Was hindert jemanden daran, sein Netzwerk mit IP-Adressen zu konfigurieren, die er nicht besitzt?

22

Hier ist das Szenario. Ich stellte mir eine Universität vor, die eine Reihe von IP-Adressen gekauft hatte. Ich denke, sie wären immer noch bei einem ISP (richtig?), Aber sie hätten die Freiheit, Dinge so zu konfigurieren, wie sie es wollten.

Was hindert sie daran, ihren Routern und Hosts bereits verwendete IP-Adressen zuzuweisen?

Und was würde passieren, wenn tatsächlich jemand dies tut?

router ip network internet ip-address Tiago Oliveira
quelle
6
Universitäten waren die ursprünglichen ISPs. Das Internet war ein kollaboratives Experiment zwischen Wissenschaft und Regierung. Tatsächlich ist das öffentliche Internet einfach eine Ansammlung von ISPs, die sich mit anderen ISPs ihrer Wahl austauschen. Die Regierung, die nach einer Möglichkeit suchte, die Kommunikation im Katastrophenfall (z. B. im Falle eines Atomkrieges) aufrechtzuerhalten, finanzierte die Universitäten und die Telekommunikation (zu der Zeit von AT & T, nicht die, die Sie heute kennen, die einzige) real telco) eine Methode zu entwickeln, um die Kommunikation aufrechtzuerhalten, wenn ein Pfad zerstört wurde und dies zu einer Paketvermittlung und zum Internet führte.
Ron Maupin
1
In Großbritannien beispielsweise überwacht JISC die Netzwerkzuweisungen für Universitäten.
Hör auf, Monica
Nichts. Bei IPv6 ist dies natürlich kein Problem.
Setzen Sie Monica - M. Schröder

Antworten:

32

Wenn es sich um eine große Universität handelt, handelt es sich höchstwahrscheinlich um einen eigenen ISP, der BGP verwendet , um sein Netzwerk über eine Reihe von Upstream-Netzwerken mit dem Internet zu verbinden.

Nichts hindert sie daran, IP-Adressen zu verwenden, die sie nicht verwenden sollten, und dies würde in ihrem lokalen Netzwerk funktionieren. Im Internet funktioniert es jedoch nicht. Ihre Upstream-Netzwerke, die ihnen Konnektivität bieten, sollten über Filter verfügen, mit denen die Universität nur die ihnen zugewiesenen IP-Adressen bekannt geben kann. Wenn die direkten Upstreams sie nicht filtern würden, würden die Upstreams der Upstreams dies tun. Und wenn IP-Adressen, die von einem anderen Netzwerk verwendet werden, von der Universität verwendet würden, wäre dieses andere Netzwerk für das Universitätsnetzwerk nicht mehr erreichbar.

Darüber hinaus gibt es eine Reihe von Projekten (z. B. RIPE RIS und BGPmon ), die Routing-Tabellen überwachen und auf "illegale" IP-Werbung hinweisen ( BGP-Hijacks und Routing-Anomalien).

Teun Vink
quelle
11
Leider auch heute haben sollte noch nicht bedeutet , haben
Josef
7
@Josef Um fair zu sein, BGP wurde in einer Zeit des "impliziten Vertrauens" gebaut - jeder Internetknotenbesitzer kannte jeden anderen Internetknotenbesitzer, also wusste er, wem was gehört und es gab soziale Konsequenzen für die Entführung. BGP wurde nie wirklich als "sicher" konzipiert, sondern nur als Funktion.
410_Gone
2
ISPs sind im Allgemeinen besser darin geworden, BGP zu filtern, da es einige bekannt gewordene größere Ausfälle gab, weil jemand (absichtlich oder versehentlich) eine falsche Route beworben hat.
Barmar
1
Ich würde hinzufügen, dass sie wahrscheinlich von ihren Nachbarn ins Hintertreffen geraten würden.
PEdroArthur
1
Wenn die IP-Adresse einer anderen Person intern verwendet wird, funktioniert dies, um diese Site zu erreichen. Dies bedeutet jedoch, dass alles, was auf dem tatsächlichen Besitzer dieser IP-Adresse gehostet wird, nicht erreichbar ist.
Loren Pechtel
12

Was hindert sie daran, ihren Routern und Hosts bereits verwendete IP-Adressen zuzuweisen?

Nichts. Über die Jahre habe ich gesehen, dass beide Organisationen jeder Größe, sowohl öffentliche als auch private, dies tun, einschließlich eines weltweit anerkannten "Marken" -Unternehmens. Tatsächlich habe ich dies häufiger in Unternehmen als an Universitäten gesehen (hauptsächlich aufgrund der Tatsache, dass mehr Universitäten früher am Internet beteiligt waren und bei der Definition der heute verwendeten Standards und Best Practices mitgearbeitet haben).

Und was würde passieren, wenn tatsächlich jemand dies tut?

Heute ist wahrscheinlich nichts anderes als die Organisation nicht in der Lage, Teile des Internets zu erreichen, die sie überlappen. In der Vergangenheit hat diese Art von Dingen schwerwiegende Probleme verursacht, darunter das "Unterbrechen des Internets" für einige oder viele Benutzer (in einem Fall hat ein einzelner ISP versehentlich eine Standardroute zum Internet weitergegeben, die ihr eigenes Netzwerk so stark überlastet wie der Internetverkehr versucht, durch sie zu routen).

Frühere Vorfälle wie die von Ihnen vorgeschlagenen wurden zu Lernmöglichkeiten und führten zu bewährten Methoden, die Schutz vor dieser Art von Fehlkonfiguration beinhalten. Heutzutage implementieren Anbieter meistens BCP38 / RFC2827 , um den Datenverkehr zu verbundenen Organisationen nur auf die IP-Adresse zu filtern, für die sie Werbung schalten sollen.

Einige Anbieter implementieren auch weiterhin eine Scheinfilterung, die bei ordnungsgemäßer Wartung dazu beiträgt, Datenverkehr aus dem IP-Bereich zu verhindern, von dem kein gültiger Datenverkehr stammen sollte (z. B. private Adressbereiche, nicht zugewiesener IP-Bereich usw.). Während die IPv4-Scheinliste heute viel kleiner ist als in der Vergangenheit (dh die meisten IPv4-Adressen werden jetzt zugewiesen), kann die IPv6-Scheinliste immer noch sehr nützlich sein, insbesondere bei großen Anbietern, um den Umfang der IP-Blockierung einzuschränken (dh nicht zugewiesene IP zu verwenden) Platz).

YLearn
quelle
8

Nichts kann sie davon abhalten, die Adressen auf ihren eigenen Computern zu verwenden.

Was passiert, wenn sie versuchen, sie im Internet zu bewerben, hängt davon ab, wie schlampig ihre Anbieter sind. Wenn ihre Anbieter Best Practices befolgen, sind Filter vorhanden, und die Werbung wird die Grenzen des Entführers nicht überschreiten.

OTOH Wenn ihre Provider und ihre Provider schlampig sind, kann eine falsche Ankündigung viel weiter gehen und zu erheblichen Störungen bei den rechtmäßigen Eigentümern des IP-Raums führen.

Solche Ereignisse werden mit ziemlicher Sicherheit bemerkt und es wird wahrscheinlich einige hitzige Diskussionen und zusätzliche Filterungen geben.

Peter Green
quelle
6

Angenommen, ich habe zwei Maschinen. Ich weise dem einen die Adresse 1.2.3.4 und dem anderen die Adresse 1.2.3.5 zu. Ich besitze diese Adressen nicht.

Solange ich nicht ins Internet versuche, können diese beiden Geräte problemlos miteinander kommunizieren.

Jetzt verbinde ich mich mit dem Internet. Die anderen Antworten sprechen von Filtern, die Dinge blockieren, aber lassen Sie uns das für einen Moment ignorieren.

Mein Computer 1.2.3.4 versucht, eine Verbindung zu einer legitimen Adresse wie 12.34.56.78 herzustellen. Angenommen, diese Adresse existiert und wird von ihrem richtigen Besitzer kontrolliert.

Mein Computer sendet also ein Paket:

Von 1.2.3.4, Bis: 12.34.56.78, Inhalt: Willst du Freunde sein? (Übersetzt in menschlich)

Die Router überprüfen den To: -Teil und liefern ihn korrekt bis 12.34.56.78. Diese Maschine ahnt nichts und entspricht einer Antwort

Von: 12.34.56.78, Bis: 1.2.3.4, Inhalt: Sicher, lasst uns Freunde sein!

Kommt jetzt zum Problem. Diese Antwort wird Ihnen niemals zugestellt. Stattdessen wird es dem echten 1.2.3.4 übergeben, der sehr verwirrt sein wird.

Wenn Sie also eine falsche Adresse verwenden, können Sie mit dem Internet sprechen, aber das Internet wird Ihnen niemals antworten.

Stig Hemmer
quelle
4
"Das Internet wird dir niemals antworten" Wenn du die falschen Adressen über BGP annoncierst und niemand deine Ankündigungen blockiert, können große Teile des Internets dir sehr gut antworten, zumindest bis jemand merkt, was los ist.
Peter Green
2
Jeder anständige ISP wird BCP38 implementieren, sodass Ihr Versuch, "mit dem Internet zu sprechen", in seinem Anti-Spoofing-Filter endet.
Teun Vink
Was Sie beschreiben, ist kein nicht funktionierender Versuch, eine Verbindung zum Internet herzustellen, sondern ein potenzieller DOS-Angriff auf die echte 1.2.3.4 (und vielleicht auch 12.34.56.78). Deshalb sind die von TeunVink erwähnten Filter (hoffentlich) vorhanden
Hagen von Eitzen,
@HagenvonEitzen: Das sind ganz andere Filter. Teun spricht über das Blockieren von Routenwerbung durch Validierung von Routenaustauschprotokollen wie BGP. Um Source-Spoofing-DDoS zu verhindern, müssen Sie Pakete, die nichts mit dem Routenaustausch zu tun haben, rückwärts filtern.
Ben Voigt
2

Es würde intern große Farbfelder des Internets verdunkeln

Sicher. Nehmen wir an, sie verwenden private IP-Adressen intern für ihr Netzwerk, z. B. 10.xxx. Sie kennen den Drill und die Netzwerkadressumsetzung am Rand ihres Netzwerks genau wie in Ihrem Heimnetzwerk.

Mit der Ausnahme, dass sie entschieden haben, dass 10.xxx zu restriktiv für sie ist, und dass sie interne öffentliche IP-Adressen vergeben. Zunächst wird es funktionieren. Aber dann tauchen Probleme auf.

Es ist eine Frage der Zeit, bis jemand 172.217.15.68 für ein Laborgerät verwendet. Dies ist eine der IP-Adressen, die DNS für www.google.com auflöst. Wenn jemand von der Universität versucht, eine Suche bei Google durchzuführen, wechselt sein Webbrowser manchmal zu diesem Laborgerät . Weil die internen Router nicht in der Lage wären, sich zwei 172.217.15.68 vorzustellen, einen internen und einen externen; Sie würden einfach Ihre Pakete an die interne weiterleiten.

Intern zugewiesene IP-Blöcke können nicht extern geroutet werden

Aber es ist schlimmer als das. Sie haben einen ganzen Netzblock zugewiesen, sodass alle 172.217.xx / 16 in dieses Labor geleitet werden. Sie würden wahrscheinlich nicht jede Google-IP blockieren, aber viele Suchanfragen würden fehlschlagen. Bei kleineren Outfits wie Craigslist, bei denen sich alle Adressen im selben Netzblock befinden, würde die gesamte Site kalt blockiert, wenn die Universität diesen Netzblock intern zuweist.

Dies betrifft niemanden außerhalb des internen Netzwerks der Universität. Externe Anbieter akzeptieren die Neuzuweisung des IP-Bereichs von Google durch die Universität nicht. Der einzige Verkehr, der an die Universität weitergeleitet wird, sind die öffentlichen IP-Adressen, die der Universität gehören.

Verwenden Sie stattdessen einfach IPv6

Wenn Sie sich für Comcast anmelden, erhalten Sie eine / 64 Ihrer eigenen. Wenn du nett fragst, habe ich gehört, dass sie dir einfach eine / 48 geben. Nehmen wir jedoch an, Sie erhalten nur eine / 64 und machen dann genau die Handlung von RevOlution und erstellen selbstreplizierende Naniten , die Elektrizität in der gleichen Menge wie in der Sendung besprochen verzehren. Haben Sie genug IPv6-Adressen, damit jede Nanite ihre eigene hat?

Ja. Und genug Ersatzteile, um dies auf 2 Millionen parallelen Erden zu tun.

Wenn Sie also wirklich Angst haben, dass Ihnen die IP-Adressen ausgehen, ist dies der richtige Weg.

Harper - Setzen Sie Monica wieder ein
quelle
2

Wie von vielen anderen angegeben, hindert nichts irgendjemanden daran, aber im Allgemeinen hat dies keine Auswirkungen außerhalb der Organisation und führt sogar zu internen Problemen.

Wenn Sie selbst ein ISP sind und anderen mitteilen, dass Sie derjenige sind, der diese IPs weiterleitet (unter Verwendung eines Routing-Protokolls wie BGP), werden diese IPs für eine Weile "teilweise" Ihnen gehören. Zum Teil, weil, wenn das Problem bemerkt wird, Maßnahmen ergriffen werden, um es zu stoppen. "Für eine Weile", bis Maßnahmen ergriffen sind.

In der Vergangenheit gab es Vorfälle mit BGP, bei denen der Verkehr an falsche Orte geleitet wurde. Hier ist ein Link zu einem kürzlich aufgetretenen Vorfall: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leck-verkehr-gerichtet-durch-Nigeria-China-und-Russia/ Sie können Suchen Sie nach "BGP route leak", um mehr zu erfahren.

Internet läuft viel auf Vertrauen. Die Dinge ändern sich langsam, aber in vielen Fällen vertrauen ISPs einfach anderen ISPs.

user1532080
quelle