是什么阻止他们分配给已经在使用中的IP地址的路由器和主机? >
#1 楼
如果他们是一所大大学,则很可能是他们自己的ISP,使用BGP通过许多上游网络将其网络连接到Internet。使用,它将在他们的本地网络中工作。但是,它不能在Internet上运行。他们的上游网络为它们提供连接,应该设置适当的过滤器,这只会允许大学公布分配给他们的IP地址。如果直接的上游不对它们进行过滤,则上游的上游将进行过滤。如果大学将使用另一个网络使用的IP地址,则该另一个网络将无法从大学网络访问。此外,还有许多项目(针对例如RIPE RIS和BGPmon),它们监视路由表并就任何“非法” IP公告(BGP劫持和路由异常)发出警报。
评论
可悲的是,即使在今天,仍然应该仍然不意味着拥有
–约瑟夫说恢复莫妮卡
19年1月18日在13:05
@Josef公平地说,BGP是在“隐式信任”时期建立的-每个Internet节点所有者都知道其他每个Internet节点所有者,因此他们知道谁拥有所有权,并且对劫持产生了社会后果。 BGP从未真正被设计为“安全的”,而是被设计为可以工作的。
– Der Kommissar
19年1月18日在14:47
ISP通常在过滤BGP方面做得更好,因为由于某人(有意或无意)发布了虚假路由而引起了一些广为宣传的重大中断。
– Barmar
19年1月18日在17:27
我要补充一点,他们可能会被邻居吓坏了。
– PEdroArthur
19年1月18日在19:23
如果他们在内部使用他人的IP,它将可以访问该站点,但这意味着在该IP的真正所有者上托管的任何内容都将无法访问。
–Loren Pechtel
19年1月19日在2:18
#2 楼
是什么阻止他们将其路由器和主机分配给已在使用的IP地址?
什么都没有。多年来,我已经看到各种规模的公共和私人组织都在这样做,其中包括一家享誉全球的“品牌”公司。实际上,我在企业环境中比在大学环境中更经常看到这种情况(很大程度上是由于越来越多的大学更早地参与了Internet并帮助定义了当今使用的标准和最佳实践)。
如果确实有人这样做,会发生什么呢?过去,这种情况已经引起了严重的问题,包括为一些或许多用户“破坏了Internet”(在一种情况下,单个ISP意外地将默认路由传播到Internet,从而使他们自己的网络超载,使Internet流量增加了)试图通过它们进行路由。)
像您建议的那样,过去的事件成为学习的机会,并产生了最佳实践,其中包括针对此类错误配置的保护措施。如今,提供商通常会采用BCP38 / RFC2827来过滤到连接的组织的流量,使其仅过滤其应发布的IP地址。没有有效流量的空间(例如,专用地址范围,未分配的IP空间等)。尽管今天的IPv4绑定列表要比过去小得多(即现在已分配了大多数IPv4地址),但IPv6绑定列表仍然非常有用,特别是在大型提供商上,以限制IP抢注的范围(即使用未分配的IP空间)。
#3 楼
没有什么可以阻止他们使用自己计算机上的地址的。如果他们的提供商遵循最佳实践,那么将会有适当的过滤器,并且广告不会超出劫机者的边界。进一步造成对IP空间合法所有者的重大破坏。几乎肯定会注意到这种情况,并且可能会进行一些激烈的讨论并添加一些额外的过滤条件。
#4 楼
假设我有两台机器。我将地址1.2.3.4分配给一个,将1.2.3.5分配给另一个。
我没有这些地址。
我不尝试连接Internet,这两台机器可以相互通信而没有任何问题。
现在我已连接到Internet。其他答案是关于过滤器阻止事物的信息,但让我们暂时忽略它。假定此地址存在并由其适当的所有者控制。
因此,我的机器发送了一个数据包:
从1.2.3.4,到:12.34.56.78,内容:想成为朋友? (已翻译成人类)
路由器会查看“收件人:”部分,并将其正确传送到12.34.56.78。这台机器没有任何怀疑,并符合答案。
来自:12.34.56.78,至:1.2.3.4,内容:当然,让我们成为朋友!这个答案将永远不会传递给您。相反,它将被传递给真实的1.2.3.4,后者将变得非常困惑。
因此,如果使用错误的地址,则可以与Internet通讯,但是Internet永远不会回答您。
评论
如果您通过BGP发布虚假地址并且没人阻止您的公告,那么“ Internet永远不会回答您”,那么Internet的大部分都可能很好地回答您,至少直到有人意识到发生了什么。
– Peter Green
19年1月18日在13:49
任何体面的ISP都会实施BCP38,因此您“与互联网交谈”的尝试将以其反欺骗过滤器结束。
– Teun Vink♦
19年1月18日在14:49
您进行的技巧并不是连接互联网的不可行方法,而是实际上对真正的1.2.3.4(也许还有12.34.56.78)的DOS攻击。这就是TeunVink提到的过滤器(希望)到位的原因
–哈根·冯·埃岑
19年1月19日在22:47
@HagenvonEitzen:那些是完全不同的过滤器。 Teun在谈论通过验证路由交换协议(例如BGP)来阻止路由通告。为了防止源欺骗DDoS,您需要对与路由交换无关的数据包进行反向路径过滤。
– Ben Voigt
19年1月20日在6:00
#5 楼
它将在内部屏蔽Internet的大样本。当然。假设他们做了在网络内部使用私有IP地址(例如10.x.x.x)的常见操作。
除了他们认为10.x.x.x对他们来说过于严格之外,他们开始在内部分配公共IP地址。首先,它将起作用。但是随后问题就会开始出现。
有人将172.217.15.68用于实验室机器是一个时间问题。这是DNS解析www.google.com的IP地址之一。现在,有时,当大学内部的某人尝试在Google上进行搜索时,他们的网络浏览器会转到该实验室机器。因为内部路由器无法想象有两个172.217.15.68,一个是内部,一个是外部。他们只会将您的数据包路由到内部数据包。
内部分配的IP块不能在外部路由
,但是比这更糟。他们分配了整个网络块,因此所有172.217.x.x / 16都将路由到该实验室。您可能不会破坏每个Google IP,但是很多搜索都会失败。对于像Craigslist这样的小型公司,它们的所有地址都在同一个网络块中,如果大学在内部分配了该网络块,则整个站点将被冷屏蔽。
这不会影响大学内部网络之外的任何人。外部提供商不会接受大学对Google IP空间的重新分配。路由到该大学的唯一流量将是该大学拥有的公共IP地址。
仅使用IPv6
如果您注册Comcast,他们会给您自己的/ 64。如果您问的很好,我听说他们会给您/ 48。但是,假设您只得到一个/ 64,然后精确地绘制RevOlution的图,并创建可以自我复制的,消耗电能的纳米晶,其数量与展示中讨论的相同。您是否有足够的IPv6地址让每个Nanite拥有自己的IPv6地址?
是的。还有足够的备用资源可以在200万个并行地球上进行此操作。
#6 楼
正如许多其他人所说,没有什么可以阻止任何人这样做,但是总的来说,这对组织外部没有任何影响,甚至会在内部造成问题。现在,如果您您自己是ISP,然后开始告诉其他人您是用来路由此IP的人(使用诸如BGP之类的路由协议),然后这些IP将“部分”成为您的IP。部分原因是,当发现问题后,将采取措施将其停止。好的,直到采取措施为止。
过去曾发生过BGP事件,导致流量被路由到错误的地方。这是最近事件的链接:https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/
您可以搜索“ BGP路由泄漏”以了解更多信息。
Internet信任度很高。事情变化缓慢,但是在许多情况下,ISP只是信任其他ISP。
评论
大学是最初的ISP。互联网是学术/政府合作的实验。实际上,公共Internet只是一堆与自己选择的其他ISP对等的ISP。政府正在寻找一种在发生灾难(例如核战争等)时保持通讯畅通的方法,并为大学和电信公司(当时是AT&T,而不是今天您所知道的人)提供资金真正的电信公司)设计一种在路径被破坏时维护通信的方法,从而导致数据包交换和Internet。例如,在英国,JISC监督大学的网络分配。
没有。但这当然不是IPv6的问题。
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以提供并接受自己的答案。