Qu'est-ce qui empêche quelqu'un de configurer son réseau avec des adresses IP qui ne lui appartiennent pas?


22

Voici le scénario. J'imaginais une université qui a acheté une gamme d'adresses IP. Je pense qu'ils seraient toujours à l'intérieur d'un FAI (non?), Mais ils auraient la liberté de configurer les choses comme ils le voulaient.

Qu'est-ce qui les empêche d'attribuer à leurs routeurs et hôtes déjà utilisés des adresses IP?

Et que se passerait-il si quelqu'un faisait cela?


6
Les universités étaient les premiers FAI. Internet était une expérience collaborative universitaire / gouvernementale. En fait, l'Internet public n'est qu'un groupe de FAI qui regardent avec d'autres FAI de leur choix. Le gouvernement, à la recherche d'un moyen de maintenir les communications en cas de catastrophe (par exemple une guerre nucléaire, entre autres), a financé les universités et les opérateurs de télécommunications (à l'époque AT&T, pas celui que vous connaissez aujourd'hui, qui était le seul real telco) pour concevoir une méthode pour maintenir les communications lorsqu'un chemin a été détruit, ce qui a entraîné la commutation de paquets et Internet.
Ron Maupin

1
Au Royaume-Uni, par exemple, le JISC supervise les allocations de réseau aux universités.
Arrêtez de nuire à Monica le

Rien. Mais bien sûr, ce n'est pas un problème avec IPv6.
Rétablir Monica - M. Schröder

Une réponse vous a-t-elle aidé? Si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:


32

Très probablement, s'ils sont une grande université, ils sont leur propre FAI, utilisant BGP pour connecter leur réseau à Internet via un certain nombre de réseaux en amont.

Rien ne les empêche d'utiliser des adresses IP qu'ils ne devraient pas utiliser, et cela fonctionnerait dans leur réseau local. Cependant, cela ne fonctionnera pas sur Internet. Leurs réseaux en amont leur fournissant une connectivité devraient avoir des filtres en place qui ne permettraient à l'université d'annoncer les adresses IP qui leur sont attribuées. Si les amonts directs ne les filtrent pas, les amonts des amonts le feront. Et si les adresses IP, qui sont utilisées par un autre réseau, étaient utilisées par l'université, cet autre réseau deviendrait inaccessible à partir du réseau universitaire.

En outre, il existe un certain nombre de projets (par exemple, RIPE RIS et BGPmon ) qui surveillent les tables de routage et alertent sur toute publicité IP "illégale" ( détournements BGP et anomalies de routage).


11
Malheureusement, aujourd'hui encore , aurait dû ne signifie pas encore avoir
Josef

7
@Josef Pour être juste, BGP a été construit à une époque de "confiance implicite" - chaque propriétaire de nœud Internet connaissait tous les autres propriétaires de nœud Internet, donc ils savaient à qui appartenait quoi et il y avait des conséquences sociales pour le piratage. BGP n'a jamais été vraiment conçu pour être «sécurisé», il a juste été conçu pour fonctionner.
Der Kommissar

2
Les FAI ont généralement amélioré le filtrage des BGP, car il y a eu des pannes majeures bien connues en raison de la publicité (intentionnelle ou accidentelle) d'une fausse route.
Barmar

1
J'ajouterais qu'ils seraient probablement piégés par leurs voisins.
PEdroArthur

1
S'ils utilisent l'IP de quelqu'un d'autre en interne, cela fonctionnera pour atteindre ce site, mais cela signifiera que tout ce qui est hébergé sur le véritable propriétaire de cette IP sera inaccessible.
Loren Pechtel

12

Qu'est-ce qui les empêche d'attribuer à leurs routeurs et hôtes déjà utilisés des adresses IP?

Rien. Au fil des ans, j'ai vu des organisations de toutes tailles, publiques et privées, y compris une entreprise de «marque» mondialement reconnue. En fait, je l'ai vu plus souvent dans les entreprises que dans les universités (principalement en raison du fait qu'un plus grand nombre d'universités ont été impliquées dans Internet plus tôt et ont aidé à définir les normes et les meilleures pratiques utilisées aujourd'hui).

Et que se passerait-il si quelqu'un faisait cela?

Aujourd'hui, probablement rien d'autre que l'organisation ne pouvant pas atteindre les parties d'Internet qui se chevauchent. Dans le passé, ce type de chose a provoqué de graves problèmes, y compris la «rupture d'Internet» pour certains ou de nombreux utilisateurs (dans un cas, un seul FAI a accidentellement propagé une route par défaut vers Internet en surchargeant son propre réseau comme une grande partie du trafic Internet essayé de les traverser).

Les incidents passés comme ceux que vous proposez sont devenus des opportunités d'apprentissage et ont débouché sur les meilleures pratiques qui incluent des protections contre ce type de mauvaise configuration. Aujourd'hui, le plus souvent, les fournisseurs implémentent BCP38 / RFC2827 pour filtrer le trafic vers les organisations connectées uniquement à l'adresse IP dont ils devraient faire la publicité.

Certains fournisseurs mettent également en œuvre un filtrage bogon qui, lorsqu'il est correctement entretenu, empêche le trafic provenant de l'espace IP de ne pas provenir de trafic valide (c'est-à-dire des plages d'adresses privées, de l'espace IP non attribué, etc.). Alors que la liste des bogons IPv4 est beaucoup plus petite aujourd'hui que par le passé (c'est-à-dire que la plupart des adresses IPv4 sont désormais attribuées), la liste des bogons IPv6 peut toujours être très utile, en particulier sur les grands fournisseurs pour limiter la portée du squattage IP (c'est-à-dire en utilisant une adresse IP non attribuée espace).


8

Rien ne les empêchera d'utiliser les adresses sur leurs propres machines.

Ce qui se passe s'ils essaient de les publier sur Internet dépend de la négligence de leurs fournisseurs. Si leurs fournisseurs suivent les meilleures pratiques, des filtres seront en place et les publicités ne dépasseront pas les frontières du pirate de l'air.

OTOH si leurs fournisseurs et leurs fournisseurs de fournisseurs sont bâclés, une fausse annonce peut aller beaucoup plus loin, entraînant une perturbation importante pour les propriétaires légitimes de l'espace IP.

De tels événements seront presque certainement remarqués et il y aura probablement des discussions animées et un filtrage supplémentaire ajouté.


6

Supposons que j'ai deux machines. J'attribue l'adresse 1.2.3.4 à l'un et 1.2.3.5 à l'autre. Je ne possède pas ces adresses.

Tant que je n'essaye pas d'Internet, ces deux machines peuvent se parler sans aucun problème.

Maintenant, je me connecte à Internet. Les autres réponses parlent de filtres bloquant les choses, mais ignorons cela un instant.

Ma machine 1.2.3.4 essaie de se connecter à une adresse légitime, comme 12.34.56.78. Supposons que cette adresse existe et est contrôlée par son propriétaire approprié.

Donc, ma machine envoie un paquet:

Du 1.2.3.4, au: 12.34.56.78, Contenu: Voulez-vous être amis? (Traduit en humain)

Les routeurs regardent la partie To: et la remettent correctement au 12.34.56.78. Cette machine ne soupçonne rien et répond à une réponse

De: 12.34.56.78, à: 1.2.3.4, contenu: bien sûr, soyons amis!

Maintenant vient le problème. Cette réponse ne vous sera jamais livrée. Au lieu de cela, il sera livré au vrai 1.2.3.4, qui deviendra très confus.

Donc, si vous utilisez une mauvaise adresse, vous pouvez parler à Internet, mais Internet ne vous répondra jamais.


4
"Internet ne vous répondra jamais" si vous annoncez les fausses adresses sur BGP et que personne ne bloque vos annonces, alors de grandes parties d'Internet peuvent très bien vous répondre, au moins jusqu'à ce que quelqu'un comprenne ce qui se passe.
Peter Green

2
Tout FAI décent implémentera BCP38, donc votre tentative de «parler à Internet» se terminera par son filtre anti-usurpation.
Teun Vink

Ce que vous décrivez n'est pas une tentative infructueuse de se connecter à Internet, mais en fait une attaque DOS potentielle sur le vrai 1.2.3.4 (et peut-être aussi le 12.34.56.78). C'est pourquoi les filtres mentionnés par TeunVink sont (espérons-le) en place
Hagen von Eitzen

@HagenvonEitzen: Ce sont des filtres entièrement différents. Teun parle de bloquer les annonces de routes en validant des protocoles d'échange de routes tels que BGP. Pour empêcher le DDoS d'usurpation de source, vous avez besoin d'un filtrage de chemin inverse sur les paquets qui n'ont rien à voir avec l'échange de routes.
Ben Voigt

2

Il occulterait en interne de grandes portions d'Internet

Sûr. Disons qu'ils font la chose courante d'utiliser des adresses IP privées en interne sur leur réseau, comme 10.xxx .. Vous connaissez le foret, la traduction d'adresses réseau à la périphérie de leur réseau, tout comme votre réseau domestique.

Sauf qu'ils ont décidé que 10.xxx est trop restrictif pour eux et qu'ils commencent à attribuer des adresses IP publiques en interne. Cela fonctionnera, dans un premier temps. Mais alors des problèmes commenceront à apparaître.

C'est une question de temps avant que quelqu'un utilise 172.217.15.68 pour une machine de laboratoire. C'est l'une des adresses IP que DNS résout pour www.google.com. Maintenant, parfois, lorsque quelqu'un à l'intérieur de l'université essaie de faire une recherche sur Google, son navigateur Web va à la place à cette machine de laboratoire . Parce que les routeurs internes n'auraient aucune capacité de concevoir qu'il y a deux 172.217.15.68, un interne et un externe; ils achemineraient simplement vos paquets vers celui interne.

Les blocs IP attribués en interne ne peuvent pas être routés en externe

Mais c'est pire que ça. Ils ont attribué un netblock entier, donc tout 172.217.xx / 16 sera acheminé vers ce laboratoire. Vous ne feriez probablement pas le ménage à chaque IP de Google, mais de nombreuses recherches échoueraient. Pour les petites tenues comme Craigslist où toutes leurs adresses sont dans le même netblock, si l'université assignait ce netblock en interne, le site entier serait bloqué à froid.

Cela n'affectera personne en dehors du réseau interne de l'université. Les fournisseurs externes n'accepteront pas la réaffectation par l'université de l'espace IP de Google. Le seul trafic acheminé vers l'université sera les adresses IP publiques que l'université possède.

Utilisez simplement IPv6 à la place

Si vous vous inscrivez à Comcast, ils vous donnent un / 64 de votre choix. Si vous demandez gentiment, j'ai entendu dire qu'ils vous donneraient juste un / 48. Mais disons que vous n'obtenez qu'un / 64, puis faites exactement l'intrigue de RevOlution et créez des nanites auto-reproductrices qui consomment de l'électricité, dans la même quantité que celle discutée dans l'émission. Avez-vous suffisamment d'adresses IPv6 pour que chaque nanite ait la sienne?

Oui. Et suffisamment de pièces de rechange pour le faire sur 2 millions de terres parallèles.

Donc, si vous êtes vraiment inquiet de manquer d'adresses IP, c'est la voie à suivre.


2

Comme l'ont déclaré de nombreuses autres personnes, rien n'empêche quiconque de le faire, mais en général, cela n'aura aucun effet en dehors de l'organisation, et causera même des problèmes en interne.

Maintenant, si vous êtes vous-même un FAI et commencez à dire aux autres que vous êtes le seul à utiliser pour router ces IP (en utilisant un protocole de routage comme BGP), alors ces IP deviendront "en partie" les vôtres, pendant un certain temps. En partie, parce que lorsque le problème sera remarqué, des mesures seront prises pour l'arrêter. "Pendant un moment", enfin, jusqu'à ce que des mesures soient prises.

Des incidents avec BGP se sont produits dans le passé, entraînant l'acheminement du trafic vers de mauvais endroits. Voici un lien vers un incident récent: https://hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ Vous pouvez recherchez «fuite de route BGP» pour en savoir plus.

Internet fonctionne beaucoup sur la confiance. Les choses évoluent lentement, mais dans de nombreux cas, les FAI font simplement confiance aux autres FAI.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.