Можете ли вы получить любой IP-адрес в Интернете?

82

В личной сети (ЛВС) можно просто получить IP-адрес . Если вы выберете тот же IP-адрес, что и существующий клиент, у вас возникнут проблемы. Есть такие компании, как IANA и ICANN, которые отвечают за объемы IP-адресов и продают их. Но что мешает вам просто получить случайный IP-адрес? Это построено на доверии? Что, если кто-то получит IP-адрес и возникнет конфликт? Есть ли способ отследить этот IP-адрес до местоположения сервера, использующего его?

Компании, которые фактически поддерживают физические интернет-кабели, проверяют, используют ли подключающиеся клиенты купленные блоки IP-адресов?

Друг ким
источник

Ответы:

114

Ничто не мешает вам подключить к Интернету ящик, настроенный с чужим IP-адресом. Тем не менее, это не обязательно вызовет никаких проблем для кого-либо еще, кроме вас самих.

Если вы крадете чужой IP-адрес за пределами подсети, к которой вы физически подключены, единственное, чего вы добьетесь, не сможет получить какой-либо трафик, поскольку любой маршрутизатор, действующий должным образом, собирается направить трафик к реальному владельцу этого Айпи адрес. Вы могли бы иметь возможность объявлять ложные маршруты на любой граничный маршрутизатор, находящийся в восходящем направлении от вас, в надежде, что они будут распространяться дальше в надежде получить трафик, направляемый вам на основе вашего украденного IP-адреса, но любой незначительно компетентный провайдер / поставщик восходящего трафика мог бы никогда не принимайте маршруты от некоммерческих потребителей. Что касается корпоративных клиентов / других интернет-провайдеров, они связаны конкретными правилами о том, какие маршруты они могут рекламировать и использовать со своим транзитным провайдером или партнером, которые круглосуточно контролируются сетевыми операционными и контрольными группами. У большинства также есть правила о том, какие маршруты они будут принимать как действительные, в зависимости от того, кто их рекламировал. Короче говоря, кража чьего-либо IP-адреса за пределами подсети, к которой вы подключены, ничего не делает, если вы не можете также манипулировать таблицами восходящей маршрутизации.

Кроме того, если вы украдете IP-адрес кого-то из вашей подсети, вы нарушите трафик как человека, которому он принадлежит, так и вас самих. С любым управляемым коммутатором или маршрутизатором это вызовет тревогу, так как в сети есть дублирующийся адрес и, вероятно, приведет к блокировке вашего соединения.

Фред Томсен
источник
Одна вещь, на которую вы ссылались, но явно не упоминали, - это то, что вы не можете общаться с реальным владельцем IP-адреса или, возможно, с реальным владельцем всей подсети.
Майкл Хэмптон
3
Я бы точно сказал «не могу получать трафик из Интернета » вместо «нет трафика» (вообще). [Пример не в идее ОП:] Есть (было?) Некоторые предприятия, которые считали, что в качестве внутренних IP-адресов в своих локальных сетях можно использовать интернет-адреса ... И это "вроде" работает (но ужасно) идея, а не воспроизводиться). Но затем они задаются вопросом, почему они не могут получить доступ к некоторым сайтам (например, даже используя NAT на своем интернет-шлюзе: любые пакеты, предназначенные для хоста в том же диапазоне, что и их «внутренний» диапазон, будут отправлены их машинами локальной сети в их локальной сети, а не к воротам, которые будут отправлены ...)
Оливье Дюлак
@OlivierDulac Это не обязательно проблема, если вы не маршрутизируете / NAT в Интернет, а используете прокси. Принимает довольно осторожную конфигурацию, но это, безусловно, возможно. (На самом деле я работаю в компании, которая работает таким образом. Многонациональная с около 500 000 IP-устройств.)
Тонни
Откажутся ли интернет-провайдеры от трафика от клиентов, которые (извините за неправильную терминологию) запрашивают статический IP-адрес, а не получают его через DHCP?
Дин МакГрегор,
@Tonny: я просто ограничивал "любой трафик" немного дальше. И я знаю, что решения / обходные пути существуют, но все же лучше использовать зарезервированный класс A (10.x / 8, поэтому более 16 миллионов адресов или его подсеть, если вам нужно меньше [хорошо, чтобы сохранить неиспользуемые диапазоны для особых случаев) ) чем использовать незарезервированный диапазон [где каждая таблица маршрутизации вашего локального маршрутизатора должна быть тщательно спроектирована для отвлечения локального трафика от интернет-трафика. Некоторые осторожные настройки делают это «легким», а большинство - нет]
Оливье Дюлак
120

Похоже на ответ mpez0, но мне нравится хорошая автомобильная аналогия ...

Я выбираю Великобританию для этого, так как там я живу. Представьте, что вы живете в мире, где люди следуют дорожным знакам без вопросов, и вы живете прямо на севере Шотландии, примерно так далеко от Лондона, как только можете, не пересекая воду. Вы живете в маленьком городе, и однажды вы решите переименовать свой город в «Лондон», поскольку это, очевидно, приведет к увеличению торговли и туризма в вашем городе, верно? Вы даже пытаетесь обновить местные дорожные знаки, чтобы отразить новое название вашего города.

Что на самом деле происходит? Ну, многие люди из соседних деревень посещают ваш город, следуя указателям и удивляясь, почему они не в Лондоне. Но кроме этого ничего не меняется. Почему?

Рассмотрим кого-то, кто живет в центре Англии. Они знают, что Лондон находится на юге, поэтому, когда они едут в Лондон, они следуют указателям «ЮГ» и продолжают идти, пока знаки не станут более конкретными. Другими словами, их дорожные знаки все еще указывают на настоящий Лондон. Их «таблицы маршрутизации» не изменились. Тот факт, что ваш город решил сменить название на Лондон, для них несущественен. Их местные маршруты недостаточно конкретны, чтобы заметить изменения.

Если вы решите изменить свой IP-адрес, маршрутизаторы в других местах внезапно не узнают об этом факте. Дорожные знаки не изменятся.

Крис МакКаун
источник
13
Это действительно хорошее сравнение.
друг Ким
Говоря о том, что меня смущают знаки, я не знаю, похоже ли это на Великобританию, но в США нередко иметь знак до того, как свернуть на шоссе, рекламирующее город за сотни миль. Когда я был ребенком, я находил это в замешательстве, так как кто-то может оказаться в Шотландии и оказаться на шоссе, ожидая, что Лондон станет следующим городом ...
Майкл
14
@Michael В Великобритании, с другой стороны, нередко можно увидеть признаки, которые на самом деле говорят просто «Юг» .
EP
2
Есть также понятие маршрута по умолчанию на дорожных знаках: «Все направления» или «Другие направления». Однажды во Франции мы нашли перекресток, который имел оба знака, но указывал в разных направлениях;)
MSalters
21

Рассмотрим аналогию вашего домашнего адреса. Однажды вы решили сменить адрес с «123 First Street» на «1600 Pennsylvania Avenue». Какая разница это за пределами вашей собственной линии собственности? Нет - потому что остальной мир продолжает вести себя так, как будто физическое местоположение вашего дома не изменилось, название вашей улицы не изменилось, название города не изменилось, почтовый индекс не изменился .. Вы поняли.

Почта, посылки и т. Д. Будут «перенаправлены» в ваш дом в зависимости от его местоположения в адресной сети вашего сообщества. Номер вашего дома (компьютера), сам по себе, является только последней и последней остановкой (сетевой прыжок). Все на этом пути должно быть согласовано, синхронизировано, и вы контролируете только самый конец пути.

Вы можете нумеровать свой дом (или компьютер) как угодно, но для продолжения прохождения сетевого трафика вы должны делать это синхронно с вашей средой. Чтобы изменить адрес своего дома, вам нужно будет изменить его номер, И заставить бюрократию изменить название вашей улицы, И изменить название своего города, И свой почтовый индекс. Аналогично, чтобы изменить свой IP-адрес на что-то за пределами выделенного вам блока, вам нужно будет изменить его номер, И попросить вашего вышестоящего провайдера изменить выделенный блок, И изменить их маршрутизаторы для маршрутизации этого блока вам, И объявить об этом через BGP для их сверстники маршрутизации.

В обоих случаях вы синхронизируете свои изменения с внешним миром, чтобы внешний мир знал, как вас найти. В противном случае, сетевой трафик больше не сможет вас найти - и единственная сущность, затронутая вашим изменением адреса, это вы. Что, с архитектурной точки зрения, хорошо!

AndroidNewbie
источник
10

Данный интернет-провайдер может назначить любой адрес любому клиенту. Однако адреса полезны только в том смысле, что они могут иметь пакеты, маршрутизируемые между ними и другими адресами. Интернет-провайдер, который назначает адреса за пределами диапазона, назначенного ICANN, либо не получит пакеты, перенаправленные на этот адрес, либо вызовет ошибки маршрутизации в других местах в Интернете. Это то, что происходит, когда некоторые из национальных интернет-цензоров или фильтров не работают, или иногда, когда интернет-провайдеры верхнего уровня неправильно конфигурируют свою информацию о маршрутизации.

Итак, да, вы можете настроить внутренний сервер с теми же адресами, что и Google.com, army.mod.uk и т. Д. Но вы, вероятно, не получите пакеты, предназначенные для этих хостов, по крайней мере не из-за пределов вашей маршрутизации. схема.

mpez0
источник
6

Если вы Интернет-провайдер, вы можете украсть целые IP-диапазоны. Провайдеры, крупные компании и тому подобное имеют так называемые автономные системы, обозначаемые как «AS» и 16-разрядное целочисленное значение. Эти системы связываются с другими системами. Им нужен протокол, чтобы сообщить другим системам, какие IP-адреса принадлежат им и к каким другим AS они подключены, а также определенную «стоимость» подключения. Между AS это обычно BGP .

Проблема в том, что это все еще в основном основано на доверии. Если какой-либо провайдер объявляет, что теперь он владеет IP-пространством Google, и его стоимость очень низкая, все другие системы отправляют трафик для Google этому провайдеру. Это было сделано, например, с помощью Youtube в попытке пакистанских чиновников заблокировать его в Пакистане. Реального технического решения до сих пор нет. Это в основном все еще работает. Большинство провайдеров переключились с автоматического на полуавтоматический процесс, где они определяют некоторые критерии изменения маршрута, объявленные другими провайдерами, когда их должен проверить человек. Но Интернет слишком велик, чтобы все это проверить. Таким образом, у них есть такие правила, как «если AS сделал что-то плохое раньше, проверьте вручную».

Так что нет, вы, как нормальный человек, не можете украсть IP. Но если вы достаточно большой провайдер, вы можете украсть целые диапазоны IP-адресов как минимум на несколько часов, если не дней. Если вы просто сделаете это для очень маленьких подсетей и попытаетесь перенаправить трафик на реальную цель, вы даже можете избежать неприятностей с человеком, находящимся в средней атаке, и никто об этом даже не заметит.

Конечно, есть статья в Википедии !

Если вы хотите поиграть, хорошим стартом является информационный инструмент bgp от Hurricane Electric. Существует также графический инструмент. Вы можете ввести AS-номер вашего провайдера, который вам скажет на сайте, и посмотреть, какие соединения использует ваш провайдер.

Josef
источник
5

"Может ли провайдер справиться с провайдером, которого он не купил?"

Связь в основном происходит следующим образом: ПК с целевой машиной (либо маршрутизатором, либо непосредственно с целью) - определяется отправляющей машиной посредством сравнения ее IP-адреса и маски подсети; если цель не находится в той же подсети, куда она отправляется роутер для маршрутизации).

Если маршрутизатор получает пакет для маршрутизации, он принимает аналогичное решение на основе всех подсетей, к которым он также подключен напрямую. Он выбирает подсеть для отправки пакета через свою «таблицу маршрутизации». Примечание. Таблица маршрутизации на клиентском компьютере использовалась на первом этапе - попробуйте CMD: «Печать маршрута» в Windows.

На последнем маршрутизаторе в процессе, тот, который имеет целевой IP-адрес в одной из подключенных подсетей, маршрутизатор отправляет напрямую на хост через его MAC-адрес (возможно, после использования RARP).

Таким образом, IP-адреса используются для маршрутизации между маршрутизаторами, и у маршрутизаторов есть некоторый способ узнать, как маршрутизировать, основываясь на ограниченных наборах информации. Маршрутизаторы обмениваются информацией динамически об изменениях маршрута (доступность подсети сети), но «они могут делать это аутентифицированным способом». Я не могу комментировать, если проверка подлинности осуществляется.

Если провайдер «выпускает» IP-адреса хостам через DHCP или любым другим способом, то для успешной двусторонней связи должны существовать данные таблицы маршрутов. Было бы тривиально определить мошеннического интернет-провайдера. Даже если бы существовал подход доверия на разных уровнях, цензура обновлений маршрутизации от ISP все равно была бы тривиальной.

Мартин О'Киф
источник
4

Регистрация IP-адреса в локальной сети регулируется каким-либо маршрутизатором. При использовании DHCP компьютер запрашивает IP-адрес маршрутизатора и назначает его. Но как только вы захотите покинуть свою локальную сеть, ваш IP назначается вашим провайдером. Существуют способы подделки IP-адреса, с которого приходит пакет, но как только он достигает одного из маршрутизаторов ISP, IP-адрес заменяется его собственным. Единственное, что остается неизменным - это MAC-адрес, который тоже можно подделать. Но так как ваш IP-адрес заменяется на первом маршрутизаторе, это ограничивает то, что вы можете сделать.

Чтобы дать вам короткий ответ, провайдер назначает все данные в канале, которые будут связаны с его зарегистрированным IP-адресом. Это похоже на то, как я говорю вам выбрать карту, а есть только одна карта. Локальный и общедоступный IP-адреса полностью разделены.

Для получения дополнительной информации вы можете проверить это http://en.wikipedia.org/wiki/IP_address_spoofing

Fallen
источник
1
Спасибо за хороший ответ. Однако я не думаю о том, чтобы сменить IP в своей частной сети. Я говорю о компаниях, подключающихся напрямую к Интернету, например, о компаниях, занимающихся интернет-серверами. Чтобы продолжить ваш пример. Может ли провайдер начать раздавать IP-адреса, которые он не купил?
Друг Ким
1
Я считаю, что на самом высоком уровне ISP эта система построена на доверии. Но я не уверен. Вот еще немного информации: en.wikipedia.org/wiki/Tier_1_network , en.wikipedia.org/wiki/…
упал
5
Этот ответ неверен по нескольким пунктам. Предполагается, что все используют NAT, а это не так. Это смешение NAT и маршрутизации. И утверждение о сохранении MAC-адреса при отбрасывании исходного IP-адреса в значительной степени противоположно тому, что происходит, когда пакет пересекает шлюз.
JdeBP
NAT участвует в моем ответе, но даже без NAT это не изменит того факта, что IP-адрес, назначенный провайдером, заменит IP в пакетах. Если интернет-провайдеры не будут добросовестно полагать, что IP-адреса верны, и не изменяют их.
Упал
@Fallen: Мой проверяет IP-адреса, но не касается их вообще. Либо IP-адрес неверен и пакет отброшен , либо он передан. Лично я не знаю многих интернет-провайдеров, которые переписывают IP-адреса, но я понимаю, что это чаще встречается в Азии (отсутствие адресов IPv4)
MSalters
4

Вы можете «использовать» любой IP-адрес для пакетов, которые вы отправляете, но на самом деле ограничение касается пакетов, которые вы получите.

«Покупка» диапазона IP-адресов означает, что группа других людей настроит свои маршрутизаторы так, чтобы пакеты, отправленные в этот диапазон IP-адресов, переадресовывались на шаг ближе к вам, в конечном итоге достигая устройства, которое вы сами контролируете. Это все о сохранении много таблиц маршрутизации с а списки говорят (немного упрощенным) «xxx.yyy. . Присылают налево, xxx.zzz. . Присылают вправо».

«Простой захват» произвольного адреса приведет к тому, что если вы захотите связаться с www.google.com, вы отправите им начальный пакет, но ответный пакет будет перенаправлен фактическому предполагаемому владельцу, как настроено должным образом, и вы выиграли не вижу этого. Если вы захватили адрес, принадлежащий вашему соседу, у того же провайдера, то ближайший к вам маршрутизатор провайдера будет настроен на отправку всех таких сообщений вашему соседу, а не вам. Если вы взяли случайный адрес, то, скорее всего, он будет отправлен в другой уголок мира, и ответ даже не приблизится к вашему провайдеру.

Как и в случае с почтовой почтой, если вы живете в Пхеньяне, но хотите начать получать почту, адресованную «1600 Пенсильвания Авеню, Нью-Йорк, Вашингтон, округ Колумбия, 20500, США», то вам придется убедить (хотя бы одну) почтовые службы между отправителем и владельцем адреса, чтобы отправлять такие сообщения по-своему. Это возможно, если все отправители находятся во внутренней сети компании; но это, вероятно, был не вопрос.

Петерис
источник
2

Функция протокола DHCP (Dynamic Host Configuration Protocol) маршрутизатора, к которому подключен отдельный пользователь, выделяет IP-адрес в определенном диапазоне. Вы не можете просто попросить конкретный IP-адрес. Насколько я знаю, человек не может «подделать» IP-адрес.

Питер Фаулер
источник
1
Спасибо за хороший ответ. Однако я не думаю о том, чтобы сменить IP в своей частной сети. Я говорю о компаниях, подключающихся напрямую к Интернету, например, о компаниях, занимающихся интернет-серверами. Чтобы продолжить ваш пример. Может ли провайдер начать раздавать IP-адреса, которые он не купил?
друг Ким
1
на самом деле, вы можете запросить конкретный адрес через DHCP. Однако сервер сам решит, согласится ли он на ваш запрос.
BRPocock
@ Питер, он спрашивает, что если ты DHCP.
Pacerier