자신이 소유하지 않은 IP 주소로 네트워크를 구성하지 못하게하는 요인은 무엇입니까?

시나리오는 다음과 같습니다. 나는 다양한 IP 주소를 구입 한 대학을 상상하고있었습니다. 나는 여전히 ISP 내부에 있다고 생각하지만 (오른쪽?) 원하는대로 구성 할 수있는 자유가 있습니다.

라우터와 호스트가 이미 IP 주소를 사용하고있는 이유는 무엇입니까?

실제로 누군가가 이것을하면 어떻게 될까요?

그들이 큰 대학이라면 BGP 를 사용하여 여러 업스트림 네트워크를 통해 네트워크를 인터넷에 연결하는 자체 ISP 입니다.

아무것도 사용하지 말아야 할 IP 주소를 사용하는 것을 막을 수 없으며 로컬 네트워크에서 작동합니다. 그러나 인터넷에서는 작동하지 않습니다. 연결을 제공하는 업스트림 네트워크에는 필터가 있어야 대학에서 할당 된 IP 주소 만 광고 할 수 있습니다. 직접 업스트림이 필터링하지 않으면 업스트림 업스트림이 필터링됩니다. 그리고 다른 네트워크에서 사용중인 IP 주소가 대학에서 사용될 경우 해당 네트워크는 대학 네트워크에서 접근 할 수 없게됩니다.

또한 라우팅 테이블을 모니터링하고 "불법"IP 광고 ( BGP 하이재킹 및 라우팅 이상) 에 대해 경고 하는 많은 프로젝트 (예 : RIPE RIS 및 BGPmon )가 있습니다 .

라우터와 호스트가 이미 IP 주소를 사용하고있는 이유는 무엇입니까?

아무것도. 수년 동안, 나는 공공 및 민간의 모든 규모의 조직이 세계적으로 인정받는 "브랜드"회사를 포함하여 이것을하는 것을 보았습니다. 사실, 나는 대학 환경보다 비즈니스 환경에서 이것을 더 자주 보았습니다.

실제로 누군가가 이것을하면 어떻게 될까요?

오늘날, 조직이 겹치는 인터넷 부분에 도달 할 수없는 조직 외에는 아무것도 없을 것입니다. 과거에 이러한 유형의 문제는 일부 또는 많은 사용자에게 "인터넷 끊기"를 포함하여 심각한 문제를 일으켰습니다 (한 경우 하나의 ISP가 실수로 인터넷에 기본 경로를 전파하여 인터넷 트래픽의 많은 양으로 자체 네트워크에 과부하를 가함) 그들을 통해 라우팅하려고했습니다.

제안한 사례와 같은 과거의 사건은 학습 기회가되었으며 이러한 유형의 구성 오류로부터 보호하는 모범 사례가되었습니다. 오늘날 대부분의 공급자는 BCP38 / RFC2827 을 구현 하여 연결된 조직으로의 트래픽을 광고해야하는 IP 주소로만 필터링합니다.

일부 공급자는 여전히 제대로 유지 관리 될 때 유효한 트래픽이 발생하지 않아야하는 IP 공간 (예 : 개인 주소 범위, 할당되지 않은 IP 공간 등)으로부터의 트래픽을 방지 하는 데 도움이 되는 bogon 필터링 을 구현 합니다. IPv4보고 목록이 과거에 비해 훨씬 작지만 (즉, 대부분의 IPv4 주소가 이제 할당 됨), 특히 IPv6보고 목록은 특히 큰 공급자에서 IP 스쿼팅 범위를 제한하는 데 매우 유용 할 수 있습니다 (예 : 할당되지 않은 IP 사용) 공간).

자신의 컴퓨터에서 주소를 사용하여 그들을 막을 수있는 것은 없습니다.

그들이 인터넷에 광고를하려고 할 때 일어나는 일은 제공자가 얼마나 조잡한 지에 달려 있습니다. 제공 업체가 모범 사례를 따르는 경우 필터가 설치되고 광고가 납치범의 경계를 넘어서지 않습니다.

OTOH 제공자와 제공자 제공자가 조잡하면 가짜 발표가 훨씬 더 진행되어 IP 공간의 적법한 소유자에게 상당한 혼란을 초래할 수 있습니다.

이러한 상황은 거의 확실하게 눈에 띄게 될 것이며 일부 열띤 토론과 추가 필터링이 추가 될 수 있습니다.

두 대의 기계가 있다고 가정하십시오. 주소 1.2.3.4를 다른 하나에 1.2.3.5를 할당합니다. 이 주소를 소유하고 있지 않습니다.

인터넷에 접속하지 않는 한이 두 컴퓨터는 문제없이 서로 통신 할 수 있습니다.

이제 인터넷에 연결합니다. 다른 답변은 필터 차단에 대해 이야기하지만 잠시 동안 그것을 무시합시다.

내 컴퓨터 1.2.3.4는 12.34.56.78과 같은 합법적 인 주소에 연결하려고합니다. 이 주소가 존재하고 적절한 소유자가 제어한다고 가정하십시오.

따라서 내 컴퓨터는 패킷을 보냅니다.

1.2.3.4부터 To : 12.34.56.78, 내용 : 친구가되고 싶습니까? (인간으로 번역)

라우터는 To : 부분을보고 12.34.56.78로 올바르게 전달합니다. 이 기계는 아무것도 의심하지 않으며 답변을 준수합니다.

From : 12.34.56.78, To : 1.2.3.4, 내용 : 물론, 친구가되자!

이제 문제가 왔습니다. 이 답변은 당신에게 전달되지 않습니다. 대신 실제 1.2.3.4 로 전달 되어 매우 혼란스러워집니다.

따라서 잘못된 주소를 사용하면 인터넷과 대화 할 수 있지만 인터넷은 응답하지 않습니다.

인터넷의 큰 견본을 내부적으로 차단합니다.

확실한. 10.xxx와 같이 네트워크 내부에서 개인 IP 주소를 사용하는 일반적인 작업을 수행한다고 가정 해 보겠습니다. 홈 네트워크와 마찬가지로 네트워크 가장자리에서 드릴, 네트워크 주소 변환을 알고 있습니다.

10.xxx가 너무 제한적이라고 결정한 것을 제외하고는 내부적으로 공개 IP 주소를 할당하기 시작합니다. 처음에는 작동합니다. 그러나 문제가 발생하기 시작합니다.

누군가 실험실 장비로 172.217.15.68을 사용하는 것은 시간 문제입니다. www.google.com에서 DNS가 확인하는 IP 주소 중 하나입니다. 이제는 때때로 대학 내부의 누군가가 Google에서 검색을 시도 할 때 웹 브라우저 가 대신 해당 실험실 컴퓨터로 이동합니다 . 내부 라우터는 두 개의 172.217.15.68 (내부 및 외부)이 있다는 것을 상상할 능력이 없기 때문입니다. 그들은 단순히 패킷을 내부 패킷으로 라우팅합니다.

내부적으로 할당 된 IP 블록은 외부로 라우팅 할 수 없습니다

그러나 그것보다 더 나쁩니다. 그들은 전체 넷 블록을 할당 했으므로 172.217.xx / 16은 모두 해당 실험실로 라우팅됩니다. 모든 Google IP를 방해하지는 않지만 많은 검색이 실패합니다. 모든 주소가 동일한 넷 블록에있는 Craigslist와 같은 소규모 복장의 경우 대학에서 해당 넷 블록을 내부적으로 할당하면 전체 사이트가 차갑게 차단됩니다.

이것은 대학 내부 네트워크 외부의 사람에게는 영향을 미치지 않습니다. 외부 제공 업체는 대학에서 Google의 IP 공간을 재할 당하지 않습니다. 대학으로 라우팅되는 유일한 트래픽은 대학이 소유 한 공개 IP 주소입니다.

대신 IPv6을 사용하십시오.

Comcast에 가입하면 자신의 / 64를 제공합니다. 잘 부탁하면, 그들이 당신에게 / 48을 건네 줄 것이라고 들었습니다. 그러나 / 64 만 얻은 다음 RevOlution 플롯을 정확하게 수행 하고 쇼에서 논의 된 것과 동일한 양으로 전기를 먹는 자기 복제 nanites 를 만듭니다 . 모든 nanite가 소유 할 수있는 충분한 IPv6 주소가 있습니까?

예. 그리고 2 백만 개의 평행 한 지구에서 이것을하기에 충분한 예비품.

따라서 IP 주소가 부족 할까 걱정이된다면 그렇게해야합니다.

다른 많은 사람들이 언급했듯이, 아무도 그렇게하지 못하도록 막는 것은 없지만 일반적으로 조직 외부에는 아무런 영향을 미치지 않으며 내부적으로 문제를 일으킬 수도 있습니다.

이제 여러분이 ISP라면 다른 사람들에게이 IP를 라우팅하는 데 사용하는 사람 (BGP와 같은 라우팅 프로토콜 사용)을 알리기 시작하면 해당 IP가 잠시 동안 "부분적으로"당신의 것이됩니다. 부분적으로, 문제가 발견되면이를 막기위한 조치가 취해질 것입니다. 조치가 취해질 때까지 "잠시 동안".

과거 BGP 사고가 발생하여 트래픽이 잘못된 장소로 라우팅되었습니다. 여기에 최근의 사건에 대한 링크는 다음과 같습니다 https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ 당신이 할 수있는 자세한 내용은 "BGP 경로 누출"을 검색하십시오.

인터넷은 신뢰를 바탕으로 운영됩니다. 상황은 느리게 변화하고 있지만 많은 경우 ISP는 다른 ISP를 신뢰합니다.