O que impede alguém de configurar sua rede com endereços IP que não possui?


22

Aqui está o cenário. Eu estava imaginando uma universidade que comprou vários endereços IP. Eu acho que eles ainda estariam dentro de um ISP (certo?), Mas teriam liberdade para configurar as coisas da maneira que quisessem.

O que os impede de atribuir seus roteadores e hosts já em uso endereços IP?

E o que aconteceria se alguém fizesse isso?


6
As universidades eram os ISPs originais. A Internet foi um experimento acadêmico / governamental colaborativo. De fato, a Internet pública é simplesmente um grupo de provedores de serviços de Internet consultando outros provedores de sua própria escolha. O governo, procurando uma maneira de manter as comunicações em andamento em caso de desastre (por exemplo, guerra nuclear, entre outras coisas), financiou as universidades e as empresas de telecomunicações (na época AT&T, não a que você conhece hoje, que era a única telco real) para desenvolver um método para manter as comunicações quando um caminho foi destruído e resultou na troca de pacotes e na Internet.
Ron Maupin

1
No Reino Unido, por exemplo, o JISC supervisiona as alocações de rede para as universidades.
Pare de prejudicar Monica

Nada. Mas é claro que isso não é um problema com o IPv6.
Restabelecer Monica - M. Schröder

Respostas:


32

Provavelmente, se eles são uma grande universidade, eles são seus próprios ISPs, usando o BGP para conectar sua rede à Internet através de várias redes upstream.

Nada os impede de usar endereços IP que eles não deveriam estar usando, e isso funcionaria na rede local. No entanto, não funcionará na Internet. Suas redes upstream, fornecendo conectividade, devem ter filtros instalados, o que permitiria apenas à universidade anunciar os endereços IP atribuídos a eles. Se os upstreams diretos não os filtrarem, os upstreams dos upstreams o farão. E se os endereços IP, que estão em uso por outra rede, fossem usados ​​pela universidade, essa outra rede se tornaria inacessível a partir da rede da universidade.

Além disso, existem vários projetos (por exemplo, RIPE RIS e BGPmon ) que monitoram tabelas de roteamento e alertam sobre qualquer anúncio IP "ilegal" ( seqüestros de BGP e anomalias de roteamento).


11
Infelizmente até hoje deveria ter ainda não significa ter
Josef

7
@ Josef Para ser justo, o BGP foi construído em um tempo de "confiança implícita" - todo proprietário de nó da Internet conhecia todos os outros proprietários de nó da internet, então eles sabiam quem era o dono e o que havia conseqüências sociais para o seqüestro. O BGP nunca foi realmente projetado para ser "seguro", apenas foi projetado para funcionar.
410_Gone 18/01

2
Os ISPs geralmente melhoram a filtragem do BGP, porque houve algumas interrupções importantes bem divulgadas devido a alguém (intencional ou acidentalmente) anunciar uma rota falsa.
Barmar 18/01

1
Eu acrescentaria que eles provavelmente seriam prejudicados por seus vizinhos.
PEdroArthur 18/01

1
Se eles usarem o IP de outra pessoa internamente, ele funcionará para acessar o site, mas isso significa que qualquer coisa hospedada no verdadeiro proprietário desse IP estará inacessível.
Loren Pechtel 19/01

12

O que os impede de atribuir seus roteadores e hosts já em uso endereços IP?

Nada. Ao longo dos anos, vi organizações de todos os tamanhos, públicas e privadas, fazer isso, incluindo uma empresa de "marca" reconhecida em todo o mundo. De fato, eu já vi isso mais frequentemente em ambientes empresariais do que em universidades (em grande parte devido ao fato de mais universidades estarem envolvidas na Internet anteriormente e ajudar a definir os padrões e as melhores práticas usadas hoje).

E o que aconteceria se alguém fizesse isso?

Hoje, provavelmente nada além de a organização não conseguir alcançar partes da Internet sobrepostas. No passado, esse tipo de coisa causava problemas sérios, incluindo "quebrar a Internet" para alguns ou muitos usuários (em um caso, um único ISP propagou acidentalmente uma rota padrão para a Internet, sobrecarregando sua própria rede e o tráfego da Internet. tentou passar por eles).

Incidentes anteriores, como os que você propõe, se tornaram oportunidades de aprendizado e resultaram em práticas recomendadas que incluem proteções contra esse tipo de configuração incorreta. Atualmente, os provedores implementam o BCP38 / RFC2827 para filtrar o tráfego das organizações conectadas apenas para o endereço IP que deveriam estar anunciando.

Alguns provedores ainda implementam a filtragem de bogon que, quando mantida adequadamente, ajuda a impedir o tráfego do espaço IP de onde não deve haver tráfego válido (por exemplo, intervalos de endereços privados, espaço IP não atribuído etc.). Embora a lista de bogons IPv4 seja muito menor hoje em dia do que no passado (ou seja, a maioria dos endereços IPv4 agora estão atribuídos), a lista de bogons IPv6 ainda pode ser bastante útil, especialmente em grandes provedores para limitar o escopo de ocupação de IP (ou seja, usar IP não atribuído espaço).


8

Nada os impedirá de usar os endereços em suas próprias máquinas.

O que acontece se eles tentarem divulgá-los na Internet depende de quão desleixados são seus provedores. Se seus fornecedores estiverem seguindo as melhores práticas, haverá filtros e os anúncios não ultrapassarão as fronteiras do seqüestrador.

OTOH, se seus provedores e seus provedores forem desleixados, um anúncio falso pode ir muito além, resultando em perturbações significativas para os legítimos proprietários do espaço IP.

Esses acontecimentos quase certamente serão notados e provavelmente haverá algumas discussões acaloradas e alguns filtros extras adicionados.


6

Suponha que eu tenho duas máquinas. Atribuo o endereço 1.2.3.4 a um e 1.2.3.5 ao outro. Eu não possuo esses endereços.

Enquanto eu não tentar a Internet, essas duas máquinas poderão se comunicar sem problemas.

Agora eu me conecto à Internet. As outras respostas falam sobre filtros que bloqueiam as coisas, mas vamos ignorar isso por um momento.

Minha máquina 1.2.3.4 tenta se conectar a algum endereço legítimo, como 12.34.56.78. Suponha que esse endereço exista e seja controlado pelo seu proprietário.

Então, minha máquina envia um pacote:

De 1.2.3.4, a: 12.34.56.78, conteúdo: quer ser amigo? (Traduzido para humanos)

Os roteadores examinam a parte Para: e a entregam corretamente para 12.34.56.78. Esta máquina não suspeita de nada e cumpre uma resposta

De: 12.34.56.78, Para: 1.2.3.4, Conteúdo: Claro, vamos ser amigos!

Agora chega ao problema. Esta resposta nunca será entregue a você. Em vez disso, será entregue ao 1.2.3.4 real , que ficará muito confuso.

Portanto, se você usar um endereço errado, poderá conversar com a Internet, mas a Internet nunca responderá.


4
"a Internet nunca responderá" se você anunciar os endereços falsos pelo BGP e ninguém bloquear seus anúncios, então grandes partes da Internet poderão muito bem responder, pelo menos até que alguém perceba o que está acontecendo.
Peter Green

2
Qualquer provedor decente implementará o BCP38, de modo que sua tentativa de "conversar com a internet" terminará em seu filtro anti-falsificação.
Teun Vink

O que você descreve não é uma tentativa não-funcional de conectar-se à Internet, mas de fato um possível ataque do DOS ao 1.2.3.4 real (e talvez também 12.34.56.78). É por isso que os filtros mencionados por TeunVink estão (espero) em vigor
Hagen von Eitzen

@HagenvonEitzen: Esses são filtros completamente diferentes. Teun está falando sobre o bloqueio de anúncios de rota validando protocolos de troca de rota como o BGP. Para evitar DDoS de falsificação de origem, você precisa de filtragem de caminho inverso em pacotes que nada têm a ver com troca de rota.
Ben Voigt

2

Isso ocultaria internamente grandes amostras da Internet

Certo. Digamos que eles usem internamente endereços IP privados em suas redes, como 10.xxx. Você sabe o que é a tradução de endereços de rede na borda da rede, assim como sua rede doméstica.

Exceto que eles decidiram que 10.xxx é muito restritivo para eles e começaram a atribuir endereços IP públicos internamente. Funcionará, em primeiro lugar. Mas então os problemas começarão a aparecer.

É uma questão de tempo até que alguém use 172.217.15.68 para uma máquina de laboratório. É um dos endereços IP que o DNS resolve para www.google.com. Agora, às vezes, quando alguém dentro da universidade tenta fazer uma pesquisa no Google, o navegador da web acessa a máquina do laboratório . Como os roteadores internos não teriam capacidade de conceber que existem dois 172.217.15.68, um interno e outro externo; eles simplesmente direcionariam seus pacotes para o interno.

Blocos IP atribuídos internamente não podem ser roteados externamente

Mas é pior que isso. Eles atribuíram um netblock inteiro, para que todos os 172.217.xx / 16 sejam roteados para esse laboratório. É provável que você não tenha acesso a todos os IPs do Google, mas muitas pesquisas falham. Para roupas menores, como o Craigslist, onde todos os endereços estão no mesmo bloqueio de rede, se a universidade atribuísse esse bloqueio de rede internamente, todo o site seria bloqueado.

Isso não afetará ninguém fora da rede interna da universidade. Fornecedores externos não aceitarão a reatribuição da universidade do espaço IP do Google. O único tráfego roteado para a universidade serão os endereços IP públicos que a universidade possui.

Basta usar o IPv6

Se você se inscrever na Comcast, eles lhe darão um / 64. Se você perguntar bem, ouvi dizer que eles apenas entregam a você / 48. Mas digamos que você só obtenha um / 64 e, em seguida, faça exatamente o gráfico do RevOlution e crie nanites auto-replicantes que consomem eletricidade, na mesma quantidade discutida no programa. Você tem endereços IPv6 suficientes para cada nanite ter seu próprio?

Sim. E peças de reposição suficientes para fazer isso em 2 milhões de terras paralelas.

Portanto, se você está realmente preocupado com a falta de endereços IP, esse é o caminho a percorrer.


2

Como afirmado por muitos outros, nada impede que alguém o faça, mas, em geral, isso não terá nenhum efeito fora da organização e até causará problemas internamente.

Agora, se você é um ISP e começa a dizer aos outros que você é o único a usar para rotear esses IPs (usando um protocolo de roteamento como o BGP), esse IP "parcialmente" se tornará seu por um tempo. Em parte, porque quando o problema é percebido, medidas serão tomadas para detê-lo. "Por um tempo", bem, até que as medidas sejam tomadas.

Incidentes com BGP aconteceram no passado, fazendo com que o tráfego fosse roteado para lugares errados. Aqui está um link para um incidente recente: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Você pode procure "vazamento de rota BGP" para saber mais.

Internet funciona muito com confiança. As coisas estão mudando lentamente, mas em muitos casos, os ISPs confiam apenas em outros ISPs.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.