Что мешает вам сменить публичный IP-адрес и нанести вред?

38

Мне был задан интересный вопрос, и я не знала, что ответить. Поэтому я спрошу здесь.

Допустим, я подписался на интернет-провайдера и использую кабельный доступ в Интернет. Интернет-провайдер дает мне публичный IP-адрес 60.61.62.63.

Что мешает мне изменить этот IP-адрес, скажем, на 60.61.62.75, и перебирать доступ другого пользователя к интернету?

Ради этого аргумента предположим, что этот другой IP-адрес также принадлежит тому же провайдеру. Также предположим, что я могу зайти в настройки кабельного модема и вручную изменить IP-адрес.

Согласно бизнес-контракту, в котором вам назначены статические адреса, вам также назначается шлюз по умолчанию, сетевой адрес и широковещательный адрес. Таким образом, это 3 адреса, которые провайдер "теряет" для вас. Это кажется очень расточительным для динамически назначаемых IP-адресов, которыми является большинство клиентов.

Могут ли они просто использовать статические arps? Списки контроля доступа? Другие простые механизмы?

Whitemage
источник
1
шлюз по умолчанию является общим для всех на одной линии, поэтому он не теряет этот адрес, а широковещательный адрес теряется в любом случае в IPv4 (и также используется в строке, возможно, даже на нескольких линиях)
ratchet freak
Я попробовал это несколько лет назад (возможно, 5-10 лет назад), вручную установив свой IP-адрес, отличный от того, что провайдер отправлял через DHCP. Это не сработало! Я думаю, что я попробовал это с модемом PCI DSL, поэтому компьютер напрямую подключен к Интернету. И если вы хотите - попробовать - установить другой IP, вы устанавливаете его в Windows ... в любом случае, как уже упоминалось, не сработало! (Вы можете попробовать это!)
barlop
1
Много лет назад, когда я работал в интернет-провайдере, (теперь бывший) сотрудник установил свои настройки удаленного доступа для использования IP-адреса общенационального DNS-сервера провайдера. Тогда маршруты были разрешены, и поэтому вся клиентская база начала отправлять все DNS-запросы этому одному коммутируемому пользователю. Конечно, ни у кого нет интернета, пока мы работали. Маршрутизаторы теперь заносят в белый список IP-адреса для каждого клиента.
Марк Макдональд

Ответы:

34

Кабельные модемы не похожи на ваш домашний маршрутизатор (т. Е. У них нет веб-интерфейса с простыми кнопками «укажи и щелкни», в которые любой ребенок может «взломать»).

Кабельные модемы «ищутся» и определяются по их MAC-адресам провайдером, и, как правило, к ним обращаются технические специалисты, использующие проприетарное программное обеспечение, к которому есть только у них доступ, которое работает только на их серверах и, следовательно, не может быть украдено.

Кабельные модемы также проверяют подлинность и перепроверяют настройки на серверах интернет-провайдеров. Сервер должен сообщить модему, действительны ли его настройки (и местоположение в кабельной сети), и просто установить для него то, для чего его установил провайдер (пропускная способность, распределение DHCP и т. Д.). Например, когда вы говорите своему интернет-провайдеру «Я хотел бы получить статический IP-адрес, пожалуйста.», Он назначает один модему через свои серверы, и модем позволяет вам использовать этот IP-адрес. Например, с изменениями пропускной способности.

Чтобы сделать то, что вы предлагаете, вам, вероятно, придется взломать серверы у интернет-провайдера и изменить настройки, которые он настроил для вашего модема.


Могут ли они просто использовать статические arps? Списки контроля доступа? Другие простые механизмы?

Каждый интернет-провайдер отличается, как на практике, так и от того, насколько близко он находится к более крупной сети, которая предоставляет им услуги. В зависимости от этих факторов они могут использовать комбинацию ACL и статического ARP. Это также зависит от технологии в самой кабельной сети. Интернет-провайдер, на которого я работал, использовал некоторую форму ACL, но эти знания были немного выше моей зарплаты. Мне нужно только работать с интерфейсом технического специалиста и выполнять текущие изменения в обслуживании и обслуживании.


Что мешает мне изменить этот IP-адрес, скажем, на 60.61.62.75, и связываться с доступом к Интернету другого потребителя?

Учитывая вышесказанное, вы не можете сменить свой IP-адрес на тот, который интернет-провайдер вам не предоставил, - это сервер, который инструктирует ваш модем, что он может и не может делать. Даже если вы каким-то образом проникли в модем, если 60.61.62.75 уже выделено другому клиенту, сервер просто скажет вашему модему, что он не может его иметь.

Моисей
источник
Ответ Дэвида Шварца тоже очень хороший, я забыл о переадресации обратного пути. Даже 10 лет спустя эта проблема все еще актуальна, и многие аспекты, о которых говорится в документе, на который он ссылается, по-прежнему очень актуальны. Определенно стоит прочитать!
Моисей
6
В случае с провайдером, на которого я работаю, каждое входящее соединение имеет свою собственную VLAN, и наш основной маршрутизатор отказывается маршрутизировать трафик с IP-адреса, который не должен быть в этой конкретной VLAN. Проблема решена.
Шадур
23

Большинство современных интернет-провайдеров (последние 13 лет или около того) не будут принимать трафик от соединения с клиентом, если у него нет IP-адреса источника, который они направили бы этому клиенту, если бы он был IP-адресом назначения. Это называется «переадресация по обратному пути». См. ПП 38 .

Интернет-провайдеры либо не используют протоколы динамической маршрутизации со своими клиентскими соединениями, либо фильтруют маршруты, которые они получают по этим соединениям. Таким образом, не будет никакого влияния на то, какие пакеты вы получили.

Дэвид Шварц
источник
1
добавьте пунктуацию к своему ответу, чтобы сделать его более понятным.
Harshdeep
1
Похоже, проверка «Прямое подтверждение обратного DNS», который часто используется для предотвращения спама.
deed02392
1

Ваши пакеты проходят через вашего интернет-провайдера, поэтому я могу представить, что он сравнивает исходный IP-адрес, используя какой-то ACL, а затем фильтрует соответственно. Подмена вашего IP-адреса, скорее всего, потерпит неудачу, если у провайдера не будет должной защиты. Есть предполагаемые страшные истории о том, что провайдер в Великобритании, выпускающий частные ip через свою сеть, вызывает кучу хаоса, но этого не должно произойти.

Tist
источник
1

Я далеко не эксперт, но я знаю, что с помощью Verizon FIOS каждый раз, когда я меняю маршрутизаторы, я вынужден делать одно из двух:

  1. Измените MAC-адрес нового маршрутизатора на адрес старого (предположительно, чтобы система считала, что это старый маршрутизатор)
  2. Обратитесь в службу поддержки Verizon и попросите прервать аренду моего текущего IP-адреса, чтобы его можно было переназначить новому маршрутизатору.

Считают ли они, что это фильтрация MAC-адресов, я не уверен, но раньше я боялся проходить смену маршрутизатора, потому что не мог понять, почему, когда мой новый маршрутизатор подключен непосредственно к сетевому кабелю, я не мог получить подключение к Интернету.

До тех пор, пока я безуспешно пытался подключить маршрутизатор Asus, говоря о поддержке Asus, я упомянул, что мой старый маршрутизатор все еще прекрасно подключается, но новый Asus не будет. Он сказал мне изменить MAC-адрес нового маршрутизатора на старый D-Link, перезагрузил, и это сработало. Он сказал: «Хорошо, значит, Verizon выполняет фильтрацию MAC».

Поддержка Verizon утверждала, что это не так, но как бы они это ни называли, это фактически предотвратит использование чужого IP-адреса, поскольку MAC-адрес не будет совпадать с адресом маршрутизатора от истинного владельца учетной записи.

user266290
источник
1

Это немного больше. Ваш компьютер или маршрутизатор могут получить IP-адрес через DHCP или вы можете заплатить за статический IP-адрес, но в любом случае ваш интернет-провайдер не теряет IP-адреса. Шлюз по умолчанию используется каждым IP-адресом в сети. Сами кабельные модемы будут общаться с UBR (универсальным широкополосным маршрутизатором) в частной IP-сети, обычно с адресом 10.10.xx, таким образом, ISP не платит за столько публичных IP-адресов. Шлюз по умолчанию для вашего публичного IP-адреса находится на другом конце сетевого туннеля. Если вы измените IP-адрес на вашем компьютере с предоставленного DHCP-адреса на другой статический IP-адрес, ваш кабельный модем просто не будет принимать трафик с него.

Тодд
источник