Bagaimana sebenarnya alamat IP ditugaskan?

Saya mengalami kesulitan memahami bagaimana badan pengelola memberikan alamat IP, perusahaan menggunakan BGP untuk mengiklankan IP tersebut, dan bagaimana internet bekerja. Lalu, di mana DNS masuk?

Adakah yang bisa menyarankan agar membaca dengan baik tentang bagaimana hal ini sebenarnya bekerja? Saya kira saya punya beberapa pertanyaan. Yang pertama adalah, apakah ARIN (atau badan pengatur lainnya) benar-benar penting? Jika mereka tidak ada, apakah akan ada kekacauan? Ketika mereka menetapkan blok, mereka tidak secara harfiah menetapkannya? Anda harus menggunakan BGP untuk beriklan, benarkan? Saya selalu terbiasa dengan lingkungan hosting tertutup (khusus / bersama) di mana Anda memiliki IP yang dialihkan.

Lalu, bagaimana DNS masuk untuk bermain? Dengan registrar saya, saya dapat mendaftarkan server DNS (eNom) - apa artinya itu? Saya telah menginstal Bind dan membuat semua itu berfungsi, dan saya menjalankan server DNS saya sendiri, tetapi dengan siapa mereka mendaftarkan server DNS itu? Saya tidak mengerti.

Saya merasa ini adalah sesuatu yang harus saya ketahui dan tidak, dan saya menjadi sangat frustrasi. Ini seperti .. sederhana .. bagaimana cara kerja internet? Dari menetapkan IP, ke perusahaan yang merutekannya, dan DNS.

Saya kira saya punya contoh - saya punya ruang IP ini katakanlah 158.124.0.0/16 (contoh). Perusahaan memiliki 158.124.0.0/17 menghadap ke internet. (Pertama-tama, mengapa perusahaan mendapatkan blok IP yang ditugaskan dan kemudian tidak menggunakannya? Mengapa mereka tidak menggunakan ruang internal yang dicadangkan 10.x dan 192.x?). Jadi, di situlah saya berada. Apa yang akan saya lakukan untuk benar-benar mendapatkan IP ini di Internet dan tersedia? Katakanlah saya memiliki pusat data di Chicago dan satu di New York. Saya tidak dapat mengunggah gambar, tetapi saya dapat menautkannya di sini: http://begolli.com/wp-content/gallery/tech/internetworkings.png

Saya hanya mencoba memahami bagaimana dari kapan blok IP ditugaskan, ke perusahaan yang menggunakan BGP (mencapai AS # publik?), Dan kemudian bagaimana DNS masuk untuk bermain?

Akan seperti apa sesuatu dari gambar saya? Saya sudah mencoba menyusun skenario, tidak yakin apakah saya melakukan pekerjaan dengan baik.

Sewa IP Blok

IP ditugaskan dalam blok oleh IANA ke Regional Internet Registries (RIR). Lihat ini ( daftar dan peta ) RIR. RIR kemudian menyewakan blok IP yang lebih kecil ke masing-masing perusahaan (biasanya ISP). Ada persyaratan (termasuk biaya dan bukti penggunaan) untuk mendapatkan distribusi dan gagal mempertahankan ini berarti kehilangan sewa.

Begitu sebuah perusahaan telah menyewa satu atau lebih blok dari RIR, mereka perlu cara untuk memberi tahu seluruh dunia di mana menemukan IP tertentu (atau mengaturnya: subnet). Di sinilah BGP berperan. BGP menggunakan konsep jaringan besar yang disebut Sistem Autonomous (AS). AS tahu bagaimana merutekan dalam dirinya sendiri. Ketika merutekan ke jaringan lain hanya tahu tentang AS Gateways dan di mana "hop berikutnya" menuju alamat eksternal tersebut. Angka AS juga dikelola oleh IANA .

Di dalam AS, bahkan yang sebesar ISP, mereka mungkin menggunakan beberapa protokol routing (RIP, OSPF, BGP, EIGRP, dan ISIS datang ke pikiran) untuk merutekan lalu lintas secara internal. Dimungkinkan juga untuk menggunakan Tabel Routing Statis, tetapi sepenuhnya tidak praktis di sebagian besar aplikasi. Protokol perutean internal adalah topik besar, jadi saya akan menyederhanakan dengan mengatakan ada pertanyaan lain tentang Kesalahan Server yang dapat melakukan topik-topik itu lebih adil daripada yang saya bisa di sini.

DNS

Manusia tidak mengingat angka dengan baik, jadi kami menemukan nama host. Melewati riwayat, kami menggunakan Sistem Penamaan Domain (DNS) untuk melacak apa nama host yang menunjuk ke alamat IP apa. Ada registry pusat untuk ini, juga dikelola oleh IANA, dan mereka menentukan apa Top Level Domains (TLD) (mis. ".Com" atau ".net") masuk dalam Zona Root, yang dilayani oleh Root Server. IANA mendelegasikan administrasi "root zone", administrator ini hanya menerima pembaruan dari Pencatat yang memenuhi syarat.

Anda dapat menggunakan Registrar untuk "membeli" nama domain, yang merupakan subdomain dari TLD. Registrasi ini pada dasarnya membuat subdomain itu dan memberi Anda kendali atas catatan Server Nama (NS) dan Lemnya (A). Anda mengarahkan ini ke server DNS yang meng-host domain Anda . Ketika klien ingin menyelesaikan IP Anda dari nama domain, klien menghubungi server DNS mereka yang melakukan pencarian rekursif, dimulai dengan server root, menemukan server DNS Anda dan akhirnya mendapatkan informasi yang relevan.

Semua orang setuju

Adapun "badan pemerintahan": semua orang hanya setuju untuk menggunakannya. Tidak ada (atau sangat sedikit) hukum yang mengharuskan siapa pun untuk bekerja sama sama sekali. Internet berfungsi karena orang memilih untuk bekerja sama . Badan-badan pemerintahan menyediakan sarana kerja sama yang mudah. Semua berbagai RFC, "Standar", dan sebagainya - tidak ada yang dipaksa untuk menggunakannya. Tetapi kami memahami bahwa masyarakat dibangun atas dasar kerjasama, dan demi kepentingan kami sendiri untuk melakukannya.

Efisiensi yang ditimbulkan oleh kerja sama adalah alasan yang sama BGP populer, semua orang pada dasarnya setuju untuk menggunakannya. Pada zaman ArpaNet mereka mulai dengan tabel rute yang dikonfigurasikan dengan tangan; kemudian secara bertahap berkembang ke sistem yang lebih komprehensif ketika Internet tumbuh dalam kompleksitas, tetapi semua orang hanya "setuju" untuk menggunakan standar baru apa pun. Demikian pula resolusi nama dinyatakan dengan file host yang akan didistribusikan jaringan, dan akhirnya tumbuh menjadi sistem DNS yang kita kenal sekarang. ("Setuju" dalam tanda kutip karena berkali-kali minoritas menetapkan persyaratan untuk standar baru dan tidak ada orang lain yang memiliki alternatif yang lebih baik, sehingga diterima).

Kepercayaan

Tingkat kerja sama ini membutuhkan banyak kepercayaan pada IANA. Seperti yang Anda lihat mereka mengelola sebagian besar inti berbagai sistem. IANA saat ini adalah perusahaan nirlaba yang disponsori oleh Pemerintah AS (mirip dengan Kantor Pos AS), itu bukan bagian dari pemerintah, meskipun hanya nyaris dihapus. Dalam beberapa tahun terakhir ada kekhawatiran bahwa Pemerintah AS akan melakukan kontrol atas IANA sebagai "senjata" terhadap pemerintah atau warga sipil dunia lainnya (terutama melalui undang-undang seperti SOPA dan PIPA, yang tidak disahkan, tetapi mungkin menjadi dasar untuk undang-undang di masa depan) .

Saat ini IANA telah mengambil sendiri untuk mengumpulkan dana (meskipun menjadi perusahaan nirlaba ) melalui penciptaan TLD baru. TLD "xxx" dipandang oleh sebagian orang sebagai kampanye penggalangan dana gaya-pemeras, karena sebagian besar pendaftar "membela" nama mereka. IANA juga telah mengambil aplikasi untuk TLD milik pribadi (masing-masing $ 180.000; mereka telah menangguhkan proses aplikasi setelah dibanjiri dengan aplikasi, hampir setengahnya berasal dari Amazon saja. Banyak dari aplikasi ini menghasilkan gTLD baru .

Semua iklan ke internet publik, DFZ (Default-Free Zone), dilakukan melalui BGP (Border Gateway Protocol), bagaimana ISP melakukan routing internal sangat bervariasi. Sebagian besar akan menggunakan BGP secara internal baik di antara router mereka sendiri (BGP sering digunakan bersama dengan IGP seperti OSPF) dan juga dengan klien, jika Anda tidak memiliki nomor AS Anda sendiri, Anda dapat menggunakan AS pribadi untuk ditemani. ISP Anda dan ketika mereka mengumumkan ruang alamat Anda ke DFZ, mereka cukup menghapus AS pribadi dari as-path. Untuk tautan non-redundan yang lebih kecil, Anda juga dapat menggunakan perutean statis pada PE. "Tugas" yang sebenarnya hanya ada di database registrar Anda, database whois, RIPE / ARIN dll. Menjalankan database mereka sendiri untuk tujuan ini.

Coba jalankan perintah whois 158.124.0.0/16pada kotak Linux.

Sama halnya dengan DNS, server DNS terbalik ditentukan dalam catatan whois.

Ini adalah pertanyaan yang sangat lama, tetapi saya memiliki banyak pertanyaan yang sama dalam mencari tahu bagaimana Internet bekerja . Seperti jawaban lainnya, buku-buku jaringan memberikan gambaran umum tentang BGP dan DNS tetapi masih membuat saya bingung. Sebagai contoh, a.root-servers.net melalui m.root-servers.net diberikan sebagai root server, tetapi bagaimana layanan DNS tahu di mana menemukan server-server itu jika mereka tidak dapat menggunakan DNS sendiri.

Dasar-dasar IP, subnetting, DNS, dll. Diasumsikan diketahui oleh jawaban ini. Saya membahas "celah" yang saya miliki, dan mungkin si penanya, tentang cara kerja Internet. Bukan berarti saya seorang ahli, tetapi ini adalah pemahaman saya tentang kesenjangan.

Alamat IP

Hal pertama yang perlu diperhatikan adalah bahwa ketika Internet dimulai sebagai ARPANET, semua orang tahu semua orang dan tabel perutean untuk alamat IP dikodekan dengan tangan. Saya menganggap proses penugasan untuk IP dilakukan melalui telepon. Ketika Internet menjadi terlalu besar, BGP digunakan oleh beberapa jaringan (AS) untuk mengiklankan mereka memiliki IP publik atau bisa mendapatkan IP publik melalui AS mereka ke AS lain. Kepercayaan ada di sana bahwa AS tidak akan mengiklankan IP yang tidak mereka miliki.

Hari ini, tidak ada kepercayaan sama sekali. Sebaliknya, ISP dapat mengunduh dan mengotentikasi alokasi IP untuk setiap AS dari IANA dan otoritas regional. Unduhan ini sekarang diautentikasi melalui kriptografi kunci publik. Jadi ketika IANA "memberikan alamat IP," mereka mengubah catatan mereka (atau benar-benar otoritas regional mengubah catatan mereka). Semua AS lainnya dapat mengunduh dan mengotentikasi catatan mereka.

Catatan-catatan ini penting karena ISP tidak dapat mengambil kata dari ISP lain bahwa mereka memiliki alamat IP. ISP dapat membandingkan iklan BGP dengan catatan IP yang diautentikasi. Jika ada iklan BGP yang menunjukkan AS terakhir sebagai AS selain apa yang ada dalam catatan terotentikasi IANA dan RIR, iklan BGP tidak mengubah perutean mereka sendiri.

Lebih umum, ISP atau AS yang nakal dapat mengiklankan bahwa mereka memiliki rute melalui SA yang tidak mereka miliki. AS1 memiliki IP yang terdaftar dan AS5 saat ini menggunakan AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 mengiklankan ke AS5 rute AS5 -> AS2 -> AS1 -> IP. Kecuali AS2 sebenarnya tidak memiliki koneksi dengan AS1. Itu hanya bisa kehilangan paket, mungkin untuk menggagalkan pelanggan hosting AS1. Atau AS2 dapat berupa jaringan perusahaan kecil dengan pengaturan multihomed dengan AS5 dan AS1. Perute mereka salah konfigurasi dan mengiklankan jalur melalui jaringan perusahaan kecil. Hampir semua ISP membuang iklan pelanggan BGP mereka dan hanya menghentikan iklan BGP.

Kemungkinan besar, Anda memiliki kasus Pakistan yang mencoba mematikan Youtube di Pakistan melalui pembajakan IP semacam itu, dan mematikan Youtube di luar Pakistan juga karena AS di luar Pakistan menganggap iklan BGP mereka benar.

Pada akhirnya, tidak ada pertahanan yang sempurna terhadap pembajakan IP semacam itu. Di sebagian besar negara seperti AS, penyalahgunaan BGP seperti itu dapat dihukum sebagai pelanggaran kontrak dan ISP lain akan mematikan koneksi mengintip dengan AS jika mereka harus. ISP juga dapat mengabaikan seluruh perangkat IANA dan RIR dan mengarahkan alamat IP ke server mereka sendiri. Itu tidak akan berfungsi untuk situs https apa pun, dengan asumsi ISP tidak memiliki kunci pribadi untuk CA apa pun. Sangat sedikit yang bisa diraih secara ekonomis. Ini hanya terjadi dengan pemerintah otoriter, seperti Mesir baru-baru ini mematikan semua iklan BGP ke ISP mereka dari luar negeri.

Server DNS

DNS agak lebih sederhana setelah tabel IP benar. Root server semua alamat IP hardcorded dalam kode server DNS. a.root-servers.net adalah 198.41.0.4 dan alamat IP disiarkan dalam satu AS. Dalam kasus a.root-servers.net, AS adalah Verisign dan ada lima situs yang berbeda. Di AS, kedua situs tersebut adalah New York dan LA. Anycasting seperti jika Anda memiliki alamat 123 Main Street dan Anda berkata, "Tidak masalah di kota mana Anda berada, pergi ke 123 Main Street dan Anda akan menemukan salah satu bisnis saya." 123 Main Street di NY dan LA akan memberikan jawaban yang sama untuk semua domain tingkat atas. AS, dalam hal ini Verisign, mengetahui secara internal server mana yang memiliki hop paling sedikit melalui OSPF, BGP internal, dan protokol perutean lainnya. Jadi router di Denver dapat pergi ke LA sedangkan router di Chicago pergi ke New York.

Salah satu server root memberikan alamat IP mana untuk domain tingkat atas com. Kemudian domain itu memberikan domain untuk yoursite.com Anda. Pendaftar benar-benar memiliki kontrak dengan siapa pun yang menjalankan domain tingkat atas. Jadi, jika domain tingkat atas saat ini tidak memiliki catatan untuk yoursite.com, ia memiliki akses untuk menambahkan catatan dengan server siapa mereka. Kemudian, dengan akses pendaftar memberi Anda ke catatan DNS yoursite.com, Anda mengubah catatan di server DNS mereka untuk pergi ke alamat IP Anda.

Karena DNS semua tergantung pada beberapa alamat IP yang menuju ke tempat yang tepat, Anda memiliki masalah yang sama seperti sebelumnya dengan AS mengotentikasi registri IP dan kemudian penugasan BGP. Itu adalah bagian penting untuk situs web http. Https memiliki perlindungan sertifikat tambahan. Jadi, ISP tidak dapat mengalihkan permintaan untuk root server dan server domain tingkat atas untuk memberikan IP sendiri untuk, katakanlah, citibank.com. Jika mereka melakukannya, alamat IP yang diberikan kepada pengguna akan menjadi alamat IP yang berbeda, tetapi server mereka tidak akan memiliki kunci pribadi Citibank.

dan tidak, saya tidak bercanda (saya mulai dengan buku ini 15 tahun yang lalu, tetapi masih sangat relevan): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Kemudian, kembali ke sini dengan pertanyaan BGP =)