogon listesi hala IP çömelme kapsamını sınırlamak için (özellikle atanmamış IP kullanarak) özellikle büyük sağlayıcılar için oldukça yararlı olabilir. boşluk).


8

Hiçbir şey, adreslerini kendi makinelerinde kullanmaktan alıkoyamaz.

Onları internete tanıtmaya çalışırlarsa ne olacak, sağlayıcılarının ne kadar özensiz olduğuna bağlı. Eğer sağlayıcıları en iyi uygulamaları takip ediyorlarsa, o zaman yerinde filtreler olacak ve reklamlar korsanların sınırlarının ötesine geçmeyecek.

Eğer sağlayıcıları ve sağlayıcıları özensizse OTOH, sahte bir duyuru, IP alanının meşru sahiplerinin önemli ölçüde bozulmasına neden olacak şekilde sahte bir duyuru daha ileri gidebilir.

Bu tür olaylar neredeyse kesinlikle fark edilecektir ve muhtemelen bazı sıcak tartışmalar ve bazı ekstra filtreler eklenecektir.


6

Sanırım iki makinem var. Birine 1.2.3.4, diğerine ise 1.2.3.5 adresini atadım. Bu adreslere sahip değilim.

İnternete girmediğim sürece, bu iki makine birbirleriyle sorunsuz konuşabiliyorlar.

Şimdi internete bağlanıyorum. Diğer cevaplar, filtreleri engelleyen şeyler hakkında konuşur, ancak bir an için bunu görmezden gelin.

Makinem 1.2.3.4, 12.34.56.78 gibi yasal bir adrese bağlanmaya çalışıyor. Bu adresin bulunduğunu ve uygun sahibi tarafından kontrol edildiğini varsayalım.

Yani, makinem bir paket gönderir:

1.2.3.4, Kime: 12.34.56.78, İçerik: Arkadaş olmak ister misin? (İnsana çevrilmiş)

Yönlendiriciler Kime: bölümüne bakar ve doğru şekilde 12.34.56.78'e teslim eder. Bu makine hiçbir şeyden şüphelenmiyor ve cevap veriyor.

Kimden: 12.34.56.78, Kime: 1.2.3.4, İçerik: Elbette, arkadaş olalım!

Şimdi soruna geliyor. Bu cevap size asla teslim edilmeyecek. Bunun yerine , çok karıştıracak olan gerçek 1.2.3.4'e teslim edilecektir.

Eğer yanlış bir adres kullanırsanız, İnternet ile konuşabilirsiniz ancak İnternet size asla cevap vermeyecektir.


4
BGP üzerinden sahte adreslerin reklamını yaparsanız ve öğle saatlerinde duyurularınızı engellemezseniz, internetin büyük bölümleri en azından ne olduğunu anlayana kadar size çok iyi cevap verebilir.
Peter Green

2
İyi bir ISS, BCP38'i uygulayacaktır, böylece “internet ile konuşma” girişimleriniz, sızdırma önleyici filtrelerinde sona erecektir.
Teun Vink

Açıkladığınız şey internete bağlanmak için çalışmayan bir girişim değil, gerçekte gerçek 1.2.3.4'teki (ve belki de ayrıca 12.34.56.78) olası bir DOS saldırısıdır. Bu nedenle TeunVink tarafından belirtilen filtreler (umarım)
yerindedir

@HagenvonEitzen: Bunlar tamamen farklı filtreler. Teun, BGP gibi rota değişim protokollerini doğrulayarak rota reklamlarını engelleme hakkında konuşuyor. Kaynak sahtekarlığı DDoS'yi önlemek için, rota değişimi ile ilgisi olmayan paketler üzerinde ters yol filtrelemesi gerekir.
Ben Voigt

2

İnternetteki büyük renk örneklerini karartırdı

Emin. Diyelim ki, özel IP adreslerini 10.xxx gibi kendi iç ağlarında dahili olarak kullanmak gibi ortak bir şey yapıyorlar. Matkap, ağ adres çevirilerini kendi ağınızın ucunda, tıpkı ev ağınız gibi.

10.xxx'in onlar için çok kısıtlayıcı olduğuna karar vermeleri dışında, genel IP adreslerini dahili olarak atamaya başlarlar. İlk başta çalışacak. Ama sonra sorunlar ortaya çıkmaya başlayacaktır.

Birinin bir laboratuvar makinesi için 172.217.15.68 kullanması zaman meselesi. Www.google.com için DNS çözümlemelerinin IP adreslerinden biridir. Şimdi, bazen, üniversitenin içindeki bir kişi Google’da bir arama yapmaya çalıştığında, web tarayıcıları bu laboratuar makinesine gider . Çünkü iç yönlendiriciler, biri iç diğeri dış olmak üzere iki adet 172.217.15.68'in olduğunu anlama yeteneğine sahip olmayacaktı; onlar sadece paketlerinizi dâhili olana yönlendirir.

Dahili olarak atanan IP blokları harici olarak yönlendirilemez

Ama bundan daha kötü. Bütün bir netblock atadılar, böylece 172.217.xx / 16'nın tamamı o laboratuara yönlendirilecek. Muhtemelen her Google IP’sini engellemeyeceksiniz, ancak birçok arama başarısız olacaktır. Craigslist gibi daha küçük kıyafetler için tüm adresleri aynı netblock içindeydi, eğer üniversite bu netblock'u dahili olarak atadıysa, tüm site soğuk olarak engellenirdi.

Bu, üniversitenin iç ağı dışındaki hiç kimseyi etkilemeyecektir. Dış sağlayıcılar, üniversitenin Google'ın IP alanını atamasını kabul etmeyeceklerdir. Üniversiteye yönlendirilen tek trafik, üniversitenin sahip olduğu halka açık IP adresleri olacaktır.

Bunun yerine sadece IPv6 kullanın

Eğer Comcast'e kaydolursanız, size kendinizin 64'ünü veriyorlar. Güzelce sorarsan, sana sadece 48 yaşında bir el verdiklerini duydum. Ancak diyelim ki sadece / 64 alıyorsunuz ve sonra RevOlution'un tam grafiğini yapın ve gösteriyi tartışıldığı gibi elektrik tüketen kendi kendini kopyalayan nanitler yaratın . Her nanitenin kendine ait olması için yeterli IPv6 adresiniz var mı?

Evet. Ve 2 milyon paralel dünyada buna yetecek yedek.

Yani, IP adreslerinin tükenmesi konusunda gerçekten endişeleniyorsanız, işte yol budur.


2

Diğerlerinin de belirttiği gibi, hiçbir şey kimsenin bunu yapmasını engellemez, ancak genel olarak bunun organizasyon dışında bir etkisi olmaz ve hatta iç sorunlara neden olur.

Şimdi, eğer siz bir ISS'siniz ve başkalarına bu IP'leri yönlendirmek için kullanacağınızı (BGP gibi bir yönlendirme protokolü kullanarak) söylemeye başlayın, o zaman bu IP bir süreliğine "kısmen" sizin olacak. Kısmen, çünkü sorun fark edildiğinde, onu durdurmak için önlemler alınacaktır. "Bir süre", önlem alınana kadar.

BGP ile ilgili olaylar geçmişte yaşanmış ve bu da trafiğin yanlış yerlere yönlendirilmesine neden olmuştur. İşte son olay bir bağlantı: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ yapabilirsiniz Daha fazla bilgi için "BGP rota sızıntısı" aratın.

İnternet çok güveniyor. İşler yavaş yavaş değişiyor, ancak birçok durumda, ISS'ler yalnızca diğer ISS'lere güveniyor.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.