Мне трудно понять, как руководящий орган назначает IP-адреса, компании используют BGP для рекламы этих IP-адресов и как работает интернет. Тогда, где, черт возьми, DNS входит?
Может кто-нибудь предложить хорошее прочтение о том, как на самом деле работает этот материал? Я полагаю, у меня есть несколько вопросов. Во-первых, имеет ли значение ARIN (или любой другой руководящий орган) на самом деле? Если бы их не было рядом, был бы хаос? Когда они назначают блок, они НЕ буквально назначают его? Вы должны использовать BGP для рекламы, правильно? Я всегда привык к закрытой хостинговой среде (выделенной / совместно используемой), где вы маршрутизировали IP-адреса.
Тогда как DNS входит в игру? С моим регистратором я могу зарегистрировать DNS-сервер (eNom) - что это на самом деле означает? Я установил Bind и сделал все это, и я запускаю свои собственные DNS-серверы, но у кого они регистрируют этот DNS-сервер? Я просто не понимаю
Я чувствую, что это то, что я должен знать, и я не знаю, и я очень расстроен. Это как ... просто .. как работает интернет? От назначения IP-адресов до компаний, которые их маршрутизируют, и DNS.
Я думаю, у меня есть пример - у меня есть это пространство IP, скажем, 158.124.0.0/16 (пример). Компания имеет 158.124.0.0/17 интернет-облицовки. (Прежде всего, почему компании назначают блоки IP-адресов, а затем не используют их? Почему они не используют зарезервированное внутреннее пространство 10.x и 192.x?). Итак, вот где я. Что бы я сделал, чтобы эти IP-адреса были доступны в Интернете и доступны? Допустим, у меня есть дата-центр в Чикаго и один в Нью-Йорке. Я не могу загрузить изображение, но могу связать его здесь: http://begolli.com/wp-content/gallery/tech/internetworkings.png
Я просто пытаюсь понять, как с того момента, когда назначается блок IP, компании, использующей BGP (получение публичного AS #?), И как DNS начинает играть?
Как бы выглядело что-то из моей картины? Я пытался составить сценарий, не уверенный, сделал ли я хорошую работу.
Ответы:
Арендованные IP-блоки
IANA в блоках присваивает IP-адреса региональным интернет-реестрам (RIR). Смотрите это ( список и карта ) RIR. Затем RIR сдают в аренду IP-адреса меньших блоков отдельным компаниям (обычно ISP). Существуют требования (включая сборы и подтверждение использования) для получения дистрибутива, и несоблюдение этих требований означает потерю аренды.
После того как компания арендует один или несколько блоков у RIR, им необходимо каким-то образом сообщить остальному миру, где найти конкретный IP (или его набор: подсети). Это где BGP вступает в игру. BGP использует концепцию большой сети, называемой автономной системой (AS). AS знает, как прокладывать маршрут внутри себя. При маршрутизации в другую сеть он знает только о шлюзах AS и о том, где «следующий переход» к этим внешним адресам. Номера AS также управляются IANA .
Внутри AS, даже такого большого, как ISP, они могут использовать несколько протоколов маршрутизации (RIP, OSPF, BGP, EIGRP и ISIS) для внутренней маршрутизации трафика. Также возможно использование статических таблиц маршрутизации, но в большинстве случаев это нецелесообразно. Внутренние протоколы маршрутизации - огромная тема, поэтому я упрощу, сказав, что есть другие вопросы о сбое сервера, которые могут сделать эти темы более справедливыми, чем я могу здесь.
DNS
Люди плохо запоминают числа, поэтому мы придумали имена хостов. Пропустив историю, мы используем систему имен доменов (DNS), чтобы отслеживать, какое имя хоста указывает на какой IP-адрес. Для них существует центральный реестр, который также управляется IANA, и они определяют, какие домены верхнего уровня (TLD) (например, «.com» или «.net») отправляются в корневую зону, которая обслуживается корневыми серверами. IANA делегирует администрирование «корневой зоны», этот администратор принимает обновления только от квалифицированных регистраторов.
Вы можете использовать Регистратора для «покупки» доменного имени, которое является поддоменом TLD. Эта регистрация по существу создает этот поддомен и назначает вам контроль над его записями Name Server (NS) и Glue (A). Вы указываете это на DNS-сервер, на котором размещен ваш домен . Когда клиент хочет разрешить ваш IP из доменного имени, он связывается со своим DNS-сервером, который выполняет рекурсивный поиск, начиная с корневого сервера, находя ваш DNS-сервер и в конечном итоге получая соответствующую информацию.
Все согласны
Что касается «руководящих органов»: все просто соглашаются ими пользоваться. Нет (или очень мало) законов, обязывающих кого-либо сотрудничать вообще. Интернет работает, потому что люди хотят сотрудничать . Руководящие органы обеспечивают легкое сотрудничество. Все различные RFC, «Стандарты» и тому подобное - никто не вынужден их использовать. Но мы понимаем, что общество построено на сотрудничестве, и это в наших собственных интересах.
Эффективность, порождаемая сотрудничеством, является той же самой причиной, по которой BGP популярен, и все в основном соглашаются использовать его. Во времена ArpaNet они начали с настроенных вручную таблиц маршрутов; затем постепенно перешел к более всеобъемлющей системе, поскольку Интернет стал более сложным, но все просто «согласились» использовать любой новый стандарт. Точно так же разрешение имен указывалось для файлов хоста, которые сети будут распространять, и в конечном итоге превратилось в систему DNS, которую мы знаем сегодня. («Согласовано» в кавычках, потому что много раз меньшинство устанавливало требование к новому стандарту, и ни у кого больше не было лучшей альтернативы, поэтому это было принято).
Доверять
Такой уровень сотрудничества требует большого доверия IANA. Как вы видели, они управляют большинством ядер различных систем. IANA в настоящее время является некоммерческой корпорацией, спонсируемой правительством США (аналогично почтовому отделению США), она не является частью правительства, хотя ее едва ли удаляют. В прошлые годы существовало опасение, что правительство США может осуществлять некоторый контроль над IANA как «оружием» против правительств других стран или гражданских лиц (особенно посредством таких законов, как SOPA и PIPA, которые не были приняты, но могут стать основой для будущих законов). ,
В настоящее время IANA взяла на себя задачу мобилизовать финансирование (несмотря на то, что является некоммерческой компанией) путем создания новых TLD. TLD "xxx" рассматривался некоторыми как кампания по сбору средств в стиле вымогателей, поскольку большой процент владельцев регистраций "защищал" свое имя. IANA также приняла заявки на частные ДВУ (по 180 000 долл. США за каждое; они приостановили процесс подачи заявок после того, как были заполнены приложениями, причем почти половина из них поступила только от Amazon. Многие из этих заявок привели к появлению новых рДВУ .
источник
Вся реклама в общедоступном интернете, DFZ (зона по умолчанию), осуществляется через BGP (протокол пограничного шлюза), в зависимости от того, как интернет-провайдеры выполняют внутреннюю маршрутизацию. Большинство из них будет использовать BGP как внутри, так и между своими маршрутизаторами (BGP часто используется в сочетании с IGP, таким как OSPF), а также с клиентами, если у вас нет собственного номера AS, вы можете использовать частный AS для взаимодействия с ваш провайдер, и когда они объявляют ваше адресное пространство DFZ, они просто удаляют частный AS из as-path. Для небольших не избыточных соединений вы можете использовать статическую маршрутизацию также на PE. Фактическое «назначение» есть только в базе данных вашего регистратора, в базе данных whois, RIPE / ARIN и т. Д. Для этого используются собственные базы данных.
Попробуйте запустить команду
whois 158.124.0.0/16
на компьютере с Linux.То же самое относится и к DNS, обратный DNS-сервер указан в записях whois.
источник
Это очень старый вопрос, но у меня было много таких же вопросов, чтобы выяснить, как работает Интернет . Как и другие ответы, сетевые книги дают обзор BGP и DNS, но все же оставляют меня в замешательстве. Например, a.root-servers.net через m.root-servers.net указаны как корневые серверы, но как служба DNS узнает, где найти эти серверы, если они сами не могут использовать DNS.
Предполагается, что основы IP, подсетей, DNS и т. Д. Известны из этого ответа. Я обращаюсь к "пробелам", которые я, и, вероятно, спрашивающий, имею о том, как работает Интернет. Я ни в коем случае не эксперт, но это мое понимание пробелов.
IP-адреса
Первое, что нужно отметить, это то, что когда Интернет начинался как ARPANET, все знали всех, и таблицы маршрутизации для IP-адресов были закодированы вручную. Я предполагаю, что процесс назначения для IP был сделан по телефону. Поскольку Интернет стал слишком большим, BGP использовался несколькими сетями (AS) для рекламы того, что они имеют общедоступные IP-адреса или могут получить общедоступный IP-адрес через свою AS к другой AS. Было доверие, что AS не будет рекламировать IP, которого у них нет.
Сегодня доверия не так много. Вместо этого интернет-провайдеры могут загружать и проверять подлинность распределения IP-адресов для каждой AS из IANA и региональных властей. Эти загрузки теперь проверены с помощью криптографии с открытым ключом. Поэтому, когда IANA «назначает IP-адрес», они меняют свою запись (или действительно региональная власть меняет свою запись). Все остальные AS могут загружать и аутентифицировать свои записи.
Эти записи важны, потому что интернет-провайдеры не могут взять слово других интернет-провайдеров, что у них есть IP-адреса. Интернет-провайдеры могут сравнивать рекламу BGP с аутентифицированными записями IP. Если какое-либо объявление BGP показывает последний AS как AS, отличный от того, что содержится в аутентифицированной записи IANA и RIR, объявление BGP не меняет свою собственную маршрутизацию.
Чаще всего мошеннические интернет-провайдеры или AS могут объявить, что у них есть маршрут через AS, которого у них нет. AS1 имеет зарегистрированный IP-адрес, и AS5 в настоящее время использует AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 объявляет AS5 маршрут AS5 -> AS2 -> AS1 -> IP. За исключением того, что AS2 на самом деле не имеет связи с AS1. Он может просто потерять пакеты, может расстроить клиентов AS1. Или AS2 может быть сетью небольшой компании с многосетевой компоновкой с AS5 и AS1. Их маршрутизатор неправильно настроен и объявляет путь через сеть небольшой компании. Почти все интернет-провайдеры выбрасывают такую рекламу своих клиентов BGP и передают только расторгающую рекламу BGP.
Скорее всего, у вас есть случай, когда Пакистан пытается отключить Youtube в Пакистане с помощью подобного захвата IP-адресов, а также отключить Youtube за пределами Пакистана, поскольку AS за пределами Пакистана предположил, что их рекламные объявления BGP были правильными.
В конце концов, не существует идеальной защиты от таких угонов IP-адресов. В большинстве стран, таких как США, такое злоупотребление BGP может быть наказано как нарушение контракта, и другие интернет-провайдеры прервут пиринговые соединения с этой AS, если это будет необходимо. Интернет-провайдер также может игнорировать все устройства IANA и RIR и перенаправлять IP-адреса на свои собственные серверы. Это не будет работать для любых сайтов https, при условии, что у интернет-провайдера нет секретных ключей для каких-либо ЦС. Экономически очень мало от этого можно извлечь. Это происходит только с авторитарными правительствами, такими как Египет, недавно закрывший всю рекламу BGP для своих интернет-провайдеров за пределами страны.
DNS-серверы
DNS несколько проще, если IP-таблицы верны. Все корневые серверы - это жестко прописанные IP-адреса в коде DNS-сервера. a.root-servers.net - 198.41.0.4, а IP-адрес - произвольный в пределах одной AS. В случае a.root-servers.net AS является Verisign, и существует пять разных сайтов. В США двумя сайтами являются Нью-Йорк и Лос-Анджелес. Anycasting - это как если бы у вас был адрес главной улицы 123, и вы сказали: «Неважно, в каком городе вы находитесь, перейдите на главную улицу 123, и вы найдете один из моих предприятий». И 123 Main Street в Нью-Йорке, и Лос-Анджелес дадут одинаковый ответ для всех доменов верхнего уровня. AS, в данном случае Verisign, самостоятельно определяет, какой сервер имеет наименьшее количество переходов через OSPF, внутренний BGP и другие протоколы маршрутизации. Таким образом, маршрутизатор в Денвере может отправиться в Лос-Анджелес, а маршрутизатор в Чикаго - в Нью-Йорк.
Один из корневых серверов дает какой IP-адрес для домена верхнего уровня com. Затем этот домен дает домен для yoursite.com. Регистраторы действительно имеют договор с тем, кто управляет доменом верхнего уровня. Таким образом, если домен верхнего уровня в настоящее время не имеет записи для yoursite.com, у него есть доступ, чтобы добавить запись со своим сервером «кто есть». Затем, получив доступ регистратора к DNS-записям yoursite.com, вы изменяете записи на их DNS-сервере для перехода на свой IP-адрес.
Поскольку DNS все зависит от нескольких IP-адресов, идущих в нужное место, у вас возникает та же проблема, что и раньше, когда AS аутентифицирует реестр IP, а затем присваивает BGP. Это ключевой элемент для веб-сайта http. Https имеет дополнительную защиту сертификатов. Таким образом, интернет-провайдер не может перенаправлять запросы на свои собственные корневые серверы и серверы домена верхнего уровня, чтобы предоставить свой собственный IP, скажем, для citibank.com. В противном случае IP-адрес, предоставленный пользователю, будет другим IP-адресом, но на его сервере не будет закрытого ключа Ситибанка.
источник
и нет, я не шучу (я начал эту книгу 15 лет назад, но она все еще очень актуальна): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749
Тогда, возвращайся сюда с вопросами BGP =)
источник