Що заважає комусь конфігурувати свою мережу з IP-адресами, якими вони не володіють?

Ось сценарій. Я малював університет, який купував цілий спектр IP-адрес. Я думаю, вони все ще будуть всередині провайдера (правда?), Але у них буде свобода налаштовувати речі так, як вони хотіли.

Що заважає їм приписувати маршрутизатори та хости, які вже використовують IP-адреси?

А що буде, якби справді хтось це зробив?

Швидше за все, якщо вони великий університет, це їх власний Інтернет-провайдер, використовуючи BGP для підключення своєї мережі до Інтернету через низку мереж вище.

Ніщо не заважає їм використовувати IP-адреси, якими вони не повинні користуватися, і це буде працювати в їх локальній мережі. Однак це не буде працювати в Інтернеті. Їх висхідні мережі, що забезпечують їх з'єднання, повинні мати фільтри, які дозволять університету рекламувати призначені їм лише IP-адреси. Якщо прямі висхідні потоки не фільтрують їх, то висхідні потоки будуть. І якщо IP-адреси, якими користується інша мережа, використовуються університетом, то інша мережа стане недоступною для університетської мережі.

Крім того, існує низка проектів (наприклад, RIPE RIS та BGPmon ), які відстежують таблиці маршрутизації та оповіщають про будь-яку "незаконну" IP-рекламу ( викрадення BGP та аномалії маршрутизації).

Що заважає їм приписувати маршрутизатори та хости, які вже використовують IP-адреси?

Нічого. Протягом багатьох років я бачив, як обидві організації різного масштабу, як державні, так і приватні, роблять це, включаючи всесвітньо визнану «брендну» компанію. Насправді я бачив це частіше в бізнес-налаштуваннях, ніж в університетських установах (багато в чому через те, що більшість університетів залучалися до Інтернету раніше і допомагали визначити стандарти та найкращі практики, що застосовуються сьогодні).

А що буде, якби справді хтось це зробив?

Сьогодні, ймовірно, нічого, окрім як організація не може отримати доступ до частин Інтернету, які вони перетинаються. У минулому подібні речі спричиняли серйозні проблеми, зокрема "зламати Інтернет" для деяких або багатьох користувачів (в одному випадку один провайдер випадково поширював маршрут за замовчуванням до Інтернету, перевантажуючи власну мережу на більшу частину Інтернет-трафіку намагався проїхати через них).

Минулі випадки, подібні до тих, які ви пропонуєте, стали можливостями для навчання та призвели до кращих практик, які включають захист від цього типу неправильних налаштувань. Найчастіше сьогодні провайдери впроваджують BCP38 / RFC2827 для фільтрації трафіку до підключених організацій лише до IP-адреси, яку вони повинні рекламувати.

Деякі провайдери все ще застосовують завантажувальну фільтрацію, яка при належному обслуговуванні допомагає запобігти трафіку з ІР-простору, з якого не повинен надходити дійсний трафік (тобто діапазони приватних адрес, непризначений простір IP тощо). Хоча сьогодні список IPv4 bogon набагато менший, ніж у минулому (тобто більшість IPv4 адрес призначено зараз), список IPv6 богонів може бути ще дуже корисним, особливо для великих провайдерів для обмеження сфери використання IP-присідань (тобто використання непризначеного IP простір).

Ніщо не заважатиме їм використовувати адреси на власних машинах.

Що станеться, якщо вони спробують рекламувати їх в Інтернеті, залежить від того, наскільки неохайні їхні провайдери. Якщо їхні провайдери дотримуються кращих практик, тоді будуть встановлені фільтри, і реклама не вийде за межі викрадача.

OTOH, якщо їхні провайдери та їхні постачальники провайдерів неохайні, то хибне оголошення може піти набагато далі, що призведе до значних перебоїв у законних власників простору IP.

Такі події майже напевно будуть помічені, і, ймовірно, будуть деякі бурхливі дискусії та додаткова фільтрація.

Припустимо, у мене дві машини. Я присвоюю адресу 1.2.3.4 одній, а 1.2.3.5 - іншій. Я не володію цими адресами.

Поки я не намагаюся користуватися Інтернетом, ці дві машини можуть без проблем спілкуватися між собою.

Зараз я підключаюся до Інтернету. Інші відповіді говорять про фільтри, що блокують речі, але нехай ми їх на хвилину ігноруємо.

Моя машина 1.2.3.4 намагається підключитися до якоїсь законної адреси, наприклад 12.34.56.78. Припустимо, що ця адреса існує та контролюється її належним власником.

Отже, моя машина надсилає пакет:

Від 1.2.3.4, до: 12.34.56.78, Зміст: Хочете дружити? (У перекладі на людину)

Маршрутизатори розглядають частину To: і правильно передають її до 12.34.56.78. Ця машина нічого не підозрює і відповідає на відповідь

Від: 12.34.56.78, До: 1.2.3.4, Зміст: Звичайно, будьмо друзями!

Тепер приходить проблема. Ця відповідь вам ніколи не буде доставлена. Натомість він буде переданий справжньому 1.2.3.4, який дуже заплутається.

Отже, якщо ви використовуєте неправильну адресу, можете спілкуватися з Інтернетом, але Інтернет ніколи не відповість вам.

Це внутрішньо затьмарить великі ділянки Інтернету

Звичайно. Скажімо, вони звичайно використовують приватні IP-адреси всередині своєї мережі, такі як 10.xxx .. Ви знаєте, як переглядати мережевий переклад адрес на краю їхньої мережі, як і ваша домашня мережа.

За винятком того, що вони вирішили 10.xxx для них занадто обмежувальний, і вони починають внутрішньо призначати загальнодоступні IP-адреси. Це спочатку спрацює. Але тоді проблеми почнуть спливати.

Справа в тому, коли хтось використає 172.217.15.68 для лабораторної машини. Це одна з IP-адрес, яку DNS вирішує для www.google.com. Зараз, іноді, коли хтось із університету намагається здійснити пошук в Google, їх веб-браузер замість цього переходить до цієї лабораторної машини . Оскільки внутрішні маршрутизатори не могли б уявити, що існує два 172.217.15.68, один внутрішній і один зовнішній; вони просто направлять ваші пакети до внутрішнього.

IP-блоки, призначені внутрішньо, не можуть бути маршрутизовані зовні

Але це гірше. Вони призначили цілий блокблок, тому всі 172.217.xx / 16 пройдуть до цієї лабораторії. Ви, ймовірно, не хотіли б розігнати кожен IP Google, але багато пошукових запитів не вдасться. Для менших нарядів, таких як Craigslist, де всі їх адреси знаходяться в одному і тому ж блокноті, якби університет призначив цей нетблок внутрішньо, весь сайт був би холодно заблокований.

Це не вплине на когось поза внутрішньою мережею університету. Зовнішні постачальники не приймуть перерозподіл університетом ІР-простору Google. Єдиний трафік, направлений до університету, буде публічними IP-адресами, якими володіє університет.

Просто використовуйте натомість IPv6

Якщо ви зареєструєтесь на Comcast, вони дадуть вам / 64 ваших власних. Якщо ви добре запитаєте, я чув, що вони вам просто вручать / 48. Але скажімо, ви отримуєте лише a / 64, а потім зробіть саме сюжет RevOlution і створіть самовідтворюються наніти, які їдять електроенергію, у тій же кількості, що обговорювалося на шоу. Чи достатньо IPv6-адрес, щоб кожен наніт мав свої власні?

Так. І достатньо запасів для цього на 2 мільйонах паралельних земель.

Тож якщо ви дійсно переживаєте, що не вистачить IP-адрес, це шлях.

Як зазначають багато інших, ніщо не заважає це робити, але в цілому це не матиме жодного ефекту поза організацією і навіть спричинятиме проблеми всередині країни.

Тепер, якщо ви сам Інтернет-провайдер, і почнете говорити іншим, що саме ви використовуєте для маршрутизації цих IP-адрес (використовуючи протокол маршрутизації на зразок BGP), то такі IP-адреси на деякий час стануть вашими. Частково тому, що коли це питання помічено, будуть вжиті заходи для його припинення. "На деякий час", ну, поки не будуть вжиті заходи.

Інциденти з BGP траплялися в минулому, через що трафік спрямовувався в неправильні місця. Ось посилання на останній випадок: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Ви можете шукайте "Витік маршруту BGP", щоб дізнатися більше.

Інтернет багато працює на довірі. Речі змінюються повільно, але в багатьох випадках провайдери просто довіряють іншим провайдерам.