/ Dev / null değerine eşdeğer IP adresi


92

Bir paketin göz ardı edilmesine yol açacak bir IP adresi var mı (kara delikli)?

Her zaman bir IP adresi olan bir yönlendirici kurabileceğimi ve sonra kendisine gönderilen tüm paketleri yoksaymasını sağladığımı biliyorum, ancak sorunumdan kurtulmak için böyle bir şey var mı?


2
Kötü niyetli trafiğe kara delik olarak kullanılabilecek bir Null arabirimi kullanan bazı aygıtlar (bu San Fran cisco co'dan gelen yönlendiriciler ve anahtarlar gibi ) vardır. Kişi o Null arayüzüne bir rota göstermeli, böylece o rotadaki tüm trafik atılır.
Adriano P

12
ilginizi çekebilir devnull-as-a-service.com
wchargin

2
Merak ediyorum, neden soru "spam önleme" olarak etiketlendi?
Mike Pennington

@WChargin, umarım bu bir şakaydı - devnull-as-a-service.comağ kurma ile ilgisi yok gibi görünüyor ve hatta bir saçmalık gibi gözüküyor . Bu nedir : When we say "government" we mean NSA, CIA, FBI, TSA, Communist Party of China (CPC), Nestle, The Coca-Cola Company, the KGB, some of your coworkers and our friends (especially if there is something funny).?
VL-80

5
@Nikolay evet, web sitesi gibi bir şakaydı. Onların Bkz Github README : "Bu girişim, bulut, * -as-a-Service yaklaşık çoğunlukla var ve üzerinde eleştiri. " (Vurgu benim)
wchargin

Yanıtlar:


84

IPV6'da RFC 6666'da açıklandığı gibi özellikle bir karadelik öneki var, 100: / 64. IP4'ün açık bir kara deliği yoktur, ancak ayrılmış bloklardan birinde var olmayan bir ana bilgisayar bu etkiye sahip olacaktır. (örneğin, 240.0.0.0/4 "ileride kullanılmak üzere ayrılmıştır" ve hiçbir şey tarafından yönlendirilmeyecektir.)


32
Gelecekte kullanım için ayrılmış bir şeye veri gönderme, gelecekteki kullanım gerçekleşene kadar sadece iyi bir fikirdir.
corsiKa

5
Çok iyi bir nokta, IP4'ün tekrar genişleyeceğinden şüpheliyim.
Bandrami

8
Ancak yönlendiricinin paketleri düşürmesi garanti ediliyor mu? Çünkü ICMP'ye "hedef ulaşılamaz" değerini döndürürse, OP'nin istediği gibi olmaz.
WGH

41

kara deliği gibi bir şey var .

Eğer ağda 192.168.0.10 IP adresine sahip hiçbir cihaz yoksa, bu IP adresi bir tür karadeliktir ve sadece mevcut olmadığı için ona gelen tüm trafiği "atacaktır".

Bağlantı durumunu (TCP) izleyen protokoller eksik bir hedef ana bilgisayarı tespit edebilir. UDP ile olmayacak ve gönderen ev sahibi bu konuda bilgilendirilmeyken paketler sadece ölecek.

Paketleri ( reddetmeyecek şekilde ) belirli (veya birçok) adresden sessizce bırakacak şekilde ayarlayarak güvenlik duvarıyla kara delik ayarlayabilirsiniz .

Bildiğim kadarıyla, TCP / IP sürüm 4'te ( Bandrami sayesinde ) sizin için kara delik açacak böyle bir standart ağ adresi yok .

Yani iki seçeneğiniz var:

  1. Herhangi bir ana bilgisayara atanmamış bir IP adresi;
  2. Paketleri veya varyasyonlarını sessizce düşüren güvenlik duvarına sahip olun, örneğin netcat: ( ultrasawblade tarafından önerilen şekilde ).

nc -vv -l 25 > /dev/nullTCP bağlantı noktası 25 üzerindeki gelen bağlantıları dinler ve sonuçları iletir /dev/null. Burada daha fazla örnek .

Tüm alt ağ bir kara delik de olabilir ( Boş rota ).


4
TCP trafiğini alacak bir şey istiyorsanız, ancak onunla hiçbir şey yapmazsanız, hızlı bir şey nc(veya netcat) ile kurulabilir . @Nikolay'ın dediği gibi, bunu otomatik olarak yapan bir "karadelik" IP'si yok.
LawrenceC

2
En azından
IP4’de

@ Barbarami: Peki ya IPv6, o zaman?
user2357112

2
@ user2357112, sadece cevabına bakın . Benimkinin hemen altında.
VL-80

19

Karadelik olmasa da , özellikle hedefiniz "çalışmayan bir varsayılan" değerse , sınama / örnek amaçlı IP'leri (RFC 5737'ye göre) ayırmak isteyebilirsiniz .

  • 192.0.2.0/24 (TEST NET-1),
  • 198.51.100.0/24 (TEST NET-2)
  • 203.0.113.0/24 (TEST NET-3)

Şebeke operatörleri bu adres bloklarını rutin olmayan adres alanları listesine eklemelidirler ve eğer paket filtreleri kullanılıyorsa, bu adres bloğu paket filtrelerine eklenmelidir.

Bu adreslere gönderilen paketlerin (ISS'nize bağlı vb.) Engelleneceği garantisi yoktur , ancak kesinlikle hiç kimse bunları kullanmamalıdır.


1
Ayrıca DROPped yerine reddedilebilirler, yani…
mirabilos

1
192.0.2.0 benim ilk denememde çalıştığım gibi görünüyor, şu ana kadar herhangi bir paket iade etmiyor. Biraz daha test yapacağım.
Tyler Durden

16

Böyle bir "standart karadelik adresi" yoktur ve bunun için herhangi bir gereklilik yoktur. Aslında neyi başarmaya çalıştığınızı söylemiyorsunuz, bu yüzden bunu yapmanıza yardım edemem, ancak sorunuzu istediğiniz gibi cevaplayabilmeniz için bazı yanlış çözümler var:

  • Ağınızda kullanılmayan bir RFC1918 adresini kullanabilir ve sizin için ISS’nize güvenebilirsiniz. Örneğin, yalnızca 192.168'in bazı bölümlerini kullanıyorsanız, 10.255.255.1, ISS'niz tarafından null yönlendirilir (varsayılan ağ geçidiniz sayesinde elde edilir).
  • Gelecekte kullanım için ayrılmış bir IP adresi kullanabilirsiniz (ve muhtemelen hiç kullanılmayacak); bu eski " E Sınıfı " aralığı. Yukarıdaki gibi aynısını yapar, ancak zaten tüm özel adres aralıklarını kullanıyor olsanız bile çalışacaktır (gerekenden çok daha geniş ağ maskeleriyle, milyonlarca ekli cihaza sahip olacağınızdan şüpheliyim). Örneğin, 254.0.0.1 asla (yasal olarak) gerçek bir cihaza atıfta bulunmayacaktır.
  • Buna ihtiyacınız olan makinede, yalnızca bırakma hedefi ekleyebilirsiniz; yukarıdaki gibi kullanılmayan bir adres kullanmak, örneğin, iptables -I OUTPUT -d 254.0.0.0/8 -j DROPbu "ağ" a gönderilen herhangi bir ağ geçidini rahatsız etmek yerine veya hatta gerçek ağ arayüzünde trafiğe neden olmak yerine sessizce bırakılmasını sağlayacaktır.

Yine, muhtemelen bunlardan hiçbirini istemezsiniz, uygun olduğunu düşünseniz bile - sorun değil, kafa karıştırıcı ve açık değil ve sorununuz ne olursa olsun iyi bir çözüm değil.


254.0.0.1 paketleri kara delik açmazsa, "iletim hatası" hatası alıyorum.
Tyler Durden

7
"Muhtemelen bunların hiçbirini istemezsin" için +1 ...
RBerteig


2

Test Aralıkları

Muhtemelen "TEST-NET" adres alanlarından birini, "dokümantasyonda ve örneklerde kullanım için öneririm . Kamuya açık kullanılmamalıdır" .

192.0.2.0/24
198.51.100.0/24
203.0.113.0/24

"Bogon" (Bogus / Sahte) Serileri

Burada ne söyleyeceğimi bilemiyorum, bunun bir İnternet ağ geçidinin sağlayacağı bir uygulamadan ziyade bir yere yönlendirilmiş bir paketi uygulamak için özel bir yöntem olduğu anlaşılıyor.


Yerel Aralıklar

Geri döngü adres aralığı da vardır 127.0.0.0/8, örneğin 127.0.0.255. Orada hala işler olması için özellikle mümkün olsa da, özellikle yerel makinedeki herhangi bir servis, en azından ağdaki herhangi bir makineye müdahale etmeyeceksiniz (sanırım diğer şebeke servisleri tarafından desteklenen şebeke servisleriniz olmadığı sürece).

127.0.0.0/8


Yasadışı Hedef Aralıkları

Muhtemelen yasadışı adres 0.0.0.0de kullanılabilir, ancak 0.0.0.0/8 "Güncel mesajlara yayın yapmak için kullanılır (" bu ")" bu nedenle bu konuda yayınlanma riski vardır.

0.0.0.0/8

Boş Yol için Wikipedia Sayfası :

Boş yollar tipik olarak özel bir rota bayrağıyla yapılandırılır, ancak paketleri 0.0.0.0 gibi yasadışı bir IP adresine veya geridöngü adresi gibi ileterek de uygulanabilir.


Referanslar: https://en.wikipedia.org/wiki/Reserved_IP_addresses


Genel localhostolarak en yüksek limanda kullanmayı 65535seçtim, çünkü hiçbir trafiğin ev sahibini terk etmeyeceğinden emin olmak istedim.
ThorSummoner 18:15

Bağlantı noktasını belirlerseniz, her protokolü de belirtmeniz gerekir: TCP, UDP vb. Ve bunu yaparken bazı trafik kurallarınızdan kaçabilir (örn. ICMP).
Drakes

1

Bir şey düşünmeye (olan veya belirli senaryo için bir sorun olmayabilir) var olmayan bir IP adresi, yönlendirici ve / veya ana trafik yönlendirirseniz olmasıdır olabilir girişimi bu adres için sürekli ARP, could kötü bir şey ol.

Bu hayalet adres için statik bir ARP <-> IP bağlaması yapılandırırsanız, sistem her zaman çözümlenmiş bir ARP girişine sahip olur ve paketi yalnızca bu ARP adresiyle (ki bu varsayılan olarak sahtedir) telin üzerine koyar ve trafik aslında hiçbir yere inmez.

Yine, bu gerçekten de istediğiniz gibi olmayabilir, ama dikkate değer.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.