Що заважає вам змінити вашу загальнодоступну IP-адресу і нести хаок?


38

Про мене було задано цікаве запитання, і я не знав, що відповісти. Тож я прошу тут.

Скажімо, я підписався на Інтернет-провайдер і використовую кабельний доступ до Інтернету. ISP надає мені загальнодоступну IP-адресу 60.61.62.63.

Що заважає мені змінити цю IP-адресу на, скажімо, 60.61.62.75, і не возитися з доступом до Інтернету іншого споживача?

Заради цього аргументу скажімо, що ця інша IP-адреса також належить тому ж ISP. Також припустимо, що я можу зайти в налаштування кабельного модему та вручну змінити IP-адресу.

Відповідно до бізнес-контракту, де вам призначаються статичні адреси, вам також призначають шлюз за замовчуванням, мережеву адресу та адресу широкомовної передачі. Отже, це 3 адреси, які провайдер "втрачає" до вас. Це здається дуже марним для динамічно призначених IP-адрес, які є більшістю клієнтів.

Чи могли вони просто використовувати статичні арки? ACL? Інші прості механізми?


1
шлюз за замовчуванням поділяється на всіх в одному рядку, щоб він не втрачав цю адресу, а трансляційна адреса все-таки втрачається в IPv4 (і також поділяється в рядку, можливо, навіть у декількох рядках)
храповик-фрік

Я спробував це років тому (можливо, 5-10 років тому), вручну встановивши свій IP-адресу на щось інше, ніж на те, що постачальник ISP надсилав через DHCP. Не вийшло! Думаю, я спробував це з PCI DSL-модемом, тому комп'ютер пряме підключення до Інтернету. І якщо ви хотіли-постаратися встановити інший IP-адресу, ви встановили його в Windows .. як би там не було, як було сказано, не вийшло! (Можна спробувати!)
барлоп

1
Багато років тому, коли я працював у Інтернет-провайдера, (нинішній колишній співробітник) встановив свої параметри набору для використання IP загальнодержавного DNS-сервера провайдера. Тоді маршрути були дозволені, і тому вся база клієнтів почала надсилати всі запити DNS цьому одному комутованому користувачеві. Звичайно, у нас немає інтернету, поки ми працювали з WTF. Тепер маршрутизатори мають білий список IP-адрес для кожного клієнта.
Марк Макдональд

Відповіді:


34

Кабельні модеми не схожі на ваш домашній маршрутизатор (тобто вони не мають веб-інтерфейсу з простими кнопками "натискання та натискання", в які може потрапити будь-яка дитина).

Кабельні модеми "шукаються" і розміщуються за їх MAC-адресою через Інтернет-провайдера, і, як правило, до них звертаються технічні працівники, які використовують власне програмне забезпечення, до якого лише вони мають доступ, яке працює лише на їх серверах, і тому їх реально не вкрасти.

Кабельні модеми також аутентифікують та перехресно перевіряють налаштування з серверами провайдерів. Сервер повинен повідомити модему, чи є його параметри (і розташування в кабельній мережі) дійсними, і просто встановить його на те, для чого встановлений ISP (пропускна здатність, розподіл DHCP тощо). Наприклад, коли ви говорите своєму провайдеру "я хотів би статичний IP-адрес, будь ласка.", Вони виділяють його в модем через свої сервери, і модем дозволяє використовувати цей IP. Наприклад, із зміною пропускної здатності.

Щоб зробити те, що ви пропонуєте, вам, швидше за все, доведеться прорватися до серверів у провайдера і змінити те, що він встановив для вашого модему.


Чи могли вони просто використовувати статичні арки? ACL? Інші прості механізми?

Кожен Інтернет-провайдер відрізняється, як на практиці, так і тим, наскільки вони тісні з великою мережею, яка надає їм послуги. Залежно від цих факторів, вони можуть використовувати комбінацію ACL та статичного ARP. Це також залежить від технології в самій кабельній мережі. ISP, для якого я працював, використовував певну форму ACL, але ці знання трохи перевищували мою зарплату. Мені доводилося працювати тільки з інтерфейсом техніка та робити планове обслуговування та зміни сервісних послуг.


Що заважає мені змінити цю IP-адресу на, скажімо, 60.61.62.75 і поплутатися з доступом до Інтернету іншого споживача?

З огляду на вищесказане, те, що перешкоджає вам змінити ваш IP на той, який ваш провайдер спеціально не надав вам, - це сервер, який вказує вашому модему, що він може, а що не може робити. Навіть якщо ви якось ввірвалися в модем, якщо 60.61.62.75 вже призначено іншому клієнту, сервер просто скаже вашому модему, що він не може його мати.


Відповідь ДевідШварца теж дуже хороша, я забув про зворотне пересування маршруту. Це питання триває навіть через 10 років, і багато аспектів, про які йдеться в документі, до якого він посилався, як і раніше дуже актуальні. Однозначно варто прочитати!
Мойсей

6
У випадку ISP, для якого я працюю, кожне вхідне з'єднання має свою власну VLAN, і наш основний маршрутизатор відмовляється від маршрутизації трафіку з IP-адреси, яка не повинна бути в цій конкретній VLAN. Проблема вирішена.
Шадур

23

Більшість сучасних Інтернет-провайдерів (останні 13 років або більше) не прийматимуть трафіку від з'єднання з клієнтом, якщо у нього немає вихідної IP-адреси, яку вони спрямовуватимуть до цього клієнта, якби це IP-адреса призначення. Це називається "зворотний шлях вперед". Див. BCP 38 .

Провайдери або не використовують протоколи динамічної маршрутизації зі своїми підключеннями до клієнтів, або фільтрують маршрути, які вони отримують через ці з'єднання. Таким чином, не було б ніякого впливу на отримані вами пакети.


1
Подумайте про те, щоб додати відповідь до пунктуації до своєї відповіді, щоб зробити її більш зрозумілою.
Харшдейп

1
Звучить як "вперед підтвердити зворотну перевірку DNS", яка часто використовується для запобігання спаму.
deed02392

1

Ваші пакети проходять через ваш Інтернет-провайдер, тому я думаю, що він порівнює вихідний IP, використовуючи якийсь ACL, а потім фільтрує відповідно. Підробляння вашої IP-адреси швидше за все не вдасться, якщо у провайдера немає належної безпеки. Передбачаються страшилки про Інтернет-провайдера в Великобританії, що випускає приватні ip через свою мережу, спричиняючи купу хаосу, але це не повинно відбуватися.


1

Я далеко не експерт, але я знаю, що використовую Verizon FIOS, щоразу, коли я міняю маршрутизатори, я змушений робити одну з двох речей:

  1. Змініть MAC-адресу нового маршрутизатора на адресу старого (імовірно, система вважає, що це старий маршрутизатор)
  2. Зверніться в службу підтримки Verizon і попросіть вони розірвати оренду на моєму поточному IP-адресі, щоб її можна було повторно призначити новому маршрутизатору

Чи вважають вони це фільтрацією MAC, я не впевнений, але я боявся перейти через зміну маршрутизатора, тому що я не міг зрозуміти, чому, коли мій новий маршрутизатор підключений безпосередньо до мережного кабелю, я не міг отримати підключення до Інтернету.

Це було, доки я не намагався підключити маршрутизатор Asus без успіху, звертаючись до служби підтримки Asus, я випадково згадував, що мій старий маршрутизатор все ще чудово підключається, але новий Asus цього не зробив. Він сказав мені змінити MAC-адресу нового маршрутизатора на адресу старого D-Link, перезавантажившись, і це спрацювало. Він сказав: "Гаразд, тому Verizon робить фільтрацію MAC".

Підтримка Verizon стверджує, що це не так, але як би вони їх не називали, це фактично не дозволить комусь користуватися чужим IP-адресою, оскільки MAC-адреса не буде відповідати маршрутизатору від справжнього власника облікового запису.


1

Тут є ще трохи. Ваш ПК або маршрутизатор можуть отримати ip через DHCP або ви можете заплатити за статичний IP, але в будь-якому випадку ваш провайдер не втрачає IP-адреси. Шлюз за замовчуванням використовується кожним IP в мережі. Самі кабельні модеми будуть спілкуватися з UBR (Універсальним широкосмуговим маршрутизатором) у приватній IP-мережі, зазвичай адресою 10.10.xx, таким чином Інтернет-провайдер не платить за стільки публічних IP-адрес. Шлюз за замовчуванням для вашого загальнодоступного IP знаходиться на іншому кінці мережевого тунелю. Якщо ви зміните IP на своєму ПК з наданої DHCP адреси на якийсь інший статичний IP, ваш кабельний модем просто не прийме з нього трафік.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.