O que impede alguém de configurar sua rede com endereços IP que não possui?

Aqui está o cenário. Eu estava imaginando uma universidade que comprou vários endereços IP. Eu acho que eles ainda estariam dentro de um ISP (certo?), Mas teriam liberdade para configurar as coisas da maneira que quisessem.

O que os impede de atribuir seus roteadores e hosts já em uso endereços IP?

E o que aconteceria se alguém fizesse isso?

Provavelmente, se eles são uma grande universidade, eles são seus próprios ISPs, usando o BGP para conectar sua rede à Internet através de várias redes upstream.

Nada os impede de usar endereços IP que eles não deveriam estar usando, e isso funcionaria na rede local. No entanto, não funcionará na Internet. Suas redes upstream, fornecendo conectividade, devem ter filtros instalados, o que permitiria apenas à universidade anunciar os endereços IP atribuídos a eles. Se os upstreams diretos não os filtrarem, os upstreams dos upstreams o farão. E se os endereços IP, que estão em uso por outra rede, fossem usados ​​pela universidade, essa outra rede se tornaria inacessível a partir da rede da universidade.

Além disso, existem vários projetos (por exemplo, RIPE RIS e BGPmon ) que monitoram tabelas de roteamento e alertam sobre qualquer anúncio IP "ilegal" ( seqüestros de BGP e anomalias de roteamento).

O que os impede de atribuir seus roteadores e hosts já em uso endereços IP?

Nada. Ao longo dos anos, vi organizações de todos os tamanhos, públicas e privadas, fazer isso, incluindo uma empresa de "marca" reconhecida em todo o mundo. De fato, eu já vi isso mais frequentemente em ambientes empresariais do que em universidades (em grande parte devido ao fato de mais universidades estarem envolvidas na Internet anteriormente e ajudar a definir os padrões e as melhores práticas usadas hoje).

E o que aconteceria se alguém fizesse isso?

Hoje, provavelmente nada além de a organização não conseguir alcançar partes da Internet sobrepostas. No passado, esse tipo de coisa causava problemas sérios, incluindo "quebrar a Internet" para alguns ou muitos usuários (em um caso, um único ISP propagou acidentalmente uma rota padrão para a Internet, sobrecarregando sua própria rede e o tráfego da Internet. tentou passar por eles).

Incidentes anteriores, como os que você propõe, se tornaram oportunidades de aprendizado e resultaram em práticas recomendadas que incluem proteções contra esse tipo de configuração incorreta. Atualmente, os provedores implementam o BCP38 / RFC2827 para filtrar o tráfego das organizações conectadas apenas para o endereço IP que deveriam estar anunciando.

Alguns provedores ainda implementam a filtragem de bogon que, quando mantida adequadamente, ajuda a impedir o tráfego do espaço IP de onde não deve haver tráfego válido (por exemplo, intervalos de endereços privados, espaço IP não atribuído etc.). Embora a lista de bogons IPv4 seja muito menor hoje em dia do que no passado (ou seja, a maioria dos endereços IPv4 agora estão atribuídos), a lista de bogons IPv6 ainda pode ser bastante útil, especialmente em grandes provedores para limitar o escopo de ocupação de IP (ou seja, usar IP não atribuído espaço).

Nada os impedirá de usar os endereços em suas próprias máquinas.

O que acontece se eles tentarem divulgá-los na Internet depende de quão desleixados são seus provedores. Se seus fornecedores estiverem seguindo as melhores práticas, haverá filtros e os anúncios não ultrapassarão as fronteiras do seqüestrador.

OTOH, se seus provedores e seus provedores forem desleixados, um anúncio falso pode ir muito além, resultando em perturbações significativas para os legítimos proprietários do espaço IP.

Esses acontecimentos quase certamente serão notados e provavelmente haverá algumas discussões acaloradas e alguns filtros extras adicionados.

Suponha que eu tenho duas máquinas. Atribuo o endereço 1.2.3.4 a um e 1.2.3.5 ao outro. Eu não possuo esses endereços.

Enquanto eu não tentar a Internet, essas duas máquinas poderão se comunicar sem problemas.

Agora eu me conecto à Internet. As outras respostas falam sobre filtros que bloqueiam as coisas, mas vamos ignorar isso por um momento.

Minha máquina 1.2.3.4 tenta se conectar a algum endereço legítimo, como 12.34.56.78. Suponha que esse endereço exista e seja controlado pelo seu proprietário.

Então, minha máquina envia um pacote:

De 1.2.3.4, a: 12.34.56.78, conteúdo: quer ser amigo? (Traduzido para humanos)

Os roteadores examinam a parte Para: e a entregam corretamente para 12.34.56.78. Esta máquina não suspeita de nada e cumpre uma resposta

De: 12.34.56.78, Para: 1.2.3.4, Conteúdo: Claro, vamos ser amigos!

Agora chega ao problema. Esta resposta nunca será entregue a você. Em vez disso, será entregue ao 1.2.3.4 real , que ficará muito confuso.

Portanto, se você usar um endereço errado, poderá conversar com a Internet, mas a Internet nunca responderá.

Isso ocultaria internamente grandes amostras da Internet

Certo. Digamos que eles usem internamente endereços IP privados em suas redes, como 10.xxx. Você sabe o que é a tradução de endereços de rede na borda da rede, assim como sua rede doméstica.

Exceto que eles decidiram que 10.xxx é muito restritivo para eles e começaram a atribuir endereços IP públicos internamente. Funcionará, em primeiro lugar. Mas então os problemas começarão a aparecer.

É uma questão de tempo até que alguém use 172.217.15.68 para uma máquina de laboratório. É um dos endereços IP que o DNS resolve para www.google.com. Agora, às vezes, quando alguém dentro da universidade tenta fazer uma pesquisa no Google, o navegador da web acessa a máquina do laboratório . Como os roteadores internos não teriam capacidade de conceber que existem dois 172.217.15.68, um interno e outro externo; eles simplesmente direcionariam seus pacotes para o interno.

Blocos IP atribuídos internamente não podem ser roteados externamente

Mas é pior que isso. Eles atribuíram um netblock inteiro, para que todos os 172.217.xx / 16 sejam roteados para esse laboratório. É provável que você não tenha acesso a todos os IPs do Google, mas muitas pesquisas falham. Para roupas menores, como o Craigslist, onde todos os endereços estão no mesmo bloqueio de rede, se a universidade atribuísse esse bloqueio de rede internamente, todo o site seria bloqueado.

Isso não afetará ninguém fora da rede interna da universidade. Fornecedores externos não aceitarão a reatribuição da universidade do espaço IP do Google. O único tráfego roteado para a universidade serão os endereços IP públicos que a universidade possui.

Basta usar o IPv6

Se você se inscrever na Comcast, eles lhe darão um / 64. Se você perguntar bem, ouvi dizer que eles apenas entregam a você / 48. Mas digamos que você só obtenha um / 64 e, em seguida, faça exatamente o gráfico do RevOlution e crie nanites auto-replicantes que consomem eletricidade, na mesma quantidade discutida no programa. Você tem endereços IPv6 suficientes para cada nanite ter seu próprio?

Sim. E peças de reposição suficientes para fazer isso em 2 milhões de terras paralelas.

Portanto, se você está realmente preocupado com a falta de endereços IP, esse é o caminho a percorrer.

Como afirmado por muitos outros, nada impede que alguém o faça, mas, em geral, isso não terá nenhum efeito fora da organização e até causará problemas internamente.

Agora, se você é um ISP e começa a dizer aos outros que você é o único a usar para rotear esses IPs (usando um protocolo de roteamento como o BGP), esse IP "parcialmente" se tornará seu por um tempo. Em parte, porque quando o problema é percebido, medidas serão tomadas para detê-lo. "Por um tempo", bem, até que as medidas sejam tomadas.

Incidentes com BGP aconteceram no passado, fazendo com que o tráfego fosse roteado para lugares errados. Aqui está um link para um incidente recente: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Você pode procure "vazamento de rota BGP" para saber mais.

Internet funciona muito com confiança. As coisas estão mudando lentamente, mas em muitos casos, os ISPs confiam apenas em outros ISPs.