Come vengono effettivamente assegnati gli indirizzi IP?

Sto facendo fatica a capire come un organo di governo assegna gli indirizzi IP, le aziende usano BGP per pubblicizzare quegli IP e come funziona Internet. Allora, dove diavolo arriva il DNS?

Qualcuno può suggerire una buona lettura di come funziona davvero questa roba? Suppongo di avere diverse domande. Il primo è: l'ARIN (o qualsiasi altro organo di governo) conta davvero? Se non fossero in giro, ci sarebbe il caos? Quando assegnano un blocco, non lo assegnano LETTERAMENTE? Devi usare BGP per fare pubblicità, giusto? Sono sempre stato abituato a un ambiente di hosting chiuso (dedicato / condiviso) in cui hai indirizzato gli IP.

Quindi, come entra in gioco DNS? Con il mio registrar sono in grado di registrare un server DNS (eNom) - cosa significa in realtà? Ho installato Bind e fatto funzionare tutto questo, ed eseguo i miei server DNS, ma con chi stanno registrando quel server DNS? Non capisco.

Sento che questo è qualcosa che dovrei sapere e non lo so, e mi sto davvero frustrando. È come ... semplice .. come funziona Internet? Dall'assegnazione degli IP, alle aziende che li instradano e al DNS.

Immagino di avere un esempio: ho questo spazio IP, diciamo 158.124.0.0/16 (esempio). La società ha una connessione Internet 158.124.0.0/17. (Prima di tutto, perché le aziende ricevono blocchi di IP assegnati e non li usano? Perché non usano lo spazio interno riservato 10.xe 192.x?). Quindi, ecco dove sono. Cosa farei per ottenere effettivamente questi IP su Internet e disponibili? Diciamo che ho un data center a Chicago e uno a New York. Non riesco a caricare un'immagine, ma posso collegarne una qui: http://begolli.com/wp-content/gallery/tech/internetworkings.png

Sto solo cercando di capire come, da quando viene assegnato il blocco IP, a un'azienda che utilizza BGP (raggiungere un AS # pubblico?), E poi come entra in gioco il DNS?

Come sarebbe qualcosa dalla mia foto? Ho provato a mettere insieme uno scenario, non sono sicuro di aver fatto un buon lavoro.

Blocchi IP affittati

Gli IP sono assegnati in blocchi da IANA ai Registri Internet regionali (RIR). Vedi questo ( elenco e mappa ) dei RIR. I RIR concedono in locazione quindi IP di blocchi più piccoli a singole società (generalmente ISP). Esistono requisiti (inclusi costi e prova dell'uso) per ottenere una distribuzione e non mantenere questi significa una perdita del contratto di locazione.

Una volta che una società ha noleggiato uno o più blocchi dal RIR, ha bisogno di un modo per dire al resto del mondo dove trovare un IP particolare (o un insieme di esso: sottoreti). È qui che entra in gioco BGP. BGP utilizza una grande rete concetto di chiamato sistema autonomo (AS). L'AS sa come instradare in se stesso. Durante il routing verso un'altra rete, conosce solo i gateway AS e il "salto successivo" verso quegli indirizzi esterni. Anche i numeri AS sono gestiti da IANA .

All'interno di un AS, anche grande quanto un ISP, potrebbero utilizzare diversi protocolli di routing (RIP, OSPF, BGP, EIGRP e ISIS) per instradare il traffico internamente. È anche possibile utilizzare le tabelle di routing statiche, ma del tutto impraticabili nella maggior parte delle applicazioni. I protocolli di routing interno sono un argomento enorme, quindi semplificherò dicendo che ci sono altre domande su Server Fault che possono rendere quegli argomenti più giustizia di quanto io possa fare qui.

DNS

Gli umani non ricordano bene i numeri, quindi abbiamo inventato i nomi degli host. Saltando la cronologia, utilizziamo il Domain Naming System (DNS) per tenere traccia di quale nome host punta a quale indirizzo IP. Esiste un registro centrale per questi, anch'esso gestito da IANA, che determina quali domini di primo livello (TLD) (es. ".Com" o ".net") vanno nella Root Zone, che è servita dai Root Server. L'amministratore delegato IANA della "zona radice", questo amministratore accetta solo aggiornamenti da registrar qualificati.

È possibile utilizzare un registrar per "acquistare" un nome di dominio, che è un sottodominio di un TLD. Questa registrazione crea essenzialmente quel sottodominio e assegna il controllo sui suoi record Name Server (NS) e Glue (A). Indichi questi a un server DNS che ospita il tuo dominio . Quando un client desidera risolvere il proprio IP da un nome di dominio, il client contatta il proprio server DNS che esegue una ricerca ricorsiva, iniziando dal server principale, trovando il proprio server DNS e infine ottenendo le informazioni pertinenti.

Tutti sono d'accordo

Per quanto riguarda gli "organi di governo": tutti accettano semplicemente di usarli. Non ci sono (o pochissime) leggi che richiedono a chiunque di collaborare. Internet funziona perché le persone scelgono di collaborare . Gli organi di governo forniscono un mezzo di facile cooperazione. Tutti i vari RFC, "Standard" e simili - nessuno è costretto a usarli. Ma comprendiamo che la società è costruita sulla cooperazione, ed è nel nostro stesso interesse farlo.

L'efficienza generata dalla cooperazione è la stessa ragione per cui BGP è popolare, praticamente tutti accettano di usarla. Ai tempi di ArpaNet hanno iniziato con le tabelle dei percorsi configurate a mano; poi gradualmente è passato a un sistema più completo man mano che Internet cresceva in complessità, ma tutti "concordavano" di usare qualunque nuovo standard. Allo stesso modo, la risoluzione dei nomi dichiarata con i file host che le reti avrebbero distribuito e alla fine è cresciuta nel sistema DNS che conosciamo oggi. ("Concordato" tra virgolette perché molte volte una minoranza ha fissato un requisito per un nuovo standard e nessun altro aveva un'alternativa migliore, quindi è stato accettato).

Fiducia

Questo livello di collaborazione richiede molta fiducia in IANA. Come hai visto, gestiscono la maggior parte dei core dei vari sistemi. IANA è attualmente una società non profit sponsorizzata dal governo degli Stati Uniti (simile all'ufficio postale degli Stati Uniti), non fa parte del governo, anche se a malapena rimossa. Negli anni passati si temeva che il governo degli Stati Uniti potesse esercitare un certo controllo su IANA come "arma" contro altri governi o civili del mondo (in particolare attraverso leggi come SOPA e PIPA, che non sono state approvate, ma che potrebbero essere la base per future leggi) .

Attualmente IANA si è impegnata a raccogliere fondi (nonostante sia una società senza scopo di lucro ) attraverso la creazione di nuovi TLD. Il TLD "xxx" è stato visto da alcuni come una campagna di raccolta fondi in stile estorsore, in quanto una grande percentuale di dichiaranti stava "difendendo" il proprio nome. IANA ha anche preso domande per TLD di proprietà privata (a $ 180.000 ciascuno; hanno sospeso il processo di domanda dopo essere stati inondati di applicazioni, quasi la metà provenendo solo da Amazon. Molte di queste applicazioni hanno portato a nuovi gTLD .

Tutti gli annunci pubblicitari su Internet pubblico, la DFZ (Default-Free Zone), vengono effettuati tramite BGP (Border Gateway Protocol), il modo in cui gli ISP eseguono il routing interno varia molto. La maggior parte userebbe BGP sia internamente sia tra i propri router (BGP viene spesso utilizzato insieme a un IGP come OSPF) e anche con i client, se non si dispone di un proprio numero AS è possibile utilizzare un AS privato con cui eseguire il peer il tuo ISP e quando annunciano il tuo spazio di indirizzi alla DFZ rimuovono semplicemente l'AS privato dall'as-path. Per collegamenti non ridondanti più piccoli è possibile utilizzare il routing statico anche su PE. L'attuale "assegnazione" è solo nel database del registrar, il database whois, RIPE / ARIN ecc. Eseguono i propri database per questo scopo.

Prova a eseguire il comando whois 158.124.0.0/16su un box Linux.

Lo stesso vale per DNS, il server DNS inverso è specificato nei record whois.

Questa è una domanda molto antica, ma ho avuto molte delle stesse domande nel capire come funziona Internet . Come le altre risposte, i libri sulla rete offrono una panoramica di BGP e DNS ma mi lasciano ancora confuso. Ad esempio, a.root-servers.net tramite m.root-servers.net sono indicati come server root, ma come fa un servizio DNS a sapere dove trovare quei server se non possono usare DNS da soli.

Si presume che le basi di IP, sottorete, DNS, ecc. Siano note a questa risposta. Sto affrontando "lacune" che io, e probabilmente l'interrogante, ho su come funziona Internet. Non sono affatto un esperto, ma questa è la mia comprensione delle lacune.

Indirizzi IP

La prima cosa da notare è che quando Internet è iniziato come ARPANET, tutti conoscevano tutti e le tabelle di routing per gli indirizzi IP venivano codificate a mano. Presumo che il processo di assegnazione per gli IP sia stato fatto al telefono. Poiché Internet è diventato troppo grande, BGP è stato utilizzato da più reti (AS) per pubblicizzare che avevano un IP pubblico o che potevano raggiungere un IP pubblico attraverso il loro AS in un altro AS. La fiducia era lì che un AS non avrebbe pubblicizzato un IP che non aveva.

Oggi non c'è tanta fiducia. Al contrario, gli ISP possono scaricare e autenticare le allocazioni IP su ciascun AS da IANA e le autorità regionali. Questi download sono ora autenticati tramite crittografia a chiave pubblica. Quindi quando IANA "assegna un indirizzo IP", stanno cambiando il loro record (o davvero l'autorità regionale cambia il loro record). Tutti gli altri AS possono scaricare e autenticare i propri record.

Questi record sono importanti perché gli ISP non possono accettare la parola di altri ISP che hanno gli indirizzi IP. Gli ISP possono confrontare l'annuncio BGP con i record IP autenticati. Se un annuncio BGP mostra l'ultimo AS come AS diverso da quello contenuto nei registri autenticati di IANA e RIR, l'annuncio BGP non modifica il proprio instradamento.

Più comunemente, un ISP o AS canaglia può pubblicizzare di avere un percorso attraverso il proprio AS che non ha. AS1 ha un IP registrato e AS5 attualmente utilizza AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 pubblicizza su AS5 un percorso di AS5 -> AS2 -> AS1 -> IP. Tranne AS2 non ha effettivamente una connessione con AS1. Può semplicemente perdere i pacchetti, forse per frustrare i clienti di hosting di AS1. Oppure AS2 potrebbe essere una piccola rete aziendale con un accordo multihomed con AS5 e AS1. Il loro router non è configurato correttamente e pubblicizza un percorso attraverso una piccola rete aziendale. Quasi tutti gli ISP buttano via tali annunci pubblicitari dei loro clienti BGP e trasmettono solo annunci pubblicitari BGP in sospeso.

Più probabilmente, hai il caso del Pakistan che cerca di chiudere Youtube in Pakistan attraverso tale dirottamento della PI e di chiudere Youtube fuori dal Pakistan anche dal momento che gli AS fuori dal Pakistan hanno ritenuto che le loro pubblicità BGP fossero corrette.

Alla fine, non esiste una difesa perfetta contro tale dirottamento IP. Nella maggior parte dei paesi come gli Stati Uniti, tale abuso di BGP può essere punito come violazione del contratto e altri ISP chiuderanno le connessioni peering con tale AS, se necessario. Un ISP potrebbe anche ignorare l'intero apparato IANA e RIR e reindirizzare gli indirizzi IP ai propri server. Ciò non funzionerà per nessun sito https, supponendo che l'ISP non abbia le chiavi private per nessuna CA. C'è molto poco da guadagnare economicamente. Succede solo con governi autoritari, come l'Egitto che ha recentemente chiuso tutte le pubblicità BGP ai propri ISP dall'estero.

Server DNS

Il DNS è un po 'più semplice quando le tabelle IP sono corrette. I server root sono tutti indirizzi IP hardcorded nel codice del server DNS. a.root-servers.net è 198.41.0.4 e l'indirizzo IP è anycast all'interno di un AS. Nel caso di a.root-servers.net, l'AS è Verisign e ci sono cinque siti diversi. Negli Stati Uniti, i due siti sono New York e Los Angeles. Anycasting è come se tu avessi un indirizzo di 123 Main Street e hai detto "Non importa in quale città ti trovi, vai su 123 Main Street e troverai una delle mie attività". Sia 123 Main Street a New York che Los Angeles forniranno la stessa risposta per tutti i domini di primo livello. L'AS, in questo caso Verisign, capisce internamente quale server ha il minor numero di hop attraverso OSPF, BGP interno e altri protocolli di routing. Quindi un router a Denver può andare a Los Angeles mentre un router a Chicago va a New York.

Uno dei server root fornisce quale indirizzo IP per il dominio di primo livello. Quindi quel dominio fornisce il dominio per yoursite.com. I registrar hanno davvero un contratto con chiunque gestisca il dominio di primo livello. Quindi, se il dominio di primo livello attualmente non ha un record per yoursite.com, ha accesso per aggiungere un record con il proprio server who-is. Quindi, con l'accesso che il registrar ti ha dato ai record DNS di yoursite.com, puoi modificare i record nel loro server DNS per passare al tuo indirizzo IP.

Poiché il DNS dipende dal fatto che più indirizzi IP vanno nel posto giusto, hai lo stesso problema di prima con AS che autentica il registro IP e quindi le assegnazioni BGP. Questo è il pezzo chiave per un sito Web http. Https ha la protezione aggiuntiva dei certificati. Pertanto, un ISP non può reindirizzare le richieste per i propri server root e server di dominio di livello superiore per fornire il proprio IP, ad esempio citibank.com. In tal caso, l'indirizzo IP fornito all'utente sarà un indirizzo IP diverso, ma il loro server non avrà la chiave privata di Citibank.

e no, non sto scherzando (ho iniziato con questo libro 15 anni fa, ma è ancora molto rilevante): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Quindi, torna qui con le domande BGP =)