82

В личной сети (ЛВС) можно просто получить IP-адрес. Если вы выберете тот же IP-адрес, что и существующий клиент, у вас возникнут проблемы. Есть такие компании, как IANA и ICANN, которые отвечают за объемы IP-адресов и продают их. Но что мешает вам просто получить случайный IP-адрес? Это построено на доверии? Что если кто-то получит IP-адрес и возникнет конфликт? Есть ли способ отследить этот IP-адрес до местоположения сервера, использующего его?

Компании, которые фактически поддерживают физические интернет-кабели, проверяют, используют ли подключающиеся клиенты купленные блоки IP-адресов?

9 ответов9

120

Похоже на ответ mpez0, но мне нравится хорошая автомобильная аналогия ...

Я выбираю Великобританию для этого, потому что там я живу. Представьте, что вы живете в мире, где люди без всяких вопросов следуют дорожным знакам, и вы живете прямо на севере Шотландии, как можно дальше от Лондона, не пересекая воду. Вы живете в маленьком городке, и однажды вы решите переименовать свой город в «Лондон», поскольку это, очевидно, приведет к увеличению торговли и туризма в вашем городе, верно? Вы даже пытаетесь обновить местные дорожные знаки, чтобы отразить новое название вашего города.

Что на самом деле происходит? Ну, многие люди из окрестных деревень посещают ваш город, следуя указателям и удивляясь, почему они не в Лондоне. Но кроме этого ничего не меняется. Зачем?

Рассмотрим кого-то, кто живет в центре Англии. Они знают, что Лондон находится на юге, поэтому, когда они едут в Лондон, они следуют указателям с надписью «ЮГ» и продолжают движение, пока знаки не станут более конкретными. Другими словами, их дорожные знаки все еще указывают на настоящий Лондон. Их «таблицы маршрутизации» не изменились. Тот факт, что ваш город решил сменить название на Лондон, для них несущественен. Их местные маршруты недостаточно конкретны, чтобы заметить изменения.

Если вы решите изменить свой IP-адрес, маршрутизаторы в других местах внезапно не узнают об этом факте. Дорожные знаки не изменятся.

114

Ничто не мешает вам подключить ящик, настроенный с чужим IP-адресом, к Интернету. Тем не менее, это не обязательно вызовет никаких проблем для кого-либо еще, кроме вас самих.

Если вы крадете чужой IP-адрес за пределами подсети, к которой вы физически подключены, единственное, чего вы добьетесь, не сможет получить какой-либо трафик, поскольку любой маршрутизатор, действующий должным образом, собирается направить трафик к реальному владельцу этого Айпи адрес. Вы могли бы иметь возможность объявлять ложные маршруты на любой граничный маршрутизатор, находящийся в восходящем направлении от вас, в надежде, что они будут распространяться дальше в надежде получить трафик, направляемый вам на основе вашего украденного IP-адреса, но любой незначительно компетентный провайдер / поставщик восходящего трафика мог бы никогда не принимайте маршруты от некоммерческих потребителей. Что касается корпоративных клиентов / других интернет-провайдеров, они связаны особыми правилами о том, какие маршруты они могут рекламировать и использовать со своим транзитным провайдером или партнером, которые круглосуточно отслеживаются сетевыми операционными и контрольными группами. У большинства также есть правила о том, какие маршруты они будут принимать как действительные, в зависимости от того, кто их рекламировал. Короче говоря, кража чьего-либо IP-адреса за пределами подсети, к которой вы подключены, ничего не делает, если вы не можете также манипулировать таблицами восходящей маршрутизации.

Кроме того, если вы украдете IP-адрес кого-то из вашей подсети, вы нарушите трафик как человека, которому он принадлежит, так и вас самих. С любым управляемым коммутатором или маршрутизатором это вызовет тревогу, так как в сети есть дублирующийся адрес и, вероятно, приведет к блокировке вашего соединения.

21

Рассмотрим аналогию с вашим домашним адресом. Однажды вы решили изменить свой адрес с "123 First Street" на "1600 Pennsylvania Avenue". Какая разница это за пределами ваших собственных строк собственности? Нет - потому что остальной мир продолжает вести себя так, как будто физическое местоположение вашего дома не изменилось, название вашей улицы не изменилось, название города не изменилось, почтовый индекс не изменился .. Вы поняли.

Почта, посылки и т.д. Будут "перенаправлены" в ваш дом в зависимости от его местоположения в адресной сети вашего сообщества. Номер вашего дома (компьютера), сам по себе, является лишь последней и последней остановкой (сетевой прыжок). Все на этом пути должно быть согласовано, синхронизировано, и вы контролируете только самый конец пути.

Вы можете нумеровать свой дом (или компьютер) как угодно, но для продолжения прохождения сетевого трафика вы должны делать это синхронно с вашей средой. Чтобы изменить адрес вашего дома, вам нужно будет изменить его номер, И заставить бюрократов изменить название вашей улицы, И изменить название вашего города, И свой почтовый индекс. Аналогично, чтобы изменить свой IP-адрес на что-то за пределами выделенного вам блока, вам нужно будет изменить его номер, И попросить вашего вышестоящего провайдера изменить выделенный блок, И изменить их маршрутизаторы, чтобы направлять вам этот блок, И объявить об этом через BGP для их сверстники маршрутизации.

В обоих случаях вы синхронизируете свои изменения с внешним миром, чтобы внешний мир знал, как вас найти. В противном случае это приводит к тому, что сетевой трафик больше не может вас найти - и единственная сущность, затронутая вашим изменением адреса, это вы. Что, с архитектурной точки зрения, хорошо!

10

Данный интернет-провайдер может назначить любой адрес любому клиенту. Однако адреса полезны только в том смысле, что они могут иметь пакеты, маршрутизируемые между ними и другими адресами. Интернет-провайдер, назначающий адреса за пределами диапазона, назначенного ICANN, либо не получит пакеты, перенаправленные на этот адрес, либо приведет к ошибкам маршрутизации в других местах в Интернете. Это то, что происходит, когда некоторые из национальных интернет-цензоров или фильтров не работают, или иногда, когда интернет-провайдеры верхнего уровня неверно конфигурируют свою информацию о маршрутизации.

Итак, да, вы можете настроить внутренний сервер с теми же адресами, что и Google.com, army.mod.uk и т.д. Но вы, вероятно, не получите пакеты, предназначенные для этих хостов, по крайней мере, не из-за пределов маршрутизации. схема.

6

Если вы Интернет-провайдер, вы можете украсть целые IP-диапазоны. Провайдеры, крупные компании и тому подобное имеют так называемые автономные системы, обозначаемые как "AS" и 16-разрядное целочисленное значение. Эти системы связываются с другими системами. Им нужен протокол, чтобы сообщить другим системам, какие IP-адреса принадлежат им и к каким другим AS они подключены, а также определенную "стоимость" подключения. Между AS это обычно BGP.

Проблема в том, что это все еще в основном основано на доверии. Если какой-либо провайдер объявляет, что теперь он владеет IP-пространством Google, а стоимость очень низкая, все другие системы отправляют трафик для Google этому провайдеру. Это было сделано, например, с помощью Youtube в попытке пакистанских чиновников заблокировать его в Пакистане. Реального технического решения до сих пор нет. Это в основном все еще работает. Большинство провайдеров переключились с автоматического на полуавтоматический процесс, где они определяют некоторые критерии изменения маршрута, объявленные другими провайдерами, когда их должен проверить человек. Но Интернет слишком велик, чтобы все это проверить. Поэтому у них есть такие правила, как «если AS сделал что-то плохое раньше, проверьте вручную».

Так что нет, вы, как нормальный человек, не можете украсть IP. Но если вы достаточно большой провайдер, вы можете украсть целые диапазоны IP-адресов как минимум на несколько часов, если не дней. Если вы просто сделаете это для очень маленьких подсетей и попытаетесь перенаправить трафик на реальную цель, вы даже можете избежать неприятностей с человеком, находящимся в средней атаке, и никто об этом даже не заметит.

Конечно, есть статья в Википедии !

Если вы хотите поиграть, хорошим стартом является информационный инструмент bgp от Hurricane Electric. Существует также графический инструмент. Вы можете ввести AS-номер вашего провайдера, который вам скажет на сайте, и посмотреть, какие соединения использует ваш провайдер.

5

«Может ли провайдер справиться с провайдером, которого он не купил?"

Связь в основном происходит следующим образом: ПК с целевой машиной (либо маршрутизатором, либо непосредственно с целью)- определяется отправляющей машиной посредством сравнения ее IP-адреса и маски подсети; если цель не находится в той же подсети, куда она отправляется роутер для маршрутизации).

Если маршрутизатор получает пакет для маршрутизации, он принимает аналогичное решение на основе всех подсетей, к которым он также подключен напрямую. Он выбирает подсеть для отправки пакета через свою "таблицу маршрутизации". Примечание. Таблица маршрутизации на клиентском компьютере использовалась на первом этапе - попробуйте CMD: "Печать маршрута" в Windows.

На последнем маршрутизаторе в процессе, тот, который имеет целевой IP-адрес в одной из подключенных подсетей, маршрутизатор отправляет напрямую на хост через его MAC-адрес (возможно, после использования RARP).

Таким образом, IP-адреса используются для маршрутизации между маршрутизаторами, и у маршрутизаторов есть некоторый способ узнать, как маршрутизировать, основываясь на ограниченных наборах информации. Маршрутизаторы обмениваются информацией динамически об изменениях маршрутов (доступность подсети сети), но «они могут делать это аутентифицированным способом». Я не могу комментировать, если проверка подлинности осуществляется.

Если провайдер «выпускает» IP-адреса хостам через DHCP или любым другим способом, то для успешной двусторонней связи должны существовать данные таблицы маршрутов. Было бы тривиально определить мошеннического интернет-провайдера. Даже если бы существовал подход доверия на разных уровнях, цензура обновлений маршрутизации от ISP все равно была бы тривиальной.

4

Вы можете "использовать" любой IP-адрес для пакетов, которые вы отправляете, но на самом деле ограничение касается пакетов, которые вы получите.

"Покупка" диапазона IP-адресов означает, что группа других людей настроит свои маршрутизаторы так, чтобы пакеты, отправленные в этот диапазон IP-адресов, переадресовывались на шаг ближе к вам, в конечном итоге достигая устройства, которое вы сами контролируете. Это все о сохранении много таблиц маршрутизации с а списки говорят (немного упрощенным) «xxx.yyy.. Присылают налево, xxx.zzz.. Присылают вправо».

"Простой захват" произвольного адреса приведет к тому, что если вы захотите связаться с www.google.com, вы отправите им начальный пакет, но ответный пакет будет перенаправлен фактическому предполагаемому владельцу, как настроено должным образом, и вы выиграли не вижу этого. Если вы захватили адрес, принадлежащий вашему соседу, у того же провайдера, то ближайший к вам маршрутизатор провайдера будет настроен на отправку всех таких сообщений вашему соседу, а не вам. Если вы взяли случайный адрес, то, скорее всего, он будет отправлен в другой угол мира, и ответ даже не приблизится к вашему провайдеру.

Как и в случае с почтовой почтой, если вы живете в Пхеньяне, но хотите начать получать почту, адресованную «1600 Пенсильвания Авеню, Нью-Йорк, Вашингтон, округ Колумбия, 20500, США», то вам придется убедить (хотя бы одну) почтовые службы между отправителем и владельцем адреса, чтобы отправлять такие сообщения по-своему. Это возможно, если все отправители находятся во внутренней сети компании; но это, вероятно, был не вопрос.

4

Регистрация IP-адреса в локальной сети регулируется каким-либо маршрутизатором. При использовании DHCP компьютер запрашивает IP-адрес маршрутизатора и назначает его. Но как только вы захотите покинуть свою локальную сеть, ваш IP назначается вашим провайдером. Существуют способы подделки IP-адреса, с которого приходит пакет, но как только он достигает одного из маршрутизаторов провайдера, IP-адрес заменяется его собственным. Единственное, что остается неизменным, это MAC-адрес, который тоже может быть подделан. Но так как ваш IP-адрес заменяется на первом маршрутизаторе, это ограничивает то, что вы можете сделать.

Чтобы дать вам короткий ответ, провайдер назначает все данные в канале, которые будут связаны с его зарегистрированным IP-адресом. Это похоже на то, как я говорю вам выбрать карту, а есть только одна карта. Локальные и общедоступные IP-адреса полностью разделены.

Для получения дополнительной информации вы можете проверить это http://en.wikipedia.org/wiki/IP_address_spoofing

2

Функция протокола DHCP (Dynamic Host Configuration Protocol) маршрутизатора, к которому подключен отдельный пользователь, выделяет IP-адрес в определенном диапазоне. Вы не можете просто попросить конкретный IP-адрес. Насколько я знаю, человек не может "подделать" IP-адрес.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .