IP adresleri gerçekte nasıl atanır?

Bir yönetim organının IP adreslerini nasıl atadığını, şirketlerin bu IP'lerin reklamını yapmak için BGP'yi ve internetin nasıl çalıştığını anlamakta zorlanıyorum. Peki, DNS nereden geliyor?

Herkes bu şeylerin gerçekten nasıl çalıştığını iyi bir okuma önerebilir? Sanırım birkaç sorum var. Birincisi, ARIN (veya başka herhangi bir yönetim organı) gerçekten önemli mi? Etrafta olmasalardı, kaos olur muydu? Bir blok atadıkları zaman, LITERALLY olarak atamazlar mı? Reklam vermek için BGP kullanmak zorundasınız, değil mi? IP'leri yönlendirdiğiniz kapalı bir barındırma ortamına (özel / paylaşılan) her zaman alışkınım.

Peki, DNS oynamaya nasıl giriyor? Kayıt şirketimle bir DNS sunucusu (eNom) kaydedebiliyorum - bu gerçekten ne anlama geliyor? Bind'i yükledim ve tüm bu işleri yaptım ve kendi DNS sunucularımı çalıştırıyorum, ancak bu DNS sunucusunu kimlerle kaydediyorlar? Sadece anlamıyorum.

Bilmem gereken ve bilmediğim bir şey gibi hissediyorum ve gerçekten sinirli oluyorum. Sanki .. basit .. İnternet nasıl çalışır? IP atamadan, onları yönlendiren şirketlere ve DNS'ye.

Sanırım bir örneğim var - Bu IP alanına sahibim 158.124.0.0/16 diyelim (örnek). Şirketin 158.124.0.0/17 internet bağlantısı var. (Her şeyden önce, şirketler neden IP bloklarını atar ve sonra kullanmazlar? Neden ayrılmış dahili alanı 10.x ve 192.x kullanmıyorlar?). Ben de oradayım. Bu IP'leri gerçekten İnternet üzerinden ve kullanılabilir duruma getirmek için ne yapmalıyım? Diyelim ki Chicago'da bir veri merkezim ve New York'ta bir veri merkezim var. Bir resim yükleyemiyorum, ancak bir resmi buraya bağlayabilirim: http://begolli.com/wp-content/gallery/tech/internetworkings.png

Ben sadece IP bloğu atandığında, BGP (bir kamu AS # elde?) Kullanarak bir şirkete, ve sonra nasıl DNS oynamak için geliyor anlamaya çalışıyorum?

Resmimden bir şey nasıl olurdu? Bir senaryo oluşturmaya çalıştım, iyi bir iş yapıp yapmadığımdan emin değilim.

Kiralanmış IP Blokları

IP'ler IANA tarafından Bölgesel İnternet Kayıtlarına (RIR) bloklar halinde atanır. RIR'lerin bu listesine ( liste ve harita ) bakın. RIR'ler daha sonra bireysel şirketlere (genellikle İSS'ler) daha küçük blok IP'leri kiralar. Dağıtım almak ve bunları sürdürmemek için kira kaybı anlamına gelen gereksinimler (ücretler ve kullanım kanıtı dahil) vardır.

Bir şirket RIR'den bir veya daha fazla blok kiraladıktan sonra, dünyanın geri kalanına belirli bir IP'yi (veya bunların setini: alt ağları) nerede bulacağını söylemenin bir yolunu bulmaları gerekir. BGP burada devreye giriyor. BGP, Otonom Sistem (AS) adı verilen büyük bir ağ kavramı kullanır . AS kendi içinde nasıl gidileceğini bilir. Başka bir ağa yönlendirme yaparken yalnızca AS Ağ Geçitleri ve bu harici adreslere doğru "sonraki atlama" nın nerede olduğunu bilir. AS numaraları da IANA tarafından yönetilmektedir .

Bir AS içinde, hatta bir ISS kadar büyük olsalar da, trafiği dahili olarak yönlendirmek için çeşitli yönlendirme protokolleri (RIP, OSPF, BGP, EIGRP ve ISIS akla geliyor) kullanabilirler. Statik Yönlendirme Tablolarını kullanmak da mümkündür, ancak çoğu uygulamada tamamen pratik değildir. Dahili yönlendirme protokolleri büyük bir konudur, bu yüzden Sunucu Hatası üzerinde bu konuları burada yapabileceğimden daha adalet yapabilen başka sorular olduğunu söyleyerek basitleştireceğim.

DNS

İnsanlar sayıları iyi hatırlamıyor, bu yüzden ev sahibi isimlerini icat ettik. Geçmişi atlayarak, hangi ana bilgisayar adının hangi IP adresine işaret ettiğini izlemek için Alan Adlandırma Sistemini (DNS) kullanırız. Bunlar için IANA tarafından yönetilen merkezi bir kayıt defteri vardır ve Kök Sunucular tarafından sunulan Kök Bölgede Üst Düzey Etki Alanlarının (TLD) (örneğin ".com" veya ".net") ne gittiğini belirlerler. IANA "kök bölge" yönetimine yetki verir, bu yönetici yalnızca kalifiye Kayıt Şirketlerinden gelen güncellemeleri kabul eder.

Bir TLD'nin alt etki alanı olan bir etki alanı adını "satın almak" için Kayıt Şirketi kullanabilirsiniz. Bu kayıt esas olarak bu alt etki alanını oluşturur ve size Name Server (NS) ve Glue (A) kayıtları üzerinde kontrol sağlar. Bunları alan adınızı barındıran bir DNS sunucusuna yönlendirirsiniz . Bir istemci IP'nizi bir etki alanı adından çözmek istediğinde, istemci kök sunucusundan başlayarak, DNS sunucunuzu bularak ve sonunda ilgili bilgileri alan özyinelemeli arama yapan DNS sunucusuyla bağlantı kurar.

Herkes aynı fikirde

"Yönetim organları" na gelince: herkes onları kullanmayı kabul eder. Hiç kimsenin işbirliği yapmasını gerektiren (veya çok az) yasa yoktur. İnternet çalışıyor çünkü insanlar işbirliği yapmayı tercih ediyor . Yönetim organları, kolay bir işbirliği aracı sağlar. Tüm çeşitli RFC'ler, "Standartlar" ve benzerleri - hiç kimse bunları kullanmaya zorlanmıyor. Ancak, toplumun işbirliği üzerine kurulduğunu ve bunun kendi çıkarlarımıza göre olduğunu anlıyoruz.

İşbirliği ile sağlanan verimlilik, BGP'nin popüler olmasının aynı nedenidir, herkes temelde bunu kullanmayı kabul eder. ArpaNet günlerinde elle yapılandırılmış rota tabloları ile başladılar; daha sonra İnternet karmaşıklık içinde büyüdükçe giderek daha kapsamlı bir sisteme ilerledi, ancak herkes yeni standardı kullanmayı "kabul etti". Benzer şekilde, ağların dağıtacağı ana bilgisayar dosyalarıyla belirtilen ad çözümlemesi ve sonunda bugün bildiğimiz DNS sistemine dönüştü. (Çoğu zaman azınlık yeni bir standart için bir gereklilik oluşturduğundan ve başka hiç kimsenin daha iyi bir alternatifi olmadığı için teklifte "kabul edildi", bu yüzden kabul edildi).

Güven

Bu işbirliği düzeyi IANA'ya güvenmeyi gerektirir. Gördüğünüz gibi, çeşitli sistem çekirdeklerinin çoğunu yönetiyorlar. IANA şu anda ABD Hükümeti tarafından desteklenen Kar Amacı Gütmeyen bir kuruluştur (ABD Postanesi'ne benzer), ancak zar zor kaldırılmış olsa da hükümetin bir parçası değildir. Geçtiğimiz yıllarda ABD Goernment'in IANA üzerinde diğer dünya hükümetlerine veya sivillere karşı bir "silah" olarak kontrol edebileceğine dair endişeler vardı (özellikle SOPA ve PIPA gibi yasalar geçilmedi, ancak gelecekteki yasaların temeli olabilir) .

Şu anda IANA, yeni TLD'ler yaratarak ( kar amacı gütmeyen bir şirket olmasına rağmen) fon yaratmayı kendi başına üstlenmiştir . "XXX" TLD, bazıları tarafından gaspçı tarzı bir para toplama kampanyası olarak görülüyordu, çünkü tescil ettirenlerin büyük bir kısmı adlarını "savunuyor". IANA ayrıca özel sektöre ait TLD'ler için başvurular almıştır (her biri 180.000 $ 'dır; başvurularla sulandıktan sonra uygulama sürecini askıya aldılar, bunların yarısı yalnızca Amazon'dan geliyordu . Bu uygulamaların çoğu yeni gTLD'lerle sonuçlandı .

Herkese açık internete, DFZ'ye (Varsayılan Serbest Bölge) yönelik tüm reklamlar, İSS'lerin dahili yönlendirmeyi nasıl değiştirdiği BGP (Sınır Ağ Geçidi Protokolü) aracılığıyla yapılır. Birçoğu BGP'yi hem kendi yönlendiricileri arasında (hem de OSPF gibi bir IGP ile birlikte kullanılır) hem de müşterilerle birlikte kullanır, ayrıca kendi AS numaranız yoksa, eşleştirmek için özel bir AS kullanabilirsiniz ISP'niz ve adres alanınızı DFZ'ye duyurduklarında özel AS'yi yoldan kaldırırlar. Daha küçük yedeksiz bağlantılar için PE'de de statik yönlendirme kullanabilirsiniz. Gerçek "atama" sadece kayıt memurunuzun veritabanında, whois veritabanı, RIPE / ARIN vb. Bu amaçla kendi veritabanlarını çalıştırır.

Komutu whois 158.124.0.0/16bir Linux kutusunda çalıştırmayı deneyin .

DNS için de geçerlidir, whois kayıtlarında ters DNS sunucusu belirtilir.

Bu çok eski bir soru, ama internetin nasıl çalıştığını anlamakta da aynı sorularım vardı . Diğer yanıtlar gibi, ağ kitapları da BGP ve DNS'ye genel bir bakış sunuyor, ancak yine de kafamı karıştı. Örneğin, kök sunucular olarak a.root-servers.net üzerinden m.root-servers.net verilir, ancak bir DNS hizmeti DNS'yi kullanamazlarsa bu sunucuları nerede bulacağını nasıl bilir.

IP, alt ağ oluşturma, DNS vb. İle ilgili temel bilgilerin bu cevapla bilindiği varsayılır. "Boşlukları" ele alıyorum ve muhtemelen soru soran, İnternet'in nasıl çalıştığıyla ilgili. Hiçbir şekilde uzman değilim, ama bu benim boşlukları anlamam.

IP Adresleri

Dikkat edilmesi gereken ilk şey, İnternet ARPANET olarak başladığında, herkesin herkesi tanıdığı ve IP adresleri için yönlendirme tablolarının elle kodlandığıdır. IP'lerin atama işleminin telefon üzerinden yapıldığını varsayıyorum. İnternet çok büyüdükçe, BGP birden fazla ağ (AS) tarafından genel IP'leri olduğunu veya AS'lerinden başka bir AS'ye genel bir IP'ye ulaşabildiklerini tanıtmak için kullanıldı. Güven, bir AS'nin sahip olmadığı bir IP'nin reklamını yapmayacağıydı.

Bugün çok fazla güven yok. Bunun yerine, ISS'ler her AS'ye IP tahsislerini IANA ve bölgesel yetkililerden indirip doğrulayabilir. Bu indirmeler artık ortak anahtar şifrelemesi ile doğrulanıyor. Dolayısıyla IANA "bir IP adresi atadığında" kayıtlarını değiştiriyorlar (ya da gerçekten bölgesel otorite kayıtlarını değiştiriyor). Diğer tüm AS'ler kayıtlarını indirip doğrulayabilir.

Bu kayıtlar önemlidir çünkü ISS'ler IP adreslerine sahip oldukları diğer ISS'lerin sözlerini alamazlar. İSS'ler BGP reklamını kimliği doğrulanmış IP kayıtları ile karşılaştırabilir. Herhangi bir BGP reklamı, son AS'yi IANA ve RIR'ın kimlik doğrulaması kaydı dışında bir AS olarak gösteriyorsa, BGP reklamı kendi yönlendirmesini değiştirmez.

Daha yaygın olarak, sahte bir ISS veya AS, sahip oldukları AS'leri üzerinden bir rotaya sahip olduklarını ilan edebilir . AS1'in bir IP kaydı vardır ve AS5 şu anda AS5 -> AS4 -> AS3 -> AS1 -> IP kullanmaktadır. AS2, AS5'e AS5 -> AS2 -> AS1 -> IP yollarının reklamını yapar. AS2'nin aslında AS1 ile bir bağlantısı yoktur. Sadece paketleri kaybedebilir, belki AS1'in hosting müşterilerini hayal kırıklığına uğratabilir. Veya AS2, AS5 ve AS1 ile çok evli bir düzenlemeye sahip küçük bir şirket ağı olabilir. Yönlendiricileri yanlış yapılandırılmış ve küçük bir şirket ağı üzerinden bir yol duyuruyor. Neredeyse tüm ISS'ler, BGP müşterilerinin bu tür reklamlarını atar ve yalnızca BGP reklamlarını sonlandırır.

Büyük olasılıkla, Pakistan'ın böyle bir IP ele geçirme yoluyla Pakistan'da Youtube'u kapatmaya çalıştığı ve AS'nin Pakistan dışındaki AS'nin BGP reklamlarının doğru olduğunu kabul ettiği için Youtube'u da Pakistan dışında kapatmaya çalışıyorsunuz.

Sonunda, bu tür IP saldırılarına karşı mükemmel bir savunma yoktur. ABD gibi çoğu ülkede, BGP'nin bu tür bir kötüye kullanımı sözleşmenin ihlali olarak cezalandırılabilir ve diğer ISS'ler, gerektiğinde bu AS ile olan bağlantıyı keseceklerdir. Bir İSS ayrıca tüm IANA ve RIR aygıtlarını göz ardı edebilir ve IP adreslerini kendi sunucularına yönlendirebilir. Bu, herhangi bir https sitesi için işe yaramaz, ISS'nin herhangi bir CA için özel anahtarlara sahip olmadığını varsayarsak. Ekonomik olarak bundan kazanılacak çok az şey vardır. Sadece Mısır gibi otoriter hükümetlerle, yakın zamanda ISP'lerine yönelik tüm BGP reklamlarını ülke dışından kapattı.

DNS Sunucuları

IP tabloları doğru olduğunda DNS biraz daha basittir. Kök sunucuların tümü DNS sunucusu kodundaki sabit IP adresleridir. a.root-servers.net 198.41.0.4'tür ve IP adresi tek bir AS içinde yayınlanır. A.root-servers.net durumunda, AS Verisign ve beş farklı site var. ABD'de iki site New York ve LA. Anycasting, 123 Main Street'in bir adresiniz varsa ve "Hangi şehirde olduğunuz önemli değil, 123 Main Street'e gidin ve işletmelerimden birini bulacaksınız." NY ve LA'daki 123 Main Street, tüm üst düzey alan adları için aynı cevabı verecektir. AS, bu durumda Verisign, hangi sunucunun OSPF, dahili BGP ve diğer yönlendirme protokolleri aracılığıyla en az atlama sayısına sahip olduğunu dahili olarak bulur. Bu yüzden Denver'daki bir yönlendirici LA'ya gidebilirken, Chicago'daki bir yönlendirici New York'a gider.

Kök sunucularından biri com üst düzey etki alanı için hangi IP adresini verir. Ardından bu alan, siteniz.com için alan adı verir. Kayıt şirketlerinin üst düzey etki alanını çalıştıranlarla gerçekten bir sözleşmesi vardır. Bu nedenle, üst düzey alan adının şu anda siteniz.com için bir kaydı yoksa, who-is sunucusuyla bir kayıt ekleme erişimi vardır. Ardından, kayıt şirketi sitenizin.com'un DNS kayıtlarına eriştiği erişim ile IP adresinize gitmek için DNS sunucularındaki kayıtları değiştirirsiniz.

DNS'nin tümü doğru yere giden birden fazla IP adresine bağlı olduğundan, AS'nin IP kayıt defterini ve ardından BGP atamalarını doğrulamasıyla aynı sorunu yaşarsınız. Bir http web sitesi için anahtar parça budur. Https, sertifikaların ek korumasına sahiptir. Bu nedenle, bir İSS, kendi kök sunucuları ve üst düzey etki alanı sunucuları için, örneğin citibank.com için kendi IP'lerini vermek üzere istekleri yeniden yönlendiremez. Eğer öyleyse, kullanıcıya verilen IP adresi farklı bir IP adresi olacaktır, ancak sunucularının Citibank'ın özel anahtarı olmayacaktır.

ve hayır, şaka yapmıyorum (bu kitapla 15 yıl önce başladım, ancak yine de çok alakalı): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Ardından, buraya BGP soruları ile dön =)