Cosa impedisce a qualcuno di configurare la propria rete con indirizzi IP che non possiedono?

22

Ecco lo scenario. Stavo immaginando un'università che ha acquistato una serie di indirizzi IP. Penso che sarebbero ancora all'interno di un ISP (giusto?), Ma avrebbero la libertà di configurare le cose come volevano.

Cosa impedisce loro di attribuire i loro router e host già in uso agli indirizzi IP?

E cosa accadrebbe se davvero qualcuno lo facesse?

router  ip  network  internet  ip-address 
Tiago Oliveira
fonte
6
Le università erano gli ISP originali. Internet è stato un esperimento accademico / governativo collaborativo. In effetti, Internet pubblico è semplicemente un gruppo di ISP che scrutano con altri ISP di propria scelta. Il governo, alla ricerca di un modo per mantenere attive le comunicazioni in caso di disastro (ad esempio la guerra nucleare, tra le altre cose), ha finanziato le università e il telco (al momento AT&T, non quello che conosci oggi, che era l'unico real telco) per escogitare un metodo per mantenere le comunicazioni quando un percorso è stato distrutto e ha comportato la commutazione di pacchetti e Internet.
Ron Maupin
1
Nel Regno Unito, ad esempio, JISC supervisiona le allocazioni di rete per le università.
Smetti di fare del male a Monica il
Niente. Ma ovviamente questo non è un problema con IPv6.
Ripristina Monica - M. Schröder il
Qualche risposta ti è stata d'aiuto? In tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, puoi fornire e accettare la tua risposta.
Ron Maupin

Risposte:

32

Molto probabilmente se sono una grande università sono i loro stessi ISP, usando BGP per connettere la loro rete a Internet tramite una serie di reti a monte.

Nulla impedisce loro di utilizzare gli indirizzi IP che non dovrebbero utilizzare e funzionerebbe nella loro rete locale. Tuttavia, non funzionerà su Internet. Le loro reti a monte che forniscono loro la connettività dovrebbero disporre di filtri che consentano solo all'università di pubblicizzare gli indirizzi IP loro assegnati. Se i flussi diretti verso l'alto non li filtrano, i flussi diretti verso l'alto lo faranno. E se gli indirizzi IP, che sono utilizzati da un'altra rete, sarebbero utilizzati dall'università, quell'altra rete diventerebbe irraggiungibile dalla rete universitaria.

Inoltre, ci sono una serie di progetti (ad esempio RIPE RIS e BGPmon ) che monitorano le tabelle di routing e avvisano di qualsiasi pubblicità IP "illegale" ( dirottamenti BGP e anomalie di routing).

Teun Vink
fonte
11
Purtroppo anche oggi dovrebbe ancora non significare avere
Josef
7
@Josef Per essere onesti, BGP è stata costruita in un momento di "fiducia implicita" - ogni proprietario di nodo Internet conosceva tutti gli altri proprietari di nodi Internet, quindi sapevano chi possedeva cosa e c'erano conseguenze sociali per il dirottamento. BGP non è mai stato progettato per essere "sicuro", è stato progettato per funzionare.
Der Kommissar, il
2
Gli ISP sono generalmente migliorati nel filtrare la BGP, perché ci sono state alcune interruzioni importanti ben pubblicizzate a causa di qualcuno (intenzionalmente o accidentalmente) che pubblicizza un percorso fasullo.
Barmar, il
1
Aggiungo che probabilmente verrebbero sbalorditi dai loro vicini.
PEdroArthur, il
1
Se usano internamente qualcun altro l'IP funzionerà per raggiungere quel sito ma significherà che qualsiasi cosa ospitata sul vero proprietario di quell'IP sarà irraggiungibile.
Loren Pechtel,
12

Cosa impedisce loro di attribuire i loro router e host già in uso agli indirizzi IP?

Niente. Nel corso degli anni, ho visto entrambe le organizzazioni di tutte le dimensioni, sia pubbliche che private, fare ciò, inclusa un'azienda di "marchi" riconosciuta in tutto il mondo. In effetti, l'ho visto più spesso in contesti aziendali che universitari (in gran parte dovuto al fatto che un numero maggiore di università era coinvolta in Internet in precedenza e ha contribuito a definire gli standard e le migliori pratiche utilizzate oggi).

E cosa accadrebbe se davvero qualcuno lo facesse?

Oggi, probabilmente nient'altro che l'organizzazione che non è in grado di raggiungere parti di Internet che si sovrappongono. In passato, questo tipo di cose ha causato seri problemi, tra cui "rompere Internet" per alcuni o molti utenti (in un caso, un singolo ISP ha propagato accidentalmente una route predefinita a Internet sovraccaricando la propria rete tanto del traffico Internet ha provato a instradarli).

Gli incidenti passati come quelli che proponi sono diventati opportunità di apprendimento e hanno portato a migliori pratiche che includono protezioni da questo tipo di configurazione errata. Molto spesso oggi, i provider implementano BCP38 / RFC2827 per filtrare il traffico verso le organizzazioni connesse solo all'indirizzo IP che dovrebbero essere pubblicizzati.

Alcuni provider implementano anche il filtro bogon che, se correttamente gestito, aiuta a prevenire il traffico dallo spazio IP da cui non dovrebbe provenire alcun traffico valido (ad es. Intervalli di indirizzi privati, spazio IP non assegnato, ecc.). Mentre l'elenco bogon IPv4 è molto più piccolo oggi che in passato (cioè la maggior parte degli indirizzi IPv4 sono ora assegnati), l'elenco bogon IPv6 può essere ancora abbastanza utile, specialmente su grandi fornitori per limitare l'ambito di squating IP (cioè usando IP non assegnato spazio).

YImparare
fonte
8

Nulla li impedirà di utilizzare gli indirizzi sui propri computer.

Cosa succede se provano a pubblicizzarli su Internet dipende da quanto sono sciatti i loro fornitori. Se i loro fornitori stanno seguendo le migliori pratiche allora ci saranno filtri in atto e gli annunci pubblicitari non supereranno i confini del dirottatore.

OTOH se i loro fornitori e i loro fornitori sono sciatti, allora un annuncio fasullo può andare molto oltre con conseguenti interruzioni significative per i legittimi proprietari dello spazio IP.

Tali eventi saranno quasi sicuramente notati e probabilmente ci saranno alcune discussioni accese e alcuni filtri aggiuntivi aggiunti.

Peter Green
fonte
6

Supponiamo che io abbia due macchine. Assegno l'indirizzo 1.2.3.4 a uno e 1.2.3.5 all'altro. Non possiedo questi indirizzi.

Finché non provo a Internet, queste due macchine possono parlarsi senza problemi.

Ora mi collego a Internet. Le altre risposte parlano di filtri che bloccano le cose, ma ignoriamolo per un momento.

La mia macchina 1.2.3.4 tenta di connettersi a un indirizzo legittimo, come 12.34.56.78. Supponiamo che questo indirizzo esista e sia controllato dal suo proprietario.

Quindi, la mia macchina invia un pacchetto:

Dall'1.2.3.4, al: 12.34.56.78, Contenuto: vuoi essere amico? (Tradotto in umano)

I router osservano la parte A: e la consegnano correttamente a 12.34.56.78. Questa macchina non sospetta nulla e rispetta una risposta

Da: 12.34.56.78, a: 1.2.3.4, Contenuto: certo, diventiamo amici!

Ora arriva il problema. Questa risposta non ti verrà mai consegnata. Invece verrà consegnato al vero 1.2.3.4, che diventerà molto confuso.

Quindi, se usi un indirizzo sbagliato, puoi parlare con Internet, ma Internet non ti risponderà mai.

Stig Hemmer
fonte
4
"Internet non ti risponderà mai" se pubblicizzi gli indirizzi fasulli su BGP e nessuno blocca i tuoi annunci, allora gran parte di Internet potrebbe benissimo risponderti, almeno fino a quando qualcuno non capirà cosa sta succedendo.
Peter Green,
2
Qualsiasi ISP decente implementerà BCP38 in modo che il tuo tentativo di "parlare con Internet" finisca nel loro filtro anti-spoofing.
Teun Vink
Ciò che si scrive non è un tentativo non funzionante di connettersi a Internet, ma in realtà un potenziale attacco DOS sul vero 1.2.3.4 (e forse anche 12.34.56.78). Ecco perché i filtri menzionati da TeunVink sono (si spera) in atto
Hagen von Eitzen,
@HagenvonEitzen: quelli sono filtri completamente diversi. Teun sta parlando del blocco degli annunci di rotte convalidando protocolli di scambio di rotte come BGP. Per impedire il DDoS di spoofing della sorgente, è necessario il filtro del percorso inverso sui pacchetti che non hanno nulla a che fare con lo scambio di route.
Ben Voigt,
2

Oscurerebbe internamente grandi campioni di Internet

Sicuro. Diciamo che fanno la cosa comune di usare gli indirizzi IP privati ​​internamente alla loro rete, come 10.xxx .. Conosci l'esercitazione, la traduzione degli indirizzi di rete ai margini della loro rete, proprio come la tua rete domestica.

Solo che hanno deciso che 10.xxx è troppo restrittivo per loro e iniziano a assegnare gli indirizzi IP pubblici internamente. Funzionerà, all'inizio. Ma poi inizieranno a sorgere problemi.

È una questione di tempo prima che qualcuno usi 172.217.15.68 per una macchina da laboratorio. È uno degli indirizzi IP che DNS risolve per www.google.com. Ora, a volte, quando qualcuno all'interno dell'università prova a fare una ricerca su Google, il suo browser web passa invece a quella macchina da laboratorio . Perché i router interni non avrebbero la capacità di concepire che ci sono due 172.217.15.68, uno interno e uno esterno; farebbero semplicemente instradare i pacchetti a quella interna.

I blocchi IP assegnati internamente non possono essere instradati esternamente

Ma è peggio di così. Hanno assegnato un intero netblock, quindi tutti i 172.217.xx / 16 verranno indirizzati a quel laboratorio. Probabilmente non ostruiresti ogni IP di Google, ma molte ricerche fallirebbero. Per abiti più piccoli come Craigslist in cui tutti i loro indirizzi si trovano nello stesso netblock, se l'università assegnasse internamente quel netblock, l'intero sito verrebbe bloccato a freddo.

Ciò non influirà su nessuno al di fuori della rete interna dell'università. I fornitori esterni non accetteranno la riassegnazione dello spazio IP di Google da parte dell'università. L'unico traffico indirizzato all'università saranno gli indirizzi IP pubblici di proprietà dell'università.

Usa invece IPv6

Se ti iscrivi a Comcast, ti danno un / 64 tutto tuo. Se lo chiedi bene, ho sentito che ti consegneranno un / 48. Ma supponiamo che tu ottenga solo un / 64, quindi esegui esattamente la trama di RevOlution e crei naniti autoreplicanti che consumano elettricità, nella stessa quantità discussa nello show. Hai abbastanza indirizzi IPv6 per ogni nanite per avere il suo?

Sì. E abbastanza pezzi di ricambio per farlo su 2 milioni di terre parallele.

Quindi, se sei davvero preoccupato di rimanere senza indirizzi IP, questa è la strada da percorrere.

Harper: ripristina Monica
fonte
2

Come affermato da molti altri, nulla impedisce a nessuno di farlo, ma in generale, ciò non avrà alcun effetto al di fuori dell'organizzazione e causerà persino problemi interni.

Ora, se sei te stesso un ISP e inizi a dire agli altri che sei tu quello da utilizzare per instradare questo IP (usando un protocollo di routing come BGP), allora quell'IP diventerà "parzialmente" tuo, per un po '. In parte perché, quando si noterà il problema, verranno prese misure per risolverlo. "Per un po '", beh, fino all'adozione delle misure.

Gli incidenti con BGP si sono verificati in passato, causando il routing del traffico verso luoghi errati. Ecco un link a un recente incidente: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Puoi cerca "Perdita percorso BGP" per saperne di più.

Internet funziona molto sulla fiducia. Le cose stanno cambiando lentamente, ma in molti casi gli ISP si fidano solo degli altri ISP.

user1532080
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.