IP-адреса, еквівалентна / dev / null


92

Чи є IP-адреса, яка призведе до того, що будь-який пакет, надісланий до ігнорування (чорний обрив)?

Я знаю, що завжди можу налаштувати роутер з IP-адресою, а потім просто ігнорувати всі надіслані йому пакети, але чи існує така річ, щоб врятувати мені проблеми?


2
Є деякі пристрої (наприклад, маршрутизатори та комутатори від цього співачка San Fran cisco .), Які використовують інтерфейс Null, який може використовуватися як чорна діра для зловмисного трафіку. Потрібно вказати маршрут на цей інтерфейс Null, щоб весь трафік на цьому маршруті був відкинутий.
Адріано П

12
вас може зацікавити devnull-as-a-service.com
wchargin

2
Мені цікаво, чому питання позначається "запобігання спаму"?
Майк Пеннінгтон

@WChargin, я сподіваюся, що це був жарт - devnull-as-a-service.comце, схоже, не має нічого спільного з мережами, і навіть це виглядає як лайно . Що це : When we say "government" we mean NSA, CIA, FBI, TSA, Communist Party of China (CPC), Nestle, The Coca-Cola Company, the KGB, some of your coworkers and our friends (especially if there is something funny).?
VL-80

5
@Nikolay так, це був жарт, як і веб-сайт. Дивіться їхній Github ЧИТАТИ : "Йдеться переважно про підприємство, хмару, * -а-сервіс та критику щодо нього " (наголос мій)
wchargin

Відповіді:


84

Спеціально префікс blackhole в IPV6, як описано в RFC 6666 , це 100 :: / 64. IP4 не має явної чорної діри, як це, але неіснуючий хост одного з зарезервованих блоків мав би це вплив. (наприклад, 240.0.0.0/4 є "зарезервованим для подальшого використання" і не буде спрямований нічим.)


32
Надсилання даних на щось, зарезервоване для майбутнього використання, є лише хорошою ідеєю, поки це майбутнє використання не буде реалізовано.
corsiKa

5
Дуже хороший момент, хоча я дуже сумніваюся, що IP4 знову буде значно розширений.
Бандрамі

8
Але чи гарантовано маршрутизатор скидає пакети? Тому що, якщо він поверне ICMP "призначення недоступним", це було б не те, про що вимагала ОП.
WGH

41

Є така річ, як мережа Чорна діра .

Якщо в мережі немає пристроїв з IP-адресою 192.168.0.10, то ця IP-адреса є своєрідною чорною дірою, і вона "відкине" весь трафік до неї, просто тому, що її немає.

Протоколи, які відстежують стан з'єднання (TCP), можуть виявити відсутній хост призначення. З UDP це не відбудеться, і пакети просто загинуть, поки хостинг, що відправляє, не буде проінформований про це.

Ви можете налаштувати чорну діру за допомогою брандмауера, встановивши її, щоб мовчки скидати пакети ( не відхиляти ) з певних (або багатьох) адрес.

Наскільки мені відомо, у мережі TCP / IP версії 4 (спасибі Бандрамі ) немає такої стандартної мережевої адреси, яка створила б вам чорну діру .

Отже, у вас є два варіанти:

  1. IP-адреса, яка не була призначена жодному хосту;
  2. Хост із брандмауером, який мовчки скидає пакети або його варіанти, наприклад, використовуючи netcat: (як запропоновано ultrasawblade ).

nc -vv -l 25 > /dev/nullбуде слухати вхідні з'єднання на порту 25 TCP та передавати результати на /dev/null. Більше прикладів тут .

Вся підмережа також може бути чорною дірою ( Нульовий маршрут ).


4
Якщо ви хочете щось, що отримає TCP-трафік, але нічого не робите з цим, щось швидко можна встановити за допомогою nc(або netcat). Як стверджує @Nikolay, немає IP-адреси, яка б це робила автоматично.
LawrenceC

2
Принаймні, не в IP4
Бандрамі

@Bandrami: То як щодо IPv6?
user2357112

2
@ user2357112, просто подивіться на його відповідь . Це трохи нижче мого.
VL-80

19

Хоча це не чорна діра, ви також можете розглянути IP-адреси , відведені для тестових / прикладних цілей (за RFC 5737) , особливо якщо ваша мета - значення "безпечно не працює за замовчуванням".

  • 192.0.2.0/24 (TEST-NET-1),
  • 198.51.100.0/24 (ТЕСТ-НЕТ-2)
  • 203.0.113.0/24 (ТЕСТ-НЕТ-3)

Оператори мережі ДОЛЖНЕ додати ці адресні блоки до списку адресних просторів, які не можуть бути маршрутизовані, а якщо розгорнуті фільтри пакетів, то цей блок адрес ДОЛЖЕН бути доданий до пакетних фільтрів.

Немає гарантії, що пакети на ці адреси будуть заблоковані (це залежить від вашого провайдера тощо), але, безумовно, ніхто вже не повинен їх використовувати.


1
Їх також можна відхилити замість опущених, так що…
mirabilos

1
192.0.2.0, здається, працює з моєї першої спроби, не повертаючи жодного пакета. Я зроблю ще тестування.
Тайлер Дюрден

16

Немає "стандартної адреси чорного отвору" як такої, і насправді немає жодної вимоги до неї. Ви не говорите, чого ви насправді намагаєтесь досягти, тому я не можу вам допомогти, але ось кілька неправильних рішень для вашої проблеми, які б відповіли на ваше запитання, як ви його задали:

  • Ви можете використовувати адресу RFC1918, яка не використовується у вашій мережі, і розраховувати на свій Інтернет-провайдер, щоб передати її вам. Наприклад, якщо ви використовуєте лише деякі частини 192.168, ваш ISP (10.255.255.1) буде переведений на нуль (який отримає це завдяки шлюзу за замовчуванням).
  • Ви можете використовувати IP-адресу, яка зарезервована для подальшого використання (і, ймовірно, ніколи не буде використовуватися); це старий діапазон " Клас Е ". Це буде робити так само, як вище, але буде працювати, навіть якщо ви вже використовуєте всі приватні діапазони адрес (маючи набагато ширші мережеві маски, ніж потрібно, я сумніваюся, що у вас буде мільйони приєднаних пристроїв). Наприклад, 254.0.0.1 ніколи (юридично) не посилатиметься на реальний пристрій.
  • На машині, де вам це потрібно, ви можете додати ціль лише для краплі; Наприклад, використання невикористаної адреси, наприклад, наведеної вище, iptables -I OUTPUT -d 254.0.0.0/8 -j DROPзабезпечить, що все, що надсилається в цю "мережу", буде мовчки відкинуто, замість того, щоб турбувати будь-які шлюзи або навіть спричиняти трафік на фактичному мережевому інтерфейсі.

Знову ж таки, ви, мабуть, не хочете нічого з цього, навіть якщо ви думаєте, що це зручно - це не так, це заплутано і не очевидно, і не є хорошим рішенням будь-якої вашої проблеми насправді.


254.0.0.1 не містить пакетів з чорними дірами, я отримую помилку "провал передачі".
Тайлер Дерден

7
+1 за "ви, мабуть, насправді не хочете нічого цього ..."
RBerteig


2

Діапазони випробувань

Я, мабуть, запропонував би один із діапазонів адрес "TEST-NET", "для використання в документації та прикладах. Він не повинен використовуватися публічно" .

192.0.2.0/24
198.51.100.0/24
203.0.113.0/24

Діапазони "Bogon" (богус / підробка)

Я не впевнений, де сказати тут, здається, це скоріше практика, яку надає Інтернет-шлюз, а не специфічний спосіб реалізації пакету, який направлений кудись, він не повинен бути


Місцеві хребти

Існує також діапазон адрес зворотного зв'язку 127.0.0.0/8, наприклад 127.0.0.255. Хоча все ще можливо, щоб там існували речі, зокрема будь-які сервіси на локальній машині, принаймні ви не заважатимете жодним машинам у мережі (якщо ви, напевно, не маєте мережевих служб, які підтримуються іншими мережевими службами).

127.0.0.0/8


Незаконні діапазони призначення

Можливо, також 0.0.0.0може бути використана незаконна адреса , хоча 0.0.0.0/8 зарезервовано для "Використовується для трансляції повідомлень до поточного (" цього ")", тому існує ризик широкомовної трансляції з цього приводу.

0,0.0,0/8

Сторінка Вікіпедії для нульового маршруту визначає:

Нульові маршрути, як правило, налаштовані спеціальним прапором маршруту, але вони також можуть бути реалізовані шляхом переадресації пакетів на незаконні IP-адреси, такі як 0.0.0.0, або петлеву адресу.


Відгуки: https://en.wikipedia.org/wiki/Зарезервовані_IP_адреси


Я, як правило, вирішив використовувати localhostна найвищому порту 65535, оскільки хотів переконатися, що хост не залишає хост.
ThorSummoner

Якщо ви вказуєте порт, то вам також потрібно вказати кожен протокол: TCP, UDP і т.д.
Дрейкс

1

Одне, що слід врахувати (що може або не може бути проблемою для вашого конкретного сценарію), це те, що якщо ви перенаправляєте трафік на IP-адресу, яка не існує, маршрутизатор та / або хост можуть намагатися постійно ARP для цієї адреси, що може бути поганою справою.

Якщо ви налаштуєте статичну ARP <-> IP-прив'язку для цієї фантомної адреси, система завжди матиме вирішений запис ARP, і вона просто покладе пакет на дріт із цією адресою ARP (яка, мабуть, є хибною) і трафік насправді нікуди не приземлиться.

Знову ж таки, це може бути НЕ тим, чого ви насправді хочете, але варто задуматися.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.