Вот сценарий. Я представлял университет, который купил ряд IP-адресов. Я думаю, что они все еще были бы внутри ISP (верно?), Но у них была бы свобода настраивать вещи так, как они хотели.
Что мешает им приписать свои маршрутизаторы и хосты, которые уже используют IP-адреса?
И что будет, если действительно кто-то сделает это?
Ответы:
Скорее всего, если они большой университет, они являются их собственным интернет-провайдером, использующим BGP для подключения своей сети к Интернету через несколько восходящих сетей.
Ничто не мешает им использовать IP-адреса, которые они не должны использовать, и это будет работать в их локальной сети. Тем не менее, это не будет работать в Интернете. В их восходящих сетях, обеспечивающих связь, должны быть установлены фильтры, которые позволят университету объявлять только назначенные им IP-адреса. Если прямые восходящие потоки не будут их фильтровать, восходящие потоки будут. И если IP-адреса, используемые другой сетью, будут использоваться университетом, эта другая сеть станет недоступной из университетской сети.
Кроме того, существует ряд проектов (например, RIPE RIS и BGPmon ), которые отслеживают таблицы маршрутизации и оповещают о любой «незаконной» рекламе IP ( перехваты BGP и аномалии маршрутизации).
источник
Ничего такого. На протяжении многих лет я видел, как обе организации всех размеров, как государственные, так и частные, делали это, в том числе всемирно известная компания-бренд. На самом деле, я видел это чаще в бизнес-условиях, чем в университетах (в основном из-за того, что больше университетов были вовлечены в Интернет раньше и помогли определить стандарты и лучшие практики, используемые сегодня).
Сегодня, скорее всего, ничто иное, как организация, не способная охватить те участки Интернета, которые они перекрывают. В прошлом подобные вещи вызывали серьезные проблемы, в том числе «взлом интернета» для некоторых или многих пользователей (в одном случае один провайдер случайно передавал маршрут по умолчанию в интернет, перегружая свою собственную сеть как можно большей частью интернет-трафика. попытался проложить через них).
Прошлые инциденты, подобные тем, которые вы предлагаете, стали возможностями для обучения и привели к лучшим практикам, которые включают защиту от этого типа неправильной конфигурации. В настоящее время чаще всего провайдеры внедряют BCP38 / RFC2827 для фильтрации трафика между подключенными организациями только по IP-адресу, который они должны рекламировать.
Некоторые провайдеры по-прежнему также используют фильтрацию Богона, которая при правильном обслуживании помогает предотвратить трафик из пространства IP, из которого не должен поступать действительный трафик (т. Е. Диапазоны частных адресов, неназначенное пространство IP и т. Д.). Хотя список богонов IPv4 сегодня намного меньше, чем в прошлом (т. Е. Большинство адресов IPv4 теперь назначены), список богонов IPv6 все еще может быть весьма полезным, особенно для крупных поставщиков, чтобы ограничить область приседания IP (т. Е. Используя неназначенный IP). Космос).
источник
Ничто не помешает им использовать адреса на своих машинах.
Что произойдет, если они попытаются рекламировать их в Интернете, зависит от того, насколько неряшливы их провайдеры. Если их провайдеры следуют передовым методам, тогда будут фильтры, и реклама не выйдет за границы угонщика.
OTOH, если их провайдеры и провайдеры провайдеров неаккуратны, то ложное объявление может пойти гораздо дальше, что приведет к значительным нарушениям для законных владельцев пространства IP.
Такие события почти наверняка будут замечены, и, скорее всего, будут жаркие дискуссии и добавлена дополнительная фильтрация.
источник
Предположим, у меня есть две машины. Я назначаю адрес 1.2.3.4 одному и 1.2.3.5 другому. Я не владею этими адресами.
Пока я не пытаюсь подключиться к Интернету, эти две машины могут без проблем общаться друг с другом.
Теперь я подключаюсь к Интернету. Другие ответы говорят о фильтрах, блокирующих вещи, но давайте на мгновение проигнорируем это.
Моя машина 1.2.3.4 пытается подключиться к какому-либо законному адресу, например 12.34.56.78. Предположим, что этот адрес существует и контролируется его владельцем.
Итак, моя машина отправляет пакет:
С 1.2.3.4, Кому: 12.34.56.78, Содержание: Хотите дружить? (Переведено на человека)
Маршрутизаторы смотрят на часть To: и правильно доставляют ее до 12.34.56.78. Эта машина ничего не подозревает и соответствует ответу
От: 12.34.56.78, До: 1.2.3.4, Содержание: Конечно, давайте дружить!
Теперь доходит до проблемы. Этот ответ никогда не будет доставлен вам. Вместо этого он будет доставлен в реальный 1.2.3.4, который станет очень смущенным.
Таким образом, если вы используете неправильный адрес, вы можете поговорить с Интернетом, но Интернет никогда не ответит вам.
источник
Это внутренне затемнит большие образцы Интернета
Конечно. Допустим, они используют обычные внутренние IP-адреса для своей сети, например 10.xxx. Вы знаете, как выполнять преобразование сетевых адресов на границе своей сети, как в вашей домашней сети.
За исключением того, что они решили, что 10.xxx слишком ограничен для них, и они начинают назначать общедоступные IP-адреса внутренне. Сначала это сработает. Но тогда начнут появляться проблемы.
Это вопрос времени, когда кто-то использует 172.217.15.68 для лабораторной машины. Это один из IP-адресов, которые DNS разрешает для www.google.com. Теперь, иногда, когда кто-то из университета пытается выполнить поиск в Google, вместо этого его веб-браузер переходит на этот лабораторный компьютер . Поскольку внутренние маршрутизаторы не смогут понять, что существует два 172.217.15.68, один внутренний и один внешний; они просто перенаправят ваши пакеты на внутренний.
IP-блоки, назначенные внутри, не могут маршрутизироваться извне
Но это еще хуже. Они назначили целый сетевой блок, поэтому все 172.217.xx / 16 будут направлены в эту лабораторию. Скорее всего, вы не затрете каждый IP-адрес Google, но многие поиски не пройдут. Для небольших компаний, таких как Craigslist, где все их адреса находятся в одном и том же сетевом блоке, если университет назначит этот сетевой блок внутренне, весь сайт будет заблокирован холодным способом.
Это ни на кого не повлияет вне внутренней сети университета. Внешние поставщики не примут университетское переназначение IP-пространства Google. Единственным трафиком, направляемым в университет, будут публичные IP-адреса, которыми владеет университет.
Просто используйте вместо этого IPv6
Если вы зарегистрируетесь в Comcast, вам дадут / 64 ваших собственных. Если вы хорошо спросите, я слышал, что они просто передадут вам / 48. Но, скажем, вы получаете только / 64, а затем точно делаете сюжет RevOlution и создаете самовоспроизводящиеся наниты, которые потребляют электричество, в том же количестве, что и обсуждаемое на шоу. Достаточно ли у вас адресов IPv6, чтобы каждый нанит имел свой собственный?
Да. И достаточно запасных частей, чтобы сделать это на 2 миллионах параллельных земель.
Так что, если вы действительно беспокоитесь об исчерпании IP-адресов, это путь.
источник
Как утверждают многие другие, ничто не мешает кому-либо сделать это, но в целом это не окажет никакого влияния за пределами организации и даже вызовет проблемы внутри компании.
Теперь, если вы сами являетесь провайдером и начинаете говорить другим, что именно вы используете их для маршрутизации этих IP-адресов (используя протокол маршрутизации, такой как BGP), то эти IP-адреса «частично» станут вашими на некоторое время. Частично, потому что, когда проблема замечена, будут приняты меры, чтобы остановить это. «На время», ну, пока не будут приняты меры.
Инциденты с BGP происходили в прошлом, в результате чего трафик направлялся в неправильные места. Вот ссылка на недавний инцидент: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Вы можете ищите "утечка маршрута BGP", чтобы узнать больше.
Интернет много работает на доверии. Все меняется медленно, но во многих случаях интернет-провайдеры просто доверяют другим интернет-провайдерам.
источник