Açık internette RFC 1918 adresi?


18

Cisco ASA 5520 güvenlik duvarlarımda bir yük devretme sorununu teşhis etmeye çalışırken, www.btfl.com adresine bir traceroute çalıştırdım ve çok şaşırdığımdan, bazı şerbetçiotu RFC 1918 adresleri olarak geri döndü.

Açıkçası, bu ana bilgisayar güvenlik duvarımın arkasında değil ve VPN dahil değil. Oraya ulaşmak için açık internet üzerinden bağlanmak zorundayım.

Bu nasıl / neden mümkün?

asa# traceroute www.btfl.com

Tracing the route to 157.56.176.94

 1  <redacted>
 2  <redacted>
 3  <redacted>
 4  <redacted>
 5  nap-edge-04.inet.qwest.net (67.14.29.170) 0 msec 10 msec 10 msec
 6  65.122.166.30 0 msec 0 msec 10 msec
 7  207.46.34.23 10 msec 0 msec 10 msec
 8   *  *  *
 9  207.46.37.235 30 msec 30 msec 50 msec
 10 10.22.112.221 30 msec
    10.22.112.219 30 msec
    10.22.112.223 30 msec
 11 10.175.9.193 30 msec 30 msec
    10.175.9.67 30 msec
 12 100.94.68.79 40 msec
    100.94.70.79 30 msec
    100.94.71.73 30 msec
 13 100.94.80.39 30 msec
    100.94.80.205 40 msec
    100.94.80.137 40 msec
 14 10.215.80.2 30 msec
    10.215.68.16 30 msec
    10.175.244.2 30 msec
 15  *  *  *
 16  *  *  *
 17  *  *  *

ve aynı şeyi evde FiOS bağlantımdan da yapıyor:

C:\>tracert www.btfl.com

Tracing route to www.btfl.com [157.56.176.94]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  myrouter.home [192.168.1.1]
  2     8 ms     7 ms     8 ms  <redacted>
  3    10 ms    13 ms    11 ms  <redacted>
  4    12 ms    10 ms    10 ms  ae2-0.TPA01-BB-RTR2.verizon-gni.net [130.81.199.82]
  5    16 ms    16 ms    15 ms  0.ae4.XL2.MIA19.ALTER.NET [152.63.8.117]
  6    14 ms    16 ms    16 ms  0.xe-11-0-0.GW1.MIA19.ALTER.NET [152.63.85.94]
  7    19 ms    16 ms    16 ms  microsoft-gw.customer.alter.net [63.65.188.170]
  8    27 ms    33 ms     *     ge-5-3-0-0.ash-64cb-1a.ntwk.msn.net [207.46.46.177]
  9     *        *        *     Request timed out.
 10    44 ms    43 ms    43 ms  207.46.37.235
 11    42 ms    41 ms    40 ms  10.22.112.225
 12    42 ms    43 ms    43 ms  10.175.9.1
 13    42 ms    41 ms    42 ms  100.94.68.79
 14    40 ms    40 ms    41 ms  100.94.80.193
 15     *        *        *     Request timed out.

Yanıtlar:


11

Yönlendiricilerin RFC1918 veya diğer özel adresleri kullanarak birbirine bağlanmalarına izin verilir ve aslında noktadan noktaya bağlantılar ve bir AS içinde gerçekleşen herhangi bir yönlendirme için çok yaygındır.

Yönlendirmenin çalışması için yalnızca bir ağdaki sınır ağ geçitlerinin genel olarak yönlendirilebilir IP adreslerine ihtiyacı vardır. Bir yönlendiricinin arayüzü diğer AS'lere (veya daha basit bir şekilde diğer hizmet sağlayıcılara) bağlanmazsa, rotanın internette reklamını yapmanıza gerek yoktur ve yalnızca aynı kuruluşa ait ekipmanın doğrudan ağa bağlanması gerekir. arayüz.

Paketlerin traceroute içinde size bu şekilde geri dönmesi, RFC1918'in hafif bir ihlalidir, ancak aslında bu cihazlar için NAT'ı Internet'teki keyfi şeylere bağlanmadığı için kullanmak gerekli değildir; sadece trafik boyunca geçerler.

Trafiğin (muhtemelen sirkülasyonlu) rotayı yaptığı çeşitli organizasyonlardan geçmesi, sadece dış ağ geçidi yönlendirme protokollerinin çalışmasının bir sonucudur. Microsoft'un bir omurgaya sahip olduğu ve bazı insanların onunla baktığı son derece makul görünüyor; trafiği yönlendirmek için toptan bir İSS olmak zorunda değilsiniz.

Trafiğin, özel IP'lere sahip birden fazla yönlendirici serisinden geçtiği ve aralarında genel IP'lere sahip olanlardan geçtiği özellikle garip değildir - sadece yol boyunca iki farklı ağın trafiği kendi yönlendiricileri üzerinden yönlendirdiğini gösterir. bu şekilde numaralandırmayı seçtiler.


16

Sadece RFC 1918 değil ... aynı zamanda RFC 6598 , yani 100.64.0.0/10CGN alanı. Her ikisi de özel ağlardır, ancak ikincisi daha yakın zamanda standartlaştırılmıştır ve daha az bilinir.

Traceroute açısından bu alışılmadık bir durum değil. Aslında bu 10 boşluk ve 100 boşluk ana bilgisayarlarıyla doğrudan konuşmuyorsunuz, bir sonraki atlama yönlendiricinize aşamalı olarak daha büyük TTL'ler içeren paketler gönderiyorsunuz. Cevabın aşırı uzun olmasını önlemek için, bu Wikipedia bağlantısı işlemi özetler.

Ne olduğunu alışılmadık bu paket genel IP hacimlerin üzerinden geçmesi ve daha sonra yine bir "kamu" net ulaşmak için özel IP uzayda tünel olduğu olmasıdır. 157.56.176.94Microsoft'a aittir ve paket özel ağa çarpmadan önce MS'nin sahip olduğu ağları dolaşır ... bu yüzden Microsoft'un özel alanın her iki ucundaki ağ alanlarıyla yapmayı seçtiği şey de budur. Güzergahların reklamını yaparlar; diğer yönlendiriciler söylendiklerini yaparlar.

Genel bir kural olarak, hayır, ağ operatörleri genellikle kendi ağlarını kendi ağlarının dışından kamusal IP alanına yönlendirir. Bu yüzden bu çok sıradışı.

(sınırlarında bir yerde eksik bir yol olabilir, bu da paketlerin sonunda hedefine ulaşan optimal olmayan bir yolu geçmesine neden olabilir, ancak bir ağ adamı değilim ve birisi muhtemelen daha iyi bir bıçak alabilir)


1
Çoğu traceroute uygulaması, makaleniz belirtildiği gibi UDP + ICMP'ye dayanır.
dmourati

@dmourati Unix yöneticisi olarak kızarmaya zorlandım. Duh. Teşekkür ederim.
Andrew B

Deneyimlerime göre, bu hiç de sıra dışı değil. Birçok operatör ağlarında 10.0.0.0/8 kullanır ve rahatsız edici bir miktarını ortaya çıkarır.
Paul Gear
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.