Чи можете ви захопити будь-яку IP-адресу в Інтернеті?


82

У персональній мережі (LAN) можна просто захопити IP-адресу . Якщо ви вибрали ту саму IP-адресу, що й існуючий клієнт, у вас виникнуть проблеми. Є такі компанії, як IANA та ICANN, які відповідають за масові продажі IP-адрес та продають їх. Але що вас заважає просто захопити випадкову IP-адресу? Чи будується це на довірі? Що робити, якщо хтось захопить IP-адресу, і виникне конфлікт. Чи є спосіб відстежити цю IP-адресу до місця розташування сервера, використовуючи її?

Чи компанії, які насправді підтримують фізичні кабелі в Інтернеті, перевіряють, чи користуються клієнти, що підключаються, купують блоки IP-адреси?

Відповіді:


114

Ніщо не заважає вам приєднати до Інтернету вікно, налаштоване на чужу IP-адресу. Однак це не обов'язково спричинить будь-які проблеми для когось іншого, крім вас самих.

Якщо ви викрадете чужу IP-адресу за межами підмережі, до якої ви фізично підключені, єдине, що ви досягнете, - це не в змозі отримувати трафік, оскільки будь-який маршрутизатор, ведучи себе належним чином, - це перенаправити трафік до реального власника цього IP-адреса. Можливо, ви зможете рекламувати помилкові маршрути до будь-якого крайового маршрутизатора, що знаходиться вище за вас у надії, що вони поширюватимуться далі, сподіваючись на перенаправлення трафіку до вас на основі вашої викраденої IP-адреси, але будь-який незначно компетентний провайдер / постачальник вище ніколи не приймайте маршрути від своїх непідприємницьких споживачів. Що стосується корпоративних клієнтів / інших провайдерів, то вони поширюються на конкретні правила щодо маршрутів, які вони можуть рекламувати та використовувати разом зі своїм транзитним постачальником або одноранговим агентом, за яким 24/7 моніторинг мережевих операцій та команд управління. Більшість також має правила про те, які маршрути вони приймуть як дійсні, залежно від того, хто їх рекламував. Коротше кажучи, крадіжка чиєїсь IP-адреси за межами підмережі, до якої ви підключені, нічого не робить, якщо ви також не можете маніпулювати таблицями маршрутизації вище.

Це вбік, якби ви викрали IP-адресу когось із вашої тієї ж підмережі, ви порушили б трафік як особи, яка їй належить, так і вас самого. З будь-яким керованим комутатором або маршрутизатором це призведе до тривоги, оскільки в мережі є дублікатна адреса і, ймовірно, призведе до заблокування вашого зв’язку яким-небудь чином.


Одне, на що ви натякали, але не згадували прямо, - це те, що ви не можете спілкуватися з реальним власником IP-адреси або, можливо, реальним власником всієї підмережі.
Майкл Хемптон

3
Я б точно вказував, що "не в змозі отримувати трафік з Інтернету " замість "немає трафіку" (взагалі). [Наприклад, не в ідеї ОП:] Є (було?) Деякі підприємства, які вважали за добре використовувати Інтернет-адреси в якості внутрішніх IP-адрес у своїх локальних мережах ... І це "своєрідне" працює (але це жахливо ідея, а не відтворюватися). Але вони задаються питанням, чому вони не можуть дійти до деяких сайтів (як, навіть, використовуючи NATING на своєму Інтернет-шлюзі: будь-які пакети, призначені хосту в тому ж діапазоні, що і їх "внутрішній" діапазон, будуть надіслані їхніми локальними машинами в їх локальній мережі, замість до шлюзу, який потрібно відправити ...)
Олів'є Дулак

@OlivierDulac Це не обов'язково проблема, якщо ви не рухаєтесь / NAT в Інтернет, але використовуєте проксі. Досить обережна конфігурація, але це, безумовно, можливо. (Насправді я працюю в компанії, яка працює так. Багатонаціональна з близько 500 000 ip-пристроїв.)
Tonny

Чи відмовляються провайдери від трафіку від клієнтів, які (вибачте мою термінологію, якщо неправильна) заявляють про статичний IP, а не отримали його через DHCP?
Дін МакГрегор

@Tonny: Я просто трохи обмежував "будь-який трафік". І я знаю, що рішення / обхідні шляхи існують, але все ж краще використовувати зарезервований клас A (10.x / 8, тому більше 16 мільйонів адрес, або їх підмережу, якщо вам потрібно менше [добре для збереження невикористаних діапазонів для особливих випадків] ), ніж використовувати незарезервований діапазон [там, де кожна таблиця маршрутизації вашого локального маршрутизатора повинна бути ретельно спроектована, щоб відвернути локальний трафік від інтернету, орієнтованого на Інтернет. Деяка ретельна настройка робить це "легким", більшість не]
Олів'є Дулак

120

Подібно до відповіді mpez0, але мені подобається хороша аналогія автомобіля ...

Я для цього вибираю Великобританію, оскільки там живу. Уявіть, що ви живете в світі, де люди без сумніву слідують за дорожніми знаками, а вам трапляється жити прямо на півночі Шотландії, приблизно так далеко, як Лондон, не переходячи води. Ви живете в маленькому містечку, і одного разу ви вирішите, що збираєтесь перейменувати своє місто "Лондон", оскільки це, очевидно, призведе до збільшення торгівлі та туризму до вашого міста, правда? Ви навіть переймаєтесь проблемою оновлення місцевих дорожніх знаків, щоб відобразити нову назву свого міста.

Що насправді відбувається? Що ж, ви приїжджаєте багато людей з навколишніх сіл, які відвідують ваше місто, слідуючи за табличками і цікавлячись, чому вони не в Лондоні. Але крім цього, нічого не змінюється. Чому?

Поміркуйте, хто живе посеред Англії. Вони знають, що Лондон знаходиться на півдні, тому, коли вони виїжджають у Лондон, вони слідують за знаками, які говорять про "ПІВДЕНЬ", і продовжують рухатися, поки знаки не стануть більш конкретними. Іншими словами, їхні дорожні знаки все ще вказують на справжній Лондон. Їх "таблиці маршрутизації" не змінилися. Те, що ваше місто вирішило змінити свою назву на Лондон, для них не має значення. Їх місцеві маршрути не є достатньо конкретними, щоб помітити зміни.

Якщо ви вирішите змінити свою IP-адресу, маршрутизатори в іншому місці раптом не дізнаються про цей факт. Дорожні знаки не зміняться.


13
Це дійсно гарне порівняння.
Друг Кіма

Якщо говорити про те, що плутають знаки, я не знаю, чи Великобританія така, але в США не рідкість мати знак перед тим, як повернути на шосе, яке рекламує місто за сотні миль. Коли я був дитиною, я виявив це заплутаним, оскільки, можливо, в Шотландії, і виїжджаючи на шосе, очікуючи, що Лондон стане наступним містом над ...
Майкл

14
@Michael У Великобританії, з іншого боку, не рідкість бачити знаки, які насправді говорять просто "Південь" .
EP


2
Існує також поняття маршруту за замовчуванням на дорожніх знаках: "Усі напрямки" або "Інші напрямки". Одного разу у Франції ми знайшли переправу, яка мала обидва знаки, але вказувала в різні боки;)
MSalters

21

Розглянемо аналогію адреси вашого будинку. Одного разу ви вирішите змінити свою адресу з "123 Першої вулиці" на "1600 Пенсильванський проспект". Яка різниця це за межами ваших власних ліній власності? Ні - тому що інший світ все ще веде себе так, ніби фізичне місцезнаходження вашого будинку не змінилося, назва вашої вулиці не змінилася, назва міста не змінилася, поштовий індекс не змінився .. Ви отримаєте ідею.

Пошта, пакунки та інше буде "перенаправлено" до вашого будинку залежно від місця його розташування в адресній мережі вашої громади. Номер вашого будинку (комп’ютера), сам по собі, є лише останньою та остаточною зупинкою (мережевий перехід). Все по шляху має погодитися, має синхронізуватися, а ви керуєте лише самим кінцем шляху.

Ви можете нумерувати свій будинок (або комп’ютер) все, що завгодно, але щоб ваш мережевий трафік продовжував надходити, ви повинні це робити синхронізовано з оточенням. Щоб змінити свою домашню адресу, вам доведеться змінити її номер, і змусити бюрократію змінити назву своєї вулиці, а також змінити назву вашого міста та свій поштовий індекс. Крім того, щоб змінити вашу IP-адресу на щось, що не відповідає виділеному блоку, вам доведеться змінити її номер, і змусити свого постачальника вище за течією змінити виділений блок, а також змінити їх маршрутизатори, щоб маршрутизувати цей блок до вас, і рекламувати це через BGP на їхні ровесники по маршруту.

В обох випадках ви синхронізуєте свою зміну із зовнішнім світом, щоб зовнішній світ знав, як вас знайти. В іншому випадку ефект полягає в тому, що мережевий трафік більше не може знайти вас - і єдиний суб’єкт, на який впливає ваша зміна адреси, - це ви. Що, архітектурно кажучи, це гарна річ!


10

Даний провайдер може призначити будь-яку адресу будь-якому клієнту. Однак адреси корисні лише тим, що вони можуть мати маршрутизовані пакети між ними та іншими адресами. Інтернет-провайдер, який призначає адреси за межами діапазону, призначеного ICANN, або не отримуватиме маршрутизацію пакетів до / з цієї адреси, або спричинить помилки маршрутизації в інших місцях Інтернету. Це таке, що відбувається, коли деякі національні цензори чи фільтри Інтернету помиляються, або іноді, коли Інтернет-провайдери вищого рівня неправильно налаштовують свою інформацію про маршрутизацію.

Так, так, ви можете створити внутрішній сервер з тими ж адресами, що і Google.com, army.mod.uk, і т. Д. Але ви, мабуть, не отримали б пакети, призначені для цих хостів, принаймні, не за межами маршрутизації. схема.


6

Якщо ви Інтернет-провайдер, ви можете красти цілі IP-діапазони. Постачальники та велика компанія тощо, так звані Автономні Systemss, ідентифіковані "AS" та 16-бітне ціле значення. Ці системи спілкуються з іншими системами. Їм потрібен протокол, щоб повідомити іншим системам, якими IP-адресами вони володіють та якими іншими AS-системами вони підключені, а також деякими «витратами» на з'єднання. Між AS зазвичай це BGP .

Проблема в тому, що це все ще здебільшого грунтується на довірі. Якщо якийсь провайдер оголошує, що йому зараз належить IP-простір Google, а вартість дуже низька, всі інші системи надсилають трафік для google цьому провайдеру. Це було зроблено, наприклад, з Youtube в спробі пакистанських чиновників заблокувати це в Пакистані. Реального технічного рішення досі немає. Це в основному все ще працює. Більшість провайдерів перейшли з автоматичного на напівавтоматичний процес, де вони визначають деякі критерії зміни маршруту, оголошені іншими провайдерами, коли їх доводиться перевіряти людиною. Але Інтернет просто занадто великий, щоб все це перевірити. Тож у них є правила на кшталт "якщо AS зробив щось погане раніше, перевірити вручну".

Тож ні, ви як звичайна людина не можете вкрасти IP-адресу. Але якщо ви досить великий постачальник послуг, ви можете красти цілі діапазони IP хоча б години, якщо не дні. Якщо ви просто зробите це для дуже маленьких підмереж і спробуєте перенаправити трафік до реальної цілі, ви навіть можете піти з людиною, що перебуває в середній атаці, не помічаючи нікого.

Звичайно, є також стаття у Вікіпедії !

Якщо ви хочете пограти, хорошим початком є ​​інструмент bgp info від урагану електричний. Також є графічний інструмент. Ви можете ввести AS-номер свого провайдера, щоб той веб-сайт повідомив вам про нього, і переглянути, що використовує ваш провайдер.


5

"Чи може провайдер обробляти провайдера, який він не купив?"

Зв'язок в основному відбувається так: ПК на цільову машину (або маршрутизатор, або безпосередньо до цілі - визначається відправляючою машиною шляхом порівняння його IP-адреси та маски підмережі; якщо ціль не в тій самій підмережі, вона надсилається на маршрутизатор для маршрутизації).

Якщо маршрутизатор отримує пакет для маршрутизації, він приймає подібне рішення на основі всіх підмереж, він також безпосередньо підключений. Він вибирає, якій підмережі надсилати пакет далі через "таблицю маршрутизації". Примітка: Таблиця маршрутизації на клієнтській машині була використана на першому кроці - спробуйте CMD: "Маршрут друку" для Windows.

На останньому маршрутизаторі, який має цільову IP-адресу в одній із підключених підмереж, маршрутизатор надсилає безпосередньо хосту через його MAC-адресу (можливо, після використання RARP).

Таким чином, IP-адреси використовуються для маршрутизації між маршрутизаторами та маршрутизаторами. Вони мають певний спосіб знати маршрути на основі обмежених наборів інформації. Маршрутизатори динамічно обмінюються інформацією про зміни маршруту (наявність підмережі в мережі), але "вони можуть робити це автентично". Я не можу коментувати, чи призначається автентифікація.

Якщо Інтернет-провайдер "випускає" IP-адреси для хостів через DHCP або будь-яким іншим способом, то для успішного двостороннього зв'язку повинні існувати дані таблиці маршрутів. Було б тривіально визначити шахрайського провайдера. Навіть якби підхід довіри траплявся на різних рівнях, цензування оновлень маршрутизації від ISP все одно було б тривіальним.


4

Реєстрація IP-адреси регулюється в локальній мережі певним маршрутизатором. За допомогою DHCP комп'ютер запитує, чи є IP-адреса від маршрутизатора, і йому призначається одна. Але як тільки ви захочете залишити свою локальну мережу, ваш IP-номер призначається вашим Інтернет-провайдером. Існують способи підробляти IP-адресу, з якої надходить пакет, але як тільки він доходить до одного з маршрутизаторів Інтернет-провайдера, IP-адресу замінюється власною. Єдине, що залишається тим самим, це MAC-адреса, яка теж може бути підробленою. Але оскільки ваша IP-адреса замінена на першому маршрутизаторі, це обмежує те, що ви можете зробити.

Щоб дати вам коротку відповідь, ISP позначає все на трубі, яка повинна бути пов’язана з зареєстрованою IP-адресою. Начебто я кажу тобі забрати карту, і є лише одна картка. Локальні та загальнодоступні IP-адреси повністю розділені.

Для отримання додаткової інформації ви можете дізнатися це на веб-сайті http://en.wikipedia.org/wiki/IP_address_spoofing


1
Дякую за гарну відповідь. Однак я не замислююся над тим, щоб змінити IP в моїй приватній мережі. Я говорю про компанії, що підключаються безпосередньо до Інтернету, як, наприклад, компанії, що працюють на Інтернет-серверах. Щоб продовжити свій приклад. Чи може провайдер почати роздавати IP-адреси, які він не купив?
Друг Кіма

1
Я вважаю, що при найвищому рівні провайдерів ця система побудована на довірі. Але я не впевнений. Ось ще інформація: en.wikipedia.org/wiki/Tier_1_network , en.wikipedia.org/wiki/…
впав

5
Ця відповідь неправильна у кількох пунктах. Передбачається, що всі використовують NAT, що не так. Це поєднує NAT і маршрутизацію. І твердження про збереження MAC-адреси при відхиленні вихідної IP-адреси є майже протилежним тому, що відбувається, коли пакет проходить шлюз.
JdeBP

NAT бере участь у моїй відповіді, але навіть без NAT це не змінило б факту, що IP-адреса, призначена провайдером, замінить IP-пакет в пакетах. Якщо провайдери добросовісно не сприймуть, що IP-адреси є правильними і не змінюють їх.
Впав

@Fallen: Шахта перевіряє IP-адреси, але зовсім не торкається їх. Або IP-адреса неправильна, і пакет скидається , або передається. Я особисто не знаю багатьох провайдерів, які переписують IP-адреси, але я розумію, що це частіше зустрічається в Азії (відсутність IPv4-адрес)
MSalters

4

Ви можете "використовувати" будь-яку IP-адресу для відправлених вами пакетів, але обмеження стосується насправді пакетів, які ви отримаєте.

"Купівля" діапазону IP-адрес означає, що група інших людей налаштовує свої маршрутизатори так, щоб пакети, надіслані до цього діапазону IP-адрес, переходили на крок ближче до вас, врешті-решт дійшовши до пристрою, яким ви самі керуєте. Це все про збереження багато таблиць маршрутизації з а списки говорять (трохи спрощеним) «xxx.yyy. . Надсилають наліво, xxx.zzz. . Надсилають вправо».

"Просто схопивши" довільну адресу, це призведе до того, що якщо ви хочете зв’язатися з www.google.com, ви надішлете їм початковий пакет, але пакет відповідей буде переданий фактичному власнику, призначеному для належного налаштування, і ви виграли не бачу. Якщо ви захопили адресу, яка належить вашому сусіду в тому ж провайдері, то найближчий до вас маршрутизатор провайдера буде налаштований на те, щоб надсилати всі такі повідомлення своєму сусідові, а не вам. Якщо ви схопили випадкову адресу, то, швидше за все, вона буде надіслана в інший куточок світу, і відповідь навіть не наблизиться до вашого провайдера.

Так само, як і з поштовою поштою, якщо ви живете в Пхеньяні, але хочете почати отримувати пошту на адресу "1600 Pennsylvania Ave NW, Вашингтон, округ Колумбія, 20500, США", тоді вам доведеться переконати (принаймні одну з) поштових служб між власником відправника та адресою, щоб надсилати такі повідомлення по-своєму. Це можливо, якщо всі відправники перебувають у внутрішній мережі компанії; але це, мабуть, не було питанням.


2

Функція протоколу конфігурації динамічного хоста (DHCP) маршрутизатора, підключений окремої людини, призначена для виділення IP-адреси в певному діапазоні. Ви не можете просто запитати конкретну IP-адресу. Наскільки мені відомо, людина не може "підробити" IP-адресу.


1
Дякую за гарну відповідь. Однак я не замислююся над тим, щоб змінити IP в моїй приватній мережі. Я говорю про компанії, що підключаються безпосередньо до Інтернету, як, наприклад, компанії, що працюють на Інтернет-серверах. Щоб продовжити свій приклад. Чи може провайдер почати роздавати IP-адреси, які він не купив?
Друг Кіма

1
насправді ви можете запитати конкретну адресу через DHCP. Однак сервер залежить від того, чи бажає він погодитися на ваш запит.
BRPocock

@ Peter, він запитує, що якщо ти DHCP.
Pacerier
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.