Apa yang menghentikan seseorang untuk mengkonfigurasi jaringan mereka dengan alamat IP yang bukan milik mereka?

22

Inilah skenarionya. Saya membayangkan sebuah universitas yang membeli berbagai alamat IP. Saya pikir mereka masih berada di dalam ISP (kan?), Tetapi mereka memiliki kebebasan untuk mengkonfigurasi hal-hal seperti yang mereka inginkan.

Apa yang menghentikan mereka untuk menghubungkan router dan host mereka yang sudah menggunakan alamat IP?

Dan apa yang akan terjadi jika memang seseorang melakukan ini?

router  ip  network  internet  ip-address 
Tiago Oliveira
sumber
6
Universitas adalah ISP asli. Internet adalah eksperimen akademis / pemerintah kolaboratif. Faktanya, Internet publik hanyalah sekelompok ISP yang mengintip dengan ISP lain yang mereka pilih sendiri. Pemerintah, mencari cara agar komunikasi tetap berjalan jika terjadi bencana (mis. Perang nuklir, antara lain), mendanai universitas dan telco (pada saat AT&T, bukan yang Anda kenal sekarang, yang merupakan satu-satunya Telco nyata) untuk menemukan metode untuk memelihara komunikasi ketika jalur dihancurkan, dan itu menghasilkan pengalihan paket dan Internet.
Ron Maupin
1
Di Inggris, misalnya, JISC mengawasi alokasi jaringan untuk universitas.
Stop Harming Monica
Tidak ada. Tapi tentu saja ini bukan masalah dengan IPv6.
Pasang kembali Monica - M. Schröder
Apakah ada jawaban yang membantu Anda? Jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda dapat memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

32

Kemungkinan besar jika mereka adalah universitas besar, mereka adalah ISP mereka sendiri, menggunakan BGP untuk menghubungkan jaringan mereka ke internet melalui sejumlah jaringan hulu.

Tidak ada yang menghentikan mereka untuk menggunakan alamat IP yang seharusnya tidak mereka gunakan, dan itu akan berfungsi di jaringan lokal mereka. Namun, itu tidak akan berfungsi di Internet. Jaringan hulu mereka yang menyediakan konektivitas harus memiliki filter yang hanya memungkinkan universitas mengiklankan alamat IP yang diberikan kepada mereka. Jika upstreams langsung tidak akan menyaringnya, upstreams upstreams akan. Dan jika alamat IP, yang digunakan oleh jaringan lain, akan digunakan oleh universitas, jaringan lain itu akan menjadi tidak terjangkau dari jaringan universitas.

Selain itu, ada sejumlah proyek (misalnya, RIPE RIS dan BGPmon ) yang memantau tabel perutean dan mengingatkan pada setiap iklan IP "ilegal" ( pembajakan BGP dan anomali perutean).

Teun Vink
sumber
11
Sayangnya bahkan hari ini seharusnya masih tidak berarti memiliki
Josef
7
@ Josef Agar adil, BGP dibangun pada masa "kepercayaan implisit" - setiap pemilik simpul internet tahu setiap pemilik simpul internet lainnya , sehingga mereka tahu siapa yang memiliki apa dan ada konsekuensi sosial untuk pembajakan. BGP tidak pernah benar-benar dirancang untuk menjadi "aman", itu hanya dirancang untuk bekerja.
Der Kommissar
2
ISP umumnya menjadi lebih baik dalam menyaring BGP, karena ada beberapa pemadaman besar yang dipublikasikan dengan baik karena seseorang (secara sengaja atau tidak sengaja) mengiklankan rute palsu.
Barmar
1
Saya akan menambahkan bahwa mereka mungkin akan balckholed oleh tetangga mereka.
PEdroArthur
1
Jika mereka menggunakan IP orang lain secara internal itu akan bekerja untuk mencapai situs itu, tetapi itu berarti bahwa apa pun yang di-host pada pemilik sebenarnya dari IP itu tidak akan terjangkau.
Loren Pechtel
12

Apa yang menghentikan mereka untuk menghubungkan router dan host mereka yang sudah menggunakan alamat IP?

Tidak ada. Selama bertahun-tahun, saya telah melihat kedua organisasi dari semua ukuran, baik publik maupun swasta, melakukan hal ini termasuk perusahaan "merek" yang diakui dunia. Bahkan, saya telah melihat ini lebih sering dalam pengaturan bisnis daripada pengaturan universitas (sebagian besar karena fakta bahwa lebih banyak universitas terlibat dalam Internet sebelumnya dan membantu menentukan standar dan praktik terbaik yang digunakan saat ini).

Dan apa yang akan terjadi jika memang seseorang melakukan ini?

Saat ini, kemungkinan tidak ada yang lain selain organisasi yang tidak dapat menjangkau bagian-bagian dari Internet yang mereka tumpang tindih. Di masa lalu, jenis hal ini telah menyebabkan masalah serius, termasuk "memecah Internet" untuk beberapa atau banyak pengguna (dalam satu kasus, satu ISP secara tidak sengaja menyebarkan rute default ke Internet yang membebani jaringan mereka sendiri karena banyak lalu lintas Internet mencoba rute melalui mereka).

Insiden masa lalu seperti yang Anda usulkan menjadi peluang pembelajaran dan menghasilkan praktik terbaik yang mencakup perlindungan dari jenis kesalahan konfigurasi ini. Paling sering saat ini, penyedia menerapkan BCP38 / RFC2827 untuk menyaring lalu lintas ke organisasi yang terhubung ke hanya alamat IP yang harus mereka iklankan.

Beberapa penyedia juga masih menerapkan penyaringan bogon yang bila dipelihara dengan baik membantu mencegah lalu lintas dari ruang IP yang seharusnya tidak berasal dari lalu lintas yang valid (mis. Rentang alamat pribadi, ruang IP yang tidak ditetapkan, dll.). Sementara daftar bogon IPv4 jauh lebih kecil hari ini daripada sebelumnya (yaitu sebagian besar alamat IPv4 sekarang ditugaskan), daftar bogon IPv6 masih bisa sangat berguna, terutama pada penyedia besar untuk membatasi ruang lingkup jongkok IP (yaitu menggunakan IP yang tidak ditugaskan) ruang).

YPelajari
sumber
8

Tidak ada yang akan menghentikan mereka menggunakan alamat di mesin mereka sendiri.

Apa yang terjadi jika mereka mencoba mengiklankannya ke Internet tergantung pada seberapa ceroboh penyedia mereka. Jika penyedia mereka mengikuti praktik terbaik maka akan ada filter di tempat dan iklan tidak akan melampaui batas pembajak.

OTOH jika penyedia mereka dan penyedia penyedia mereka ceroboh maka pengumuman palsu bisa lebih jauh menghasilkan gangguan yang signifikan bagi pemilik sah ruang IP.

Kejadian seperti itu hampir pasti akan diperhatikan dan kemungkinan akan ada beberapa diskusi panas dan beberapa penyaringan tambahan ditambahkan.

Peter Green
sumber
6

Misalkan saya punya dua mesin. Saya menetapkan alamat 1.2.3.4 untuk satu dan 1.2.3.5 ke yang lain. Saya tidak memiliki alamat ini.

Selama saya tidak mencoba ke Internet, kedua mesin ini dapat berbicara satu sama lain tanpa masalah.

Sekarang saya terhubung ke Internet. Jawaban lain berbicara tentang filter yang memblokir sesuatu, tetapi mari kita abaikan itu sejenak.

Mesin saya 1.2.3.4 mencoba menghubungkan ke beberapa alamat yang sah, seperti 12.34.56.78. Asumsikan bahwa alamat ini ada dan dikendalikan oleh pemiliknya yang tepat.

Jadi, mesin saya mengirim paket:

Dari 1.2.3.4, Ke: 12.34.56.78, Konten: Ingin berteman? (Diterjemahkan ke dalam manusia)

Router melihat bagian To: dan mengirimkannya dengan benar ke 12.34.56.78. Mesin ini tidak mencurigai apa pun dan tidak memenuhi jawaban

Dari: 12.34.56.78, Ke: 1.2.3.4, Konten: Tentu, mari berteman!

Sekarang sampai pada masalah. Jawaban ini tidak akan pernah dikirimkan kepada Anda. Sebaliknya itu akan dikirim ke 1.2.3.4 nyata , yang akan menjadi sangat bingung.

Jadi, jika Anda menggunakan alamat yang salah, Anda dapat berbicara ke Internet, tetapi Internet tidak akan pernah menjawab Anda.

Stig Hemmer
sumber
4
"Internet tidak akan pernah menjawab Anda" jika Anda mengiklankan alamat palsu melalui BGP dan tidak ada yang memblokir pengumuman Anda, maka sebagian besar internet mungkin akan menjawab Anda, setidaknya sampai seseorang menyadari apa yang sedang terjadi.
Peter Green
2
ISP mana pun yang layak akan menerapkan BCP38 sehingga upaya Anda untuk "berbicara dengan internet" akan berakhir dengan filter anti-spoofing mereka.
Teun Vink
Apa yang Anda deskripsikan bukanlah upaya yang tidak berfungsi untuk terhubung ke internet, tetapi pada kenyataannya serangan DOS potensial pada 1.2.3.4 nyata (dan mungkin juga 12.34.56.78). Itu sebabnya filter yang disebutkan oleh TeunVink (semoga) ada di tempat
Hagen von Eitzen
@HagenvonEitzen: Itu adalah filter yang sama sekali berbeda. Teun berbicara tentang memblokir iklan rute dengan memvalidasi protokol pertukaran rute seperti BGP. Untuk mencegah sumber-spoofing DDoS, Anda perlu penyaringan jalur balik pada paket yang tidak ada hubungannya dengan pertukaran rute.
Ben Voigt
2

Secara internal akan menghitamkan gumpalan besar Internet

Yakin. Katakanlah mereka melakukan hal yang umum menggunakan alamat IP pribadi secara internal ke jaringan mereka, seperti 10.xxx .. Anda tahu latihan, terjemahan alamat jaringan di tepi jaringan mereka, seperti halnya jaringan rumah Anda.

Kecuali mereka memutuskan 10.xxx terlalu ketat untuk mereka, dan mereka mulai menetapkan alamat IP publik secara internal. Ini akan berhasil, pada awalnya. Tetapi kemudian masalah akan mulai muncul.

Ini masalah waktu sebelum seseorang menggunakan 172.217.15.68 untuk mesin lab. Itu salah satu alamat IP yang diselesaikan DNS untuk www.google.com. Sekarang, kadang-kadang, ketika seseorang di dalam universitas mencoba melakukan pencarian di Google, browser web mereka pergi ke mesin lab itu . Karena router internal tidak akan dapat membayangkan bahwa ada dua 172.217.15.68's, satu internal dan satu eksternal; mereka hanya akan mengarahkan paket Anda ke paket internal.

Blok IP yang ditetapkan secara internal tidak dapat dirutekan secara eksternal

Tapi ini lebih buruk dari itu. Mereka menetapkan seluruh blok net, sehingga semua 172.217.xx / 16 akan merutekan ke lab itu. Anda mungkin tidak akan menentang setiap IP Google, tetapi banyak pencarian akan gagal. Untuk pakaian yang lebih kecil seperti Craigslist di mana semua alamat mereka berada di netblock yang sama, jika universitas menetapkan netblock secara internal, seluruh situs akan diblokir dingin.

Ini tidak akan memengaruhi siapa pun di luar jaringan internal universitas. Penyedia eksternal tidak akan menerima penugasan kembali universitas atas ruang IP Google. Satu-satunya traffic yang dialihkan ke universitas adalah alamat IP publik yang dimiliki universitas.

Cukup gunakan IPv6 saja

Jika Anda mendaftar untuk Comcast, mereka memberi Anda / 64 milik Anda sendiri. Jika Anda bertanya dengan baik, saya dengar mereka hanya akan memberikan Anda / 48. Tetapi katakanlah Anda hanya mendapatkan nilai / 64, dan kemudian, lakukan plot RevOlution secara tepat dan buat nanites yang mereplikasi sendiri yang memakan listrik, dalam jumlah yang sama seperti yang dibahas di acara itu. Apakah Anda memiliki alamat IPv6 yang cukup untuk setiap nanite untuk memiliki sendiri?

Iya nih. Dan cukup suku cadang untuk melakukan ini di 2 juta bumi paralel.

Jadi, jika Anda benar-benar khawatir kehabisan alamat IP, itulah cara yang harus dilakukan.

Harper - Pasang kembali Monica
sumber
2

Seperti yang dinyatakan oleh banyak orang lain, tidak ada yang mencegah siapa pun melakukannya, tetapi secara umum, ini tidak akan memiliki efek di luar organisasi, dan bahkan akan menyebabkan masalah secara internal.

Sekarang, jika Anda sendiri seorang ISP, dan mulai memberi tahu orang lain bahwa Anda adalah orang yang akan menggunakan untuk merutekan IP ini (menggunakan protokol routing seperti BGP), maka IP tersebut akan "sebagian" menjadi milik Anda, untuk sementara waktu. Sebagian, karena ketika masalah ini diperhatikan, tindakan akan diambil untuk menghentikannya. "Untuk sementara", yah, sampai langkah-langkah diambil.

Insiden dengan BGP telah terjadi di masa lalu, menyebabkan lalu lintas dialihkan ke tempat yang salah. Berikut tautan ke kejadian baru-baru ini: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Anda dapat cari "BGP route leak" untuk mempelajari lebih lanjut.

Internet berjalan banyak pada kepercayaan. Banyak hal berubah perlahan, tetapi dalam banyak hal, ISP hanya mempercayai ISP lain.

pengguna1532080
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.