Як насправді призначаються IP-адреси?

Мені важко зрозуміти, як керівний орган призначає IP-адреси, компанії використовують BGP для реклами цих IP-адрес та як працює Інтернет. Тоді, куди, до біса, потрапляє DNS?

Хтось може запропонувати добре прочитати, як насправді працює цей матеріал? Я думаю, у мене є кілька питань. По-перше, чи насправді АРІН (або будь-який інший орган управління) має значення? Якби їх не було поруч, чи був би хаос? Коли вони призначають блок, вони ЛІТЕРАЛЬНО не присвоюють його? Ви повинні використовувати BGP для реклами, правда? Я завжди був звик до закритого хостинг-середовища (присвяченого / спільного доступу), де ви перенаправляли IP-адреси.

Потім, як DNS приходить грати? Своїм реєстратором я можу зареєструвати DNS-сервер (eNom) - що це насправді означає? Я встановив Bind і зробив усе це, і я запускаю власні DNS-сервери, але з ким вони реєструють цей DNS-сервер? Я просто не розумію.

Я відчуваю, що це те, що я повинен знати, а чого не роблю, і я дуже засмучуюся. Це як .. просто .. як працює Інтернет? Від призначення IP-адрес, до компаній, які їх маршрутизують, та DNS.

Я думаю, у мене є приклад - у мене є цей IP-простір, скажімо, 158.124.0.0/16 (приклад). Компанія має 158.124.0.0/17 інтернету. (Перш за все, чому компанії отримують блоки IP-адрес, а потім не використовують їх? Чому вони не використовують зарезервований внутрішній простір 10.x та 192.x?). Отже, саме там я. Що б я зробив, щоб фактично отримати ці IP-адреси в Інтернеті та доступні? Скажімо, у мене є центр обробки даних у Чикаго та один у Нью-Йорку. Я не в змозі завантажити зображення, але я можу пов’язати його тут: http://begolli.com/wp-content/gallery/tech/internetworkings.png

Я просто намагаюся зрозуміти, як починається, коли призначається блок IP, до компанії, що використовує BGP (отримує загальний AS #?), А потім як DNS надходить для гри?

Що б щось виглядало з моєї картини? Я намагався скласти сценарій, не впевнений, чи добре зробив цю роботу.

Орендовані блоки IP

IP-адреси присвоюються IANA в блоках до регіональних Інтернет-реєстрів (RIR). Дивіться це ( перелік та карта ) RIR. Потім RIR передають в оренду менші блоки IP-адрес окремим компаніям (як правило, провайдерам). Існують вимоги (включаючи збори та докази використання) для отримання розповсюдження та недотримання цих засобів втрата оренди.

Після того як компанія орендує один або кілька блоків у RIR, їм потрібен певний спосіб повідомити іншому світу, де знайти певний IP (або його набір: підмережі). Тут грає BGP. BGP використовує велику мережеву концепцію під назвою Автономна система (AS). AS знає, як прокласти всередині себе. Під час маршрутизації до іншої мережі він знає лише про AS Gateways та про наступний скачок на ці зовнішні адреси. AS номерами також керує IANA .

У системі AS, навіть такому великому, як ISP, вони можуть використовувати декілька протоколів маршрутизації (RIP, OSPF, BGP, EIGRP та ISIS, які приходять на думку) для внутрішнього маршрутизації трафіку. Можливо також використовувати таблиці статичної маршрутизації, але цілком недоцільно у більшості програм. Внутрішні протоколи маршрутизації - це величезна тема, тому я спрощу, кажу, що про помилку сервера є інші питання, які можуть зробити ці теми більш справедливими, ніж я можу тут.

DNS

Люди не добре пам’ятають числа, тому ми вигадали імена хостів. Пропускаючи історію, ми використовуємо систему імен домену (DNS) для відстеження того, яке ім’я хоста вказує на яку IP-адресу. Є центральний реєстр для них, яким також керує IANA, і вони визначають, які домени верхнього рівня (TLD) (наприклад, ".com" або ".net") переходять у кореневу зону, яку обслуговують кореневі сервери. IANA делегує адміністрацію "кореневої зони", цей адміністратор приймає оновлення лише кваліфікованих реєстраторів.

Ви можете використовувати реєстратор для "придбання" доменного імені, яке є субдоменом TLD. Ця реєстрація по суті створює цей піддомен і призначає вам контроль над його записами Server Server (NS) та Glue (A). Ви вказуєте їх на DNS-сервер, на якому розміщений ваш домен . Коли клієнт хоче вирішити вашу IP-адресу з доменного імені, клієнт зв'язується зі своїм DNS-сервером, який здійснює рекурсивний пошук, починаючи з кореневого сервера, знаходячи ваш DNS-сервер і, зрештою, отримуючи відповідну інформацію.

Усі згодні

Щодо "керівних органів": всі просто згодні їх використовувати. Не існує (або дуже мало) законів, які б вимагали від когось взагалі співпраці. Інтернет працює тому, що люди вирішили співпрацювати . Керівні органи забезпечують спосіб легкої співпраці. Всі різні RFC, "стандарти", і такі - їх ніхто не змушує використовувати. Але ми розуміємо, що суспільство будується на співпраці, і це потрібно для наших власних інтересів.

Ефективність, яку отримує співпраця, є тією ж причиною, що BGP популярний, і всі в основному погоджуються використовувати його. У часи ArpaNet вони починали з налаштованих вручну таблиць маршрутів; потім поступово перейшов до більш всеосяжної системи, оскільки Інтернет зростав складним, але всі просто «погодились» використовувати будь-який новий стандарт. Аналогічна роздільна здатність імен, зазначена з файлами хосту, які мережі розповсюджуватимуться, і з часом переросла в систему DNS, яку ми знаємо сьогодні. ("Погоджено" у лапках, оскільки багато разів меншина ставила вимогу до нового стандарту, і ніхто інший не мав кращої альтернативи, тому його було прийнято).

Довіра

Цей рівень співпраці вимагає багато довіри до IANA. Як ви бачили, вони управляють більшістю ядер різних систем. В даний час IANA - це некомерційна корпорація, яка фінансується урядом США (подібно до Поштового відділення США), вона не входить до складу уряду, хоча й лише ледве видалена. У минулі роки існувало занепокоєння з приводу того, що уряд США може здійснювати деякий контроль над IANA як "зброю" проти інших світових урядів чи цивільних осіб (особливо через закони, такі як SOPA та PIPA, які не були прийняті, але можуть бути основою для майбутніх законів) .

В даний час IANA взяла на себе зобов’язання зібрати фінансування (незважаючи на те, що вона є некомерційною компанією) шляхом створення нових TLD. TLD «xxx» деякі розглядали як кампанію збору коштів у стилі вимагання, оскільки великий відсоток реєстрантів «захищав» своє ім’я. IANA також прийняла заявки на приватні TLD (по $ 180 000 кожна; вони призупинили процес подання заявок після забиття додатків, майже половина - лише від Amazon. Багато з цих додатків призвели до нових gTLD .

Вся реклама в загальнодоступному Інтернеті, DFZ (зона за замовчуванням), робиться через BGP (Border Gateway Protocol), тому що внутрішня маршрутизація провайдера багато в чому залежить. Більшість використовує BGP як внутрішньо, так і між власними маршрутизаторами (BGP часто використовується спільно з IGP, таким як OSPF), а також із клієнтами, якщо у вас немає власного номера AS, ви можете використовувати приватний AS, щоб підглядати ваш Інтернет-провайдер, і коли вони оголошують ваш адресний простір до DFZ, вони просто видаляють приватний AS з As-path. Для менших непомірних посилань ви можете використовувати статичну маршрутизацію також на PE. Фактичне "призначення" знаходиться саме в базі даних вашого реєстратора, база даних whois, RIPE / ARIN і т.д. для цього використовують власні бази даних.

Спробуйте запустити команду whois 158.124.0.0/16на вікні Linux.

Те саме стосується DNS, зворотний DNS-сервер вказаний у Whois-записах.

Це дуже старе питання, але у мене було багато тих же запитань, щоб з'ясувати, як працює Інтернет . Як і інші відповіді, мережеві книги дають огляд BGP та DNS, але все ще залишають мене розгубленим. Наприклад, a.root-servers.net через m.root-servers.net задаються як кореневі сервери, але як служба DNS знає, де знайти ці сервери, якщо вони самі не можуть використовувати DNS.

Основою IP, підмережі, DNS тощо слід вважати відомою цією відповіддю. Я звертаюся до "прогалин" Я, і, мабуть, запитуючий, маю на увазі, як працює Інтернет. Я ні в якому разі не експерт, але це моє розуміння прогалин.

IP адреси

Перше, що слід зазначити, це те, що коли Інтернет починався як ARPANET, всі знали всіх, а таблиці маршрутизації IP-адрес були кодовані вручну. Я припускаю, що процес присвоєння IP-адрес здійснювався по телефону. Оскільки Інтернет став занадто великим, BGP використовувались декількома мережами (AS) для реклами, що вони мають загальнодоступні IP-адреси або можуть потрапити на публічний IP через свій AS в інший AS. Існувала довіра, що AS не рекламує IP, якого вони не мали.

Сьогодні довіри не так багато. Натомість Інтернет-провайдери можуть завантажувати та автентифікувати розподіл IP для кожного AS від IANA та регіональних органів влади. Ці завантаження тепер перевіряються за допомогою криптографії відкритого ключа. Тож коли IANA "призначає IP-адресу", вони змінюють свій запис (або дійсно регіональна влада змінює свій запис). Всі інші AS можуть завантажувати та аутентифікувати свої записи.

Ці записи важливі, оскільки провайдер не може прийняти слово інших провайдерів про те, що вони мають IP-адреси. Інтернет-провайдер може порівняти рекламу BGP з аутентифікованими записами IP. Якщо будь-яка реклама BGP показує останній AS як AS, крім того, що в аутентифікованому записі IANA та RIR, реклама BGP не змінює власну маршрутизацію.

Частіше шахрайський ISP або AS можуть рекламувати, що вони мають маршрут через свою AS, яку вони не мають. AS1 має зареєстрований IP, і AS5 в даний час використовує AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 рекламує AS5 маршрут AS5 -> AS2 -> AS1 -> IP. За винятком того, що AS2 насправді не має зв'язку з AS1. Це може просто втратити пакети, можливо, розчарувати хостинг-клієнтів AS1. Або AS2 може бути невеликою мережею компанії з багатосхилим розташуванням з AS5 та AS1. Їх маршрутизатор неправильно налаштований і рекламує шлях через мережу невеликих компаній. Майже всі Інтернет-провайдери відкидають таку рекламу своїх клієнтів BGP і передають лише припинення реклами BGP.

Швидше за все, у вас є випадок, коли Пакистан намагається вимкнути Youtube в Пакистані через такий викрадення IP-адрес, а також виключити Youtube за межами Пакистану, оскільки AS за межами Пакистану вважає, що їх реклама BGP була правильною.

Зрештою, не існує ідеального захисту від такого викрадення IP. У більшості країн, таких як США, таке зловживання BGP може бути покаране як порушення договору, а інші Інтернет-провайдери відмовлять від підключення до цієї АС, якщо це доведеться. Інтернет-провайдер також може знехтувати всім пристроєм IANA та RIR та перенаправити IP-адреси на власні сервери. Це не працюватиме на жодних веб-сайтах https, якщо припустити, що в ISP немає приватних ключів для будь-яких ЦА. Виграти від цього економічно дуже мало. Це трапляється лише з авторитарними урядами, наприклад, Єгипет нещодавно відключав усі реклами BGP для своїх Інтернет-провайдерів за межами країни.

DNS-сервери

DNS дещо простіший після правильності IP-таблиць. Кореневі сервери - усі тверді записані IP-адреси в коді сервера DNS. a.root-servers.net - 198.41.0.4, а IP-адреса - це будь-яка передача в межах однієї AS. У випадку a.root-servers.net AS є Verisign і є п'ять різних сайтів. У США два сайти - Нью-Йорк та Лос-Анджелес. Anycasting - це як якщо б у вас була адреса 123 Main Street, і ви сказали: "Не має значення в якому місті ви переходите, перейдіть на 123 Main Street і ви знайдете один з моїх підприємств". Обидві 123 Main Street в Нью-Йорку та Лос-Анджелесі дадуть однакову відповідь для всіх доменів вищого рівня. AS, у цьому випадку Verisign, визначає внутрішньо, який сервер має найменше перестрибування через OSPF, внутрішній BGP та інші протоколи маршрутизації. Таким чином, маршрутизатор в Денвері може поїхати в Лос-Анджелесі, а маршрутизатор в Чикаго - до Нью-Йорка.

Один із кореневих серверів дає IP-адресу для домену верхнього рівня com. Тоді цей домен надає домен для vašite.com. Реєстратори дійсно укладають договір з тим, хто управляє доменом верхнього рівня. Отже, якщо домен верхнього рівня в даний час не має запису для vašite.com, він має доступ для додавання запису з їх сервера. Потім, маючи доступ, який реєстратор надав вам до DNS-файлів Yourite.com, ви змінюєте записи на їх DNS-сервері, щоб перейти на вашу IP-адресу.

Оскільки DNS все залежить від декількох IP-адрес, які перейдуть у потрібне місце, у вас виникла та сама проблема, як і раніше, коли AS засвідчує автентифікацію реєстру IP, а потім призначення BGP. Це ключовий фрагмент веб-сайту http. Https має додатковий захист сертифікатів. Таким чином, Інтернет-провайдер не може перенаправляти запити для власних кореневих серверів та серверів домену верхнього рівня, щоб дати власний IP для, скажімо, citibank.com. Якщо вони це зробили, IP-адреса, надана користувачеві, буде іншою IP-адресою, але їх сервер не матиме приватного ключа Citibank.

і ні, я не жартую (я почав цю книгу 15 років тому, але вона все ще дуже актуальна): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Потім поверніться сюди з питаннями щодо BGP =)