Können Sie eine beliebige IP-Adresse im Internet abrufen?

82

In einem persönlichen Netzwerk (LAN) kann man einfach eine IP-Adresse abrufen . Wenn Sie dieselbe IP-Adresse wie ein vorhandener Client auswählen, treten Probleme auf. Es gibt Unternehmen wie IANA und ICANN, die für IP-Adress-Bulks zuständig sind und diese verkaufen. Aber was hindert Sie daran, nur eine zufällige IP-Adresse abzurufen? Ist das auf Vertrauen aufgebaut? Was wäre, wenn jemand eine IP-Adresse abrufen würde und Konflikte auftreten würden? Gibt es eine Möglichkeit, diese IP-Adresse auf den Standort des Servers zurückzuführen, der sie verwendet?

Prüfen Unternehmen, die die physischen Internetkabel tatsächlich warten, ob die Clients, die die Verbindung herstellen, gekaufte IP-Adressblöcke verwenden?

Freund von Kim
quelle

Antworten:

114

Nichts hindert Sie daran, eine mit der IP-Adresse einer anderen Person konfigurierte Box an das Internet anzuschließen. Dies wird jedoch nicht unbedingt Probleme für andere als Sie selbst verursachen.

Wenn Sie die IP-Adresse einer anderen Person außerhalb des Subnetzes stehlen, mit dem Sie physisch verbunden sind, können Sie nur dann keinen Datenverkehr empfangen, wenn sich ein Router ordnungsgemäß verhält und den Datenverkehr an den tatsächlichen Eigentümer weiterleitet IP Adresse. Möglicherweise können Sie falsche Routen zu einem beliebigen Edge-Router, der Ihnen vorgeschaltet ist, ankündigen, in der Hoffnung, dass sie sich weiter verbreiten, in der Hoffnung, dass der Datenverkehr auf der Grundlage Ihrer gestohlenen IP-Adresse an Sie weitergeleitet wird Akzeptieren Sie niemals Routen von Nicht-Unternehmenskunden. Für Unternehmenskunden / andere ISPs gelten bestimmte Regeln, welche Routen sie für ihren Transitprovider oder Peer werben und verwenden können. Diese werden von den Network Operations and Control Teams rund um die Uhr überwacht. Die meisten haben auch Regeln darüber, welche Routen sie als gültig akzeptieren, abhängig davon, wer sie beworben hat. Kurz gesagt, der Diebstahl der IP-Adresse einer Person außerhalb des Subnetzes, mit dem Sie verbunden sind, hat nur dann Auswirkungen, wenn Sie auch die Upstream-Routingtabellen manipulieren können.

Abgesehen davon, wenn Sie eine IP-Adresse von jemandem in demselben Subnetz stehlen würden, würden Sie den Datenverkehr sowohl der Person, der sie gehört, als auch Ihrer selbst stören. Bei allen verwalteten Switches oder Routern wird ein Alarm ausgelöst, da im Netzwerk eine doppelte Adresse vorhanden ist und Ihre Verbindung wahrscheinlich auf irgendeine Weise blockiert wird.

Fred Thomsen
quelle
Eine Sache, die Sie angedeutet, aber nicht ausdrücklich erwähnt haben, ist, dass Sie nicht mit dem tatsächlichen Eigentümer der IP-Adresse oder möglicherweise dem tatsächlichen Eigentümer des gesamten Subnetzes kommunizieren können.
Michael Hampton
3
Ich würde genau sagen, dass "kein Datenverkehr aus dem Internet empfangen werden kann " anstatt "überhaupt kein Datenverkehr". [Beispiel nicht in der Idee von OP:] Es gibt (gab?) Einige Unternehmen, die es für in Ordnung hielten, Internetadressen als interne IP-Adressen für ihre LANs zu verwenden ... Und es funktioniert "irgendwie" (aber es ist schrecklich) Idee, und nicht reproduziert werden). Dann wundern sie sich jedoch, warum sie einige Standorte nicht erreichen können (z. B. auch mit NAT auf ihrem Internet-Gateway: Alle Pakete, die an einen Host in derselben Reichweite wie ihre "interne" Reichweite gerichtet sind, werden von ihren LAN-Rechnern in ihrem LAN gesendet. anstatt zum Tor geschickt zu werden ...)
Olivier Dulac
@OlivierDulac Dies ist nicht unbedingt ein Problem, solange Sie / NAT nicht an das Internet weiterleiten, sondern Proxys verwenden. Erfordert eine recht sorgfältige Konfiguration, ist aber durchaus möglich. (Tatsächlich arbeite ich für ein Unternehmen, das so arbeitet. Multinational mit ungefähr 500.000 IP-Geräten.)
Tonny
Lehnen ISPs den Datenverkehr von Clients ab, die (bitte um Entschuldigung, falls meine Terminologie nicht korrekt ist) eine statische IP-Adresse beanspruchen, anstatt diese über DHCP erhalten zu haben?
Dean MacGregor
@Tonny: Ich habe gerade den "Any Traffic" etwas weiter eingeschränkt. Und ich weiß, dass es Lösungen / Problemumgehungen gibt, aber es ist immer noch besser, eine reservierte Klasse A (10.x / 8, also mehr als 16 Millionen Adressen, oder ein Subnetz davon, wenn Sie weniger benötigen) zu verwenden. ) als einen nicht reservierten Bereich zu verwenden [wo jede Routingtabelle Ihres lokalen Routers sorgfältig entworfen werden muss, um den lokalen Verkehr von dem mit dem Internet verbundenen zu unterscheiden. Einige sorgfältige Einstellungen machen es "einfach", die meisten nicht]
Olivier Dulac
120

Ähnlich wie die Antwort von mpez0, aber ich mag eine gute Auto-Analogie ...

Ich wähle das Vereinigte Königreich dafür, da ich dort lebe. Stellen Sie sich vor, Sie leben in einer Welt, in der die Menschen ohne Frage den Verkehrsschildern folgen, und Sie leben ganz im Norden Schottlands, ungefähr so ​​weit von London entfernt wie möglich, ohne das Wasser zu überqueren. Sie leben in einer kleinen Stadt, und eines Tages beschließen Sie, Ihre Stadt in London umzubenennen, da dies offensichtlich zu mehr Handel und Tourismus in Ihrer Stadt führen wird, oder? Sie machen sich sogar die Mühe, die örtlichen Verkehrsschilder zu aktualisieren, um den neuen Namen Ihrer Stadt widerzuspiegeln.

Was passiert eigentlich? Viele Leute aus den umliegenden Dörfern besuchen Ihre Stadt, folgen den Schildern und fragen sich, warum sie nicht in London sind. Ansonsten ändert sich nichts. Warum?

Betrachten Sie jemanden, der in der Mitte von England lebt. Sie wissen, dass London im Süden liegt. Wenn sie sich auf den Weg nach London machen, folgen sie den Schildern mit der Aufschrift „THE SOUTH“ und fahren weiter, bis die Schilder konkreter werden. Mit anderen Worten, ihre Straßenschilder weisen immer noch auf das echte London hin. Ihre "Routing-Tabellen" haben sich nicht geändert. Die Tatsache, dass Ihre Stadt beschlossen hat, ihren Namen in London zu ändern, spielt für sie keine Rolle. Ihre lokalen Routen sind bei weitem nicht spezifisch genug, um die Änderung zu bemerken.

Wenn Sie sich dazu entschließen, Ihre IP-Adresse zu ändern, werden Router an anderer Stelle nicht plötzlich auf diese Tatsache aufmerksam. Die Verkehrszeichen ändern sich nicht.

Chris McKeown
quelle
13
Das ist ein wirklich guter Vergleich.
Freund von Kim
Ich spreche davon, von Zeichen verwirrt zu sein. Ich weiß nicht, ob Großbritannien so ist, aber in den USA ist es nicht ungewöhnlich, ein Zeichen zu haben, bevor man auf eine Autobahn fährt, die hundert Meilen entfernt für eine Stadt wirbt. Als ich ein Kind war, fand ich das verwirrend, da man vielleicht in Schottland war und auf der Autobahn erwartete, dass London die nächste Stadt sein würde ...
Michael
14
@Michael In Großbritannien ist es nicht ungewöhnlich, Zeichen zu sehen , die tatsächlich einfach "Der Süden" sagen .
EP
2
Es gibt auch die Idee einer Standardroute auf Verkehrsschildern: "Alle Richtungen" oder "Andere Richtungen". In Frankreich fanden wir eine Kreuzung, die beide Zeichen hatte, aber in verschiedene Richtungen wies;)
MSalters
21

Betrachten Sie die Analogie Ihrer Hausadresse. Eines Tages beschließen Sie, Ihre Adresse von "123 First Street" in "1600 Pennsylvania Avenue" zu ändern. Welchen Unterschied macht es außerhalb Ihrer eigenen Grundstücksgrenzen? Keine - weil sich der Rest der Welt immer noch so verhält, als hätte sich der physische Standort Ihres Hauses nicht geändert, der Name Ihrer Straße hat sich nicht geändert, der Name der Stadt hat sich nicht geändert, die Postleitzahl hat sich nicht geändert. . Du hast die Idee.

E-Mails, Pakete usw. werden basierend auf ihrem Standort im Adressnetzwerk Ihrer Community an Ihr Haus "weitergeleitet". Die Nummer Ihres Hauses (Computer) an sich ist nur die letzte und letzte Station (Netzwerksprung). Alles auf dem Weg muss übereinstimmen, muss synchronisiert werden und du kontrollierst nur das Ende des Pfades.

Sie können Ihr Haus (oder Ihren Computer) nummerieren, was immer Sie möchten, aber damit der Netzwerkverkehr weiterhin fließt, müssen Sie dies in Übereinstimmung mit Ihrer Umgebung tun. Um Ihre Hausadresse zu ändern, müssten Sie die Hausnummer ändern UND die Bürokratie bitten, den Namen Ihrer Straße UND den Namen Ihrer Stadt UND Ihre Postleitzahl zu ändern. Um Ihre IP-Adresse in eine Adresse zu ändern, die außerhalb Ihres zugewiesenen Blocks liegt, müssen Sie deren Nummer ändern UND Ihren Upstream-Anbieter dazu bringen, Ihren zugewiesenen Block zu ändern UND dessen Router so zu ändern, dass dieser Block an Sie weitergeleitet wird, UND dies über BGP an bewerben ihre Routing-Kollegen.

In beiden Fällen synchronisieren Sie Ihre Änderungen mit der Außenwelt, sodass die Außenwelt weiß, wie Sie zu finden sind. Andernfalls kann der Netzwerkverkehr Sie nicht mehr finden. Die einzige Entität, die von Ihrer Adressänderung betroffen ist, sind Sie. Was architektonisch gesehen gut ist!

AndroidNewbie
quelle
10

Eine gegebene ISP könnte eine beliebige Adresse zu jedem Client zuweisen. Adressen sind jedoch nur insofern nützlich, als zwischen ihnen und anderen Adressen Pakete weitergeleitet werden können. Ein ISP, der Adressen außerhalb des von ICANN zugewiesenen Bereichs zuweist, erhält entweder keine Pakete von / zu dieser Adresse oder verursacht an anderer Stelle im Internet Routingfehler. Dies ist die Art von Dingen, die passieren, wenn einige der nationalen Internet-Zensoren oder -Filter versagen oder wenn ISPs der höchsten Ebene ihre Routing-Informationen falsch konfigurieren.

Sie könnten also einen internen Server mit denselben Adressen wie Google.com, army.mod.uk usw. einrichten. Sie würden jedoch wahrscheinlich keine Pakete erhalten, die für diese Hosts bestimmt sind, zumindest nicht von außerhalb Ihres Routings planen.

mpez0
quelle
6

Wenn Sie ein ISP sind, können Sie ganze IP-Bereiche stehlen. Die Anbieter und große Unternehmen und dergleichen haben sogenannte autonome Systeme, die durch "AS" und einen 16-Bit-Integer-Wert gekennzeichnet sind. Diese Systeme kommunizieren mit anderen Systemen. Sie benötigen ein Protokoll, um den anderen Systemen mitzuteilen, welche IPs sie besitzen und mit welchem ​​anderen AS sie verbunden sind, und auch einige "Kosten" für die Verbindung. Zwischen AS ist dies normalerweise BGP .

Das Problem ist, dass dies immer noch hauptsächlich auf Vertrauen beruht. Wenn ein Provider mitteilt, dass er nun den IP-Space von Google besitzt und die Kosten sehr gering sind, senden alle anderen Systeme Traffic für Google an diesen Provider. Dies geschah beispielsweise mit Youtube, als pakistanische Beamte versuchten, es in Pakistan zu blockieren. Es gibt noch keine echte technische Lösung. Das funktioniert im Grunde immer noch. Die meisten Anbieter haben von einem automatischen zu einem halbautomatischen Prozess gewechselt, in dem sie einige Kriterien für Routenänderungen definieren, die von anderen Anbietern angekündigt wurden, wenn sie von einem Menschen überprüft werden müssen. Aber das Internet ist einfach zu groß, um alles zu überprüfen. Sie haben also Regeln wie "Wenn der AS zuvor etwas Schlimmes getan hat, überprüfe es manuell".

Also nein, Sie als normale Person können keine IP stehlen. Wenn Sie jedoch ein ausreichend großer Anbieter sind, können Sie ganze IP-Bereiche für mindestens Stunden, wenn nicht sogar Tage, stehlen. Wenn Sie dies nur für sehr kleine Subnetze tun und versuchen, den Datenverkehr auf das eigentliche Ziel umzuleiten, können Sie sogar mit einem Mann davonkommen, der sich mitten im Angriff befindet, ohne dass jemand etwas davon merkt.

Es gibt natürlich auch einen Wikipedia-Artikel !

Wenn Sie herumspielen möchten, ist das BGP-Info-Tool von Hurricane Electric ein guter Anfang . Es gibt auch ein grafisches Tool. Sie können die AS-Nummer Ihres Providers eingeben, die Ihnen die Site dort mitteilt, und die Peerings anzeigen, die Ihr Provider verwendet.

Josef
quelle
5

"Konnte der ISP ISPs verwalten, die er nicht gekauft hat?"

Die Kommunikation erfolgt im Wesentlichen wie folgt: PC zum Zielcomputer (entweder ein Router oder direkt zum Zielcomputer - bestimmt vom sendenden Computer durch Vergleich seiner IP-Adresse und seiner Subnetzmaske. Befindet sich das Ziel nicht im selben Subnetz, wird es an dieses gesendet den Router für das Routing).

Wenn ein Router ein Paket zum Weiterleiten empfängt, trifft er eine ähnliche Entscheidung basierend auf allen Subnetzen, mit denen er direkt verbunden ist. Es wählt aus, welches Subnetz das Paket über seine "Routing-Tabelle" weiterleiten soll. Hinweis: Die Routing-Tabelle auf dem Client-Computer wurde im ersten Schritt verwendet - versuchen Sie CMD: "Route Print" unter Windows.

Beim letzten Router im Prozess, dem mit der Ziel-IP-Adresse in einem der angeschlossenen Subnetze, sendet der Router über seine MAC-Adresse direkt an den Host (möglicherweise nach Verwendung von RARP).

Daher werden IP-Adressen verwendet, um zwischen den Routern zu routen, und die Router können auf der Grundlage begrenzter Sätze von Informationen auf eine bestimmte Weise routen. Die Router geben Informationen über Routenänderungen (Verfügbarkeit des Netzwerk-Subnetzes) dynamisch weiter, aber "sie können dies auf authentifizierte Weise tun". Ich kann nicht kommentieren, ob die Authentifizierung erzwungen wird.

Wenn ein ISP IP-Adressen an Hosts über DHCP oder auf andere Weise "freigibt", müssen die Routentabelle-Daten für eine erfolgreiche bidirektionale Kommunikation vorhanden sein. Es wäre trivial, einen betrügerischen ISP zu identifizieren. Selbst wenn es einen Vertrauensansatz auf verschiedenen Ebenen gäbe, wäre das Zensieren von Routing-Aktualisierungen vom ISP immer noch trivial.

Martin O'Keefe
quelle
4

Die Registrierung der IP-Adresse wird in einem lokalen Netzwerk durch einen Router geregelt. Bei DHCP fragt ein Computer, ob eine IP-Adresse vom Router angefordert werden soll, und ihm wird eine zugewiesen. Sobald Sie jedoch Ihr lokales Netzwerk verlassen möchten, wird Ihre IP von Ihrem ISP zugewiesen. Es gibt Möglichkeiten, die IP-Adresse zu fälschen, von der ein Paket stammt. Sobald es jedoch einen der Router des Internetdienstanbieters erreicht, wird die IP-Adresse durch die eigene Adresse ersetzt. Das einzige, was gleich bleibt, ist die MAC-Adresse, die ebenfalls gefälscht werden kann. Da Ihre IP-Adresse jedoch beim ersten Router ersetzt wird, können Sie nur eingeschränkte Aktionen ausführen.

Um Ihnen eine kurze Antwort zu geben, weist der ISP alles auf einer Pipe der registrierten IP-Adresse zu. Es ist so, als würde ich dir sagen, du sollst eine Karte auswählen und es gibt nur eine Karte. Lokale und öffentliche IP-Adressen sind vollständig getrennt.

Weitere Informationen finden Sie unter http://en.wikipedia.org/wiki/IP_address_spoofing

Gefallen
quelle
1
Vielen Dank für eine gute Antwort. Ich denke jedoch nicht daran, dass ich die IP in meinem privaten Netzwerk ändere. Ich spreche von Unternehmen, die sich direkt mit dem Internet verbinden, wie zum Beispiel Internet-Server-Unternehmen. Um Ihr Beispiel fortzusetzen. Könnte der ISP anfangen, IPs zu verteilen, die er nicht gekauft hat?
Freund von Kim
1
Ich glaube, am höchsten ISP teir, ist dieses System auf Vertrauen aufgebaut. Aber ich bin mir nicht sicher. Weitere Informationen: en.wikipedia.org/wiki/Tier_1_network , en.wikipedia.org/wiki/…
Gefallen
5
Diese Antwort ist in einigen Punkten falsch. Es wird davon ausgegangen, dass jeder NAT verwendet, was nicht der Fall ist. NAT und Routing verschmelzen. Und die Aussage, die MAC-Adresse zu behalten, während die Quell-IP-Adresse verworfen wird, ist so ziemlich das Gegenteil von dem, was passiert, wenn ein Paket ein Gateway durchquert.
JdeBP
NAT ist an meiner Antwort beteiligt, aber auch ohne NAT würde es nichts an der Tatsache ändern, dass die vom ISP zugewiesene IP-Adresse die IP in den Paketen ersetzen würde. Sofern die ISPs nicht nach Treu und Glauben davon ausgehen, dass die IPs korrekt sind und sie nicht ändern.
Gefallen
@Fallen: Mine überprüft IP-Adressen, berührt sie aber überhaupt nicht. Entweder ist die IP-Adresse falsch und das Paket wird verworfen oder es wird weitergeleitet. Ich persönlich kenne nicht viele ISPs, die IPs umschreiben, aber ich verstehe, dass dies in Asien häufiger vorkommt (fehlende IPv4-Adressen)
MSalters
4

Sie können eine beliebige IP-Adresse für die von Ihnen gesendeten Pakete "verwenden", die Beschränkung bezieht sich jedoch auf die Pakete, die Sie erhalten.

"Kaufen" eines IP-Adressbereichs bedeutet, dass eine Reihe anderer Personen ihre Router so konfigurieren, dass Pakete, die an diesen IP-Adressbereich gesendet werden, einen Schritt näher an Sie weitergeleitet werden und schließlich ein Gerät erreichen, das Sie selbst steuern. Es geht um eine Menge von Routing - Tabellen mit Listen zu sagen (etwas vereinfacht) beibehalten „xxx.yyy. . Nach links gesendete, xxx.zzz. . Nach rechts gesendete“.

Wenn Sie eine beliebige Adresse "einfach greifen", erhalten Sie ein erstes Paket, wenn Sie sich mit www.google.com in Verbindung setzen möchten. Das Antwortpaket wird jedoch entsprechend der Konfiguration an den eigentlichen Eigentümer weitergeleitet, und Sie haben gewonnen sehe es nicht. Wenn Sie eine Adresse Ihres Nachbarn beim selben Internetdienstanbieter abgerufen haben, ist der Router des Internetdienstanbieters in Ihrer Nähe so konfiguriert, dass alle diese Nachrichten an Ihren Nachbarn und nicht an Sie gesendet werden. Wenn Sie sich eine zufällige Adresse geholt haben, wird sie höchstwahrscheinlich an einen anderen Ort der Welt gesendet, und die Antwort kommt Ihrem ISP nicht einmal nahe.

Es ist wie bei der Post, wenn Sie in Pjöngjang leben, aber E-Mails erhalten möchten, die an "1600 Pennsylvania Ave NW, Washington, DC 20500, USA" gerichtet sind, müssen Sie (mindestens) einen der Postdienste überzeugen zwischen dem Absender und dem Adressinhaber, um solche Nachrichten auf Ihre Weise zu versenden. Dies ist möglich, wenn sich alle Absender in einem internen Firmennetz befinden. aber das war wahrscheinlich nicht die frage.

Peter ist
quelle
2

Die DHCP-Funktion (Dynamic Host Configuration Protocol) des Routers, mit dem eine Person verbunden ist, um eine IP-Adresse innerhalb eines bestimmten Bereichs zuzuweisen. Sie können nicht einfach nach einer bestimmten IP-Adresse fragen. Soweit ich weiß, kann eine Person eine IP-Adresse nicht "fälschen".

Peter Fowler
quelle
1
Vielen Dank für eine gute Antwort. Ich denke jedoch nicht daran, dass ich die IP in meinem privaten Netzwerk ändere. Ich spreche von Unternehmen, die sich direkt mit dem Internet verbinden, wie zum Beispiel Internet-Server-Unternehmen. Um Ihr Beispiel fortzusetzen. Könnte der ISP anfangen, IPs zu verteilen, die er nicht gekauft hat?
Freund von Kim
1
Tatsächlich können Sie über DHCP nach einer bestimmten Adresse fragen. Es liegt jedoch am Server, ob er Ihrer Anfrage zustimmt.
BRPocock
@ Peter, er fragt was, wenn Sie der DHCP sind.
Pacerier