IP-адреса, еквівалентна / dev / null

Чи є IP-адреса, яка призведе до того, що будь-який пакет, надісланий до ігнорування (чорний обрив)?

Я знаю, що завжди можу налаштувати роутер з IP-адресою, а потім просто ігнорувати всі надіслані йому пакети, але чи існує така річ, щоб врятувати мені проблеми?

Спеціально префікс blackhole в IPV6, як описано в RFC 6666 , це 100 :: / 64. IP4 не має явної чорної діри, як це, але неіснуючий хост одного з зарезервованих блоків мав би це вплив. (наприклад, 240.0.0.0/4 є "зарезервованим для подальшого використання" і не буде спрямований нічим.)

Є така річ, як мережа Чорна діра .

Якщо в мережі немає пристроїв з IP-адресою 192.168.0.10, то ця IP-адреса є своєрідною чорною дірою, і вона "відкине" весь трафік до неї, просто тому, що її немає.

Протоколи, які відстежують стан з'єднання (TCP), можуть виявити відсутній хост призначення. З UDP це не відбудеться, і пакети просто загинуть, поки хостинг, що відправляє, не буде проінформований про це.

Ви можете налаштувати чорну діру за допомогою брандмауера, встановивши її, щоб мовчки скидати пакети ( не відхиляти ) з певних (або багатьох) адрес.

Наскільки мені відомо, у мережі TCP / IP версії 4 (спасибі Бандрамі ) немає такої стандартної мережевої адреси, яка створила б вам чорну діру .

Отже, у вас є два варіанти:

1. IP-адреса, яка не була призначена жодному хосту;
2. Хост із брандмауером, який мовчки скидає пакети або його варіанти, наприклад, використовуючи netcat: (як запропоновано ultrasawblade ).

nc -vv -l 25 > /dev/nullбуде слухати вхідні з'єднання на порту 25 TCP та передавати результати на /dev/null. Більше прикладів тут .

Вся підмережа також може бути чорною дірою ( Нульовий маршрут ).

Хоча це не чорна діра, ви також можете розглянути IP-адреси , відведені для тестових / прикладних цілей (за RFC 5737) , особливо якщо ваша мета - значення "безпечно не працює за замовчуванням".

• 192.0.2.0/24 (TEST-NET-1),
• 198.51.100.0/24 (ТЕСТ-НЕТ-2)
• 203.0.113.0/24 (ТЕСТ-НЕТ-3)

Оператори мережі ДОЛЖНЕ додати ці адресні блоки до списку адресних просторів, які не можуть бути маршрутизовані, а якщо розгорнуті фільтри пакетів, то цей блок адрес ДОЛЖЕН бути доданий до пакетних фільтрів.

Немає гарантії, що пакети на ці адреси будуть заблоковані (це залежить від вашого провайдера тощо), але, безумовно, ніхто вже не повинен їх використовувати.

Немає "стандартної адреси чорного отвору" як такої, і насправді немає жодної вимоги до неї. Ви не говорите, чого ви насправді намагаєтесь досягти, тому я не можу вам допомогти, але ось кілька неправильних рішень для вашої проблеми, які б відповіли на ваше запитання, як ви його задали:

• Ви можете використовувати адресу RFC1918, яка не використовується у вашій мережі, і розраховувати на свій Інтернет-провайдер, щоб передати її вам. Наприклад, якщо ви використовуєте лише деякі частини 192.168, ваш ISP (10.255.255.1) буде переведений на нуль (який отримає це завдяки шлюзу за замовчуванням).
• Ви можете використовувати IP-адресу, яка зарезервована для подальшого використання (і, ймовірно, ніколи не буде використовуватися); це старий діапазон " Клас Е ". Це буде робити так само, як вище, але буде працювати, навіть якщо ви вже використовуєте всі приватні діапазони адрес (маючи набагато ширші мережеві маски, ніж потрібно, я сумніваюся, що у вас буде мільйони приєднаних пристроїв). Наприклад, 254.0.0.1 ніколи (юридично) не посилатиметься на реальний пристрій.
• На машині, де вам це потрібно, ви можете додати ціль лише для краплі; Наприклад, використання невикористаної адреси, наприклад, наведеної вище, iptables -I OUTPUT -d 254.0.0.0/8 -j DROPзабезпечить, що все, що надсилається в цю "мережу", буде мовчки відкинуто, замість того, щоб турбувати будь-які шлюзи або навіть спричиняти трафік на фактичному мережевому інтерфейсі.

Знову ж таки, ви, мабуть, не хочете нічого з цього, навіть якщо ви думаєте, що це зручно - це не так, це заплутано і не очевидно, і не є хорошим рішенням будь-якої вашої проблеми насправді.

Побічне крокування вашого питання, а як щодо використання "протоколу відкидання" ?

Діапазони випробувань

Я, мабуть, запропонував би один із діапазонів адрес "TEST-NET", "для використання в документації та прикладах. Він не повинен використовуватися публічно" .

192.0.2.0/24
198.51.100.0/24
203.0.113.0/24

Діапазони "Bogon" (богус / підробка)

Я не впевнений, де сказати тут, здається, це скоріше практика, яку надає Інтернет-шлюз, а не специфічний спосіб реалізації пакету, який направлений кудись, він не повинен бути

Місцеві хребти

Існує також діапазон адрес зворотного зв'язку 127.0.0.0/8, наприклад 127.0.0.255. Хоча все ще можливо, щоб там існували речі, зокрема будь-які сервіси на локальній машині, принаймні ви не заважатимете жодним машинам у мережі (якщо ви, напевно, не маєте мережевих служб, які підтримуються іншими мережевими службами).

127.0.0.0/8

Незаконні діапазони призначення

Можливо, також 0.0.0.0може бути використана незаконна адреса , хоча 0.0.0.0/8 зарезервовано для "Використовується для трансляції повідомлень до поточного (" цього ")", тому існує ризик широкомовної трансляції з цього приводу.

0,0.0,0/8

Сторінка Вікіпедії для нульового маршруту визначає:

Нульові маршрути, як правило, налаштовані спеціальним прапором маршруту, але вони також можуть бути реалізовані шляхом переадресації пакетів на незаконні IP-адреси, такі як 0.0.0.0, або петлеву адресу.

Відгуки: https://en.wikipedia.org/wiki/Зарезервовані_IP_адреси

Одне, що слід врахувати (що може або не може бути проблемою для вашого конкретного сценарію), це те, що якщо ви перенаправляєте трафік на IP-адресу, яка не існує, маршрутизатор та / або хост можуть намагатися постійно ARP для цієї адреси, що може бути поганою справою.

Якщо ви налаштуєте статичну ARP <-> IP-прив'язку для цієї фантомної адреси, система завжди матиме вирішений запис ARP, і вона просто покладе пакет на дріт із цією адресою ARP (яка, мабуть, є хибною) і трафік насправді нікуди не приземлиться.

Знову ж таки, це може бути НЕ тим, чого ви насправді хочете, але варто задуматися.