Comment les adresses IP sont-elles réellement attribuées?

J'ai du mal à comprendre comment un organe directeur attribue des adresses IP, les entreprises utilisent BGP pour annoncer ces adresses IP et comment Internet fonctionne. Alors, où diable le DNS entre-t-il?

Quelqu'un peut-il suggérer une bonne lecture de la façon dont ces choses fonctionnent réellement? Je suppose que j'ai plusieurs questions. La première est la suivante: l'ARIN (ou tout autre organe directeur) est-il réellement important? S'ils n'étaient pas là, y aurait-il du chaos? Quand ils assignent un bloc, ils ne l'attribuent PAS LITTÉRALEMENT? Vous devez utiliser BGP pour faire de la publicité, n'est-ce pas? J'ai toujours été habitué à un environnement d'hébergement fermé (dédié / partagé) où vous avez routé des IP.

Alors, comment le DNS joue-t-il? Avec mon registraire, je peux enregistrer un serveur DNS (eNom) - qu'est-ce que cela signifie réellement? J'ai installé Bind et fait tout cela fonctionner, et je gère mes propres serveurs DNS, mais avec qui enregistrent-ils ce serveur DNS? Je ne comprends tout simplement pas.

J'ai l'impression que c'est quelque chose que je devrais savoir et que je ne sais pas, et je suis vraiment frustré. C'est comme .. simple .. comment fonctionne Internet? De l'attribution d'adresses IP aux sociétés qui les acheminent et du DNS.

Je suppose que j'ai un exemple - j'ai cet espace IP disons 158.124.0.0/16 (exemple). La société a accès à Internet 158.124.0.0/17. (Tout d'abord, pourquoi les entreprises se voient-elles attribuer des blocs d'adresses IP et ne les utilisent-elles pas? Pourquoi n'utilisent-elles pas l'espace interne réservé 10.x et 192.x?). Voilà où j'en suis. Que dois-je faire pour obtenir ces adresses IP sur Internet et les rendre disponibles? Disons que j'ai un centre de données à Chicago et un à New York. Je ne suis pas en mesure de télécharger une photo, mais je peux en associer une ici: http://begolli.com/wp-content/gallery/tech/internetworkings.png

J'essaie juste de comprendre comment à partir du moment où le bloc IP est attribué, à une entreprise utilisant BGP (atteindre un AS # public?), Puis comment le DNS entre en jeu?

À quoi ressemblerait quelque chose sur ma photo? J'ai essayé de monter un scénario, je ne sais pas si j'ai fait du bon travail.

Blocs IP loués

Les adresses IP sont attribuées par blocs par l'IANA aux registres Internet régionaux (RIR). Voir ceci ( liste et carte ) des RIR. Les RIR louent ensuite des IP de blocs plus petits à des entreprises individuelles (généralement des FAI). Il y a des exigences (y compris les frais et la preuve d'utilisation) pour obtenir une distribution et ne pas les maintenir signifie une perte de bail.

Une fois qu'une entreprise a loué un ou plusieurs blocs du RIR, elle a besoin d'un moyen de dire au reste du monde où trouver une adresse IP particulière (ou un ensemble de celle-ci: sous-réseaux). C'est là que BGP entre en jeu. BGP utilise un grand concept de réseau appelé système autonome (AS). L'AS sait comment router en lui-même. Lors du routage vers un autre réseau, il ne connaît que les passerelles AS et où se trouve le "prochain bond" vers ces adresses externes. Les numéros AS sont également gérés par l'IANA .

Au sein d'un AS, même un aussi grand qu'un FAI, ils peuvent utiliser plusieurs protocoles de routage (RIP, OSPF, BGP, EIGRP et ISIS me viennent à l'esprit) pour acheminer le trafic en interne. Il est également possible d'utiliser des tables de routage statiques, mais totalement impraticables dans la plupart des applications. Les protocoles de routage internes sont un sujet énorme, je vais donc simplifier en disant qu'il y a d'autres questions sur la défaillance du serveur qui peuvent rendre ces sujets plus justes que je ne peux ici.

DNS

Les humains ne se souviennent pas bien des nombres, nous avons donc inventé des noms d'hôtes. En ignorant l'historique, nous utilisons le DNS (Domain Naming System) pour garder une trace de quel nom d'hôte pointe vers quelle adresse IP. Il existe un registre central pour ceux-ci, également géré par l'IANA, et ils déterminent quels domaines de premier niveau (TLD) (par exemple ".com" ou ".net") vont dans la zone racine, qui est desservie par les serveurs racine. L'IANA délègue l'administration de la "zone racine", cet administrateur accepte uniquement les mises à jour des bureaux d'enregistrement qualifiés.

Vous pouvez utiliser un registraire pour "acheter" un nom de domaine, qui est un sous-domaine d'un TLD. Cet enregistrement crée essentiellement ce sous-domaine et vous attribue le contrôle de ses enregistrements Name Server (NS) et Glue (A). Vous les pointez vers un serveur DNS qui héberge votre domaine . Lorsqu'un client souhaite résoudre votre adresse IP à partir d'un nom de domaine, le client contacte son serveur DNS qui effectue une recherche récursive, en commençant par le serveur racine, en trouvant votre serveur DNS et en obtenant éventuellement les informations pertinentes.

Tout le monde est d'accord

Quant aux «organes directeurs»: tout le monde accepte simplement de les utiliser. Il n'y a pas (ou très peu) de lois obligeant quiconque à coopérer. Internet fonctionne parce que les gens choisissent de coopérer . Les organes directeurs offrent un moyen de coopération facile. Tous les différents RFC, "Standards", etc. - personne n'est obligé de les utiliser. Mais nous comprenons que la société est bâtie sur la coopération, et il est dans notre propre intérêt de le faire.

L'efficacité engendrée par la coopération est la même raison pour laquelle BGP est populaire, tout le monde est d'accord pour l'utiliser. À l'époque d'ArpaNet, ils ont commencé avec des tables de routage configurées à la main; puis progressivement évolué vers un système plus complet à mesure que l'Internet devenait de plus en plus complexe, mais tout le monde "acceptait" simplement d'utiliser la nouvelle norme. De même, la résolution de noms indiquait avec les fichiers hôtes que les réseaux distribueraient, et a fini par devenir le système DNS que nous connaissons aujourd'hui. ("D'accord" entre guillemets parce que bien des fois une minorité a établi une exigence pour une nouvelle norme et personne d'autre n'avait une meilleure alternative, donc elle a été acceptée).

Confiance

Ce niveau de coopération nécessite beaucoup de confiance en l'IANA. Comme vous l'avez vu, ils gèrent la plupart des cœurs des différents systèmes. L'IANA est actuellement une société à but non lucratif parrainée par le gouvernement américain (similaire au bureau de poste américain), elle ne fait pas partie du gouvernement, bien qu'elle soit à peine supprimée. Ces dernières années, on craignait que le gouvernement américain n'exerce un certain contrôle sur l'IANA en tant qu '"arme" contre d'autres gouvernements mondiaux ou des civils (en particulier par le biais de lois comme la SOPA et la PIPA, qui n'ont pas été adoptées, mais qui pourraient servir de base à de futures lois) .

Actuellement, l'IANA a décidé de lever des fonds (bien qu'elle soit une entreprise à but non lucratif ) grâce à la création de nouveaux TLD. Le TLD "xxx" a été considéré par certains comme une campagne de financement de style extorsionnaire, car un grand pourcentage de personnes inscrites "défendaient" leur nom. L'IANA a également pris des candidatures pour des TLD privés (à 180 000 $ chacun; ils ont suspendu le processus de candidature après avoir été inondés de candidatures, près de la moitié venant d'Amazon uniquement. Beaucoup de ces applications ont abouti à de nouveaux gTLD .

Toutes les publicités sur Internet public, la DFZ (Default-Free Zone), se font via BGP (Border Gateway Protocol), la façon dont les FAI font le routage interne varie beaucoup. La plupart utiliseraient également BGP en interne à la fois entre leurs propres routeurs (BGP est souvent utilisé en conjonction avec un IGP tel que OSPF) et également avec les clients, si vous n'avez pas votre propre numéro AS, vous pouvez utiliser un AS privé pour comparer avec votre FAI et lorsqu'ils annoncent votre espace d'adressage au DFZ, ils suppriment simplement l'AS privé du chemin d'accès. Pour les liaisons non redondantes plus petites, vous pouvez également utiliser le routage statique sur le PE. La «mission» réelle se trouve uniquement dans la base de données de votre bureau d'enregistrement, la base de données whois, RIPE / ARIN, etc., gèrent leurs propres bases de données à cet effet.

Essayez d'exécuter la commande whois 158.124.0.0/16sur une boîte Linux.

Il en va de même pour le DNS, le serveur DNS inverse est spécifié dans les enregistrements whois.

C'est une très vieille question, mais j'avais plusieurs des mêmes questions pour comprendre comment fonctionne Internet . Comme les autres réponses, les livres sur le réseautage donnent un aperçu du BGP et du DNS, mais m'ont laissé perplexe. Par exemple, a.root-servers.net à m.root-servers.net sont indiqués comme serveurs racine, mais comment un service DNS sait-il où trouver ces serveurs s'il ne peut pas utiliser DNS lui-même.

Les bases de l'IP, du sous-réseau, du DNS, etc. sont supposées connues par cette réponse. Je m'occupe des «lacunes» que j'ai, et probablement l'intervenant, sur le fonctionnement d'Internet. Je ne suis nullement un expert, mais c'est ma compréhension des lacunes.

Adresses IP

La première chose à noter est que lorsque Internet a commencé comme ARPANET, tout le monde connaissait tout le monde et les tables de routage pour les adresses IP étaient codées à la main. Je suppose que le processus d'attribution des IP s'est fait par téléphone. Comme Internet est devenu trop grand, BGP a été utilisé par plusieurs réseaux (AS) pour annoncer qu'ils avaient des IP publiques ou pouvaient accéder à une IP publique via leur AS à un autre AS. La confiance était là qu'un AS ne publierait pas une adresse IP qu'il n'avait pas.

Aujourd'hui, il n'y a plus autant de confiance. Au lieu de cela, les FAI peuvent télécharger et authentifier les allocations IP à chaque AS à partir de l'IANA et des autorités régionales. Ces téléchargements sont désormais authentifiés via la cryptographie à clé publique. Ainsi, lorsque l'IANA "attribue une adresse IP", elle modifie son dossier (ou vraiment l'autorité régionale modifie son dossier). Tous les autres AS peuvent télécharger et authentifier leurs enregistrements.

Ces enregistrements sont importants car les FAI ne peuvent pas croire que les autres FAI ont les adresses IP. Les FAI peuvent comparer la publicité BGP avec les enregistrements IP authentifiés. Si une publicité BGP affiche le dernier AS en tant qu'AS autre que ce qui se trouve dans l'enregistrement authentifié de l'IANA et du RIR, la publicité BGP ne change pas leur propre routage.

Plus communément, un FAI ou AS malhonnête peut annoncer qu'il a un itinéraire via son AS qu'il n'a pas. AS1 a une adresse IP enregistrée et AS5 utilise actuellement AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 annonce à AS5 une route AS5 -> AS2 -> AS1 -> IP. Sauf qu'AS2 n'a pas de connexion avec AS1. Il peut simplement perdre les paquets, peut-être pour frustrer les clients d'hébergement d'AS1. Ou AS2 pourrait être un réseau de petite entreprise avec un arrangement multihomed avec AS5 et AS1. Leur routeur est mal configuré et annonce un chemin à travers un réseau de petite entreprise. Presque tous les FAI jettent de telles publicités de leurs clients BGP et ne transmettent que les publicités de fin de BGP.

Plus probablement, vous avez le cas du Pakistan essayant de fermer Youtube au Pakistan par un tel détournement d'IP, et de fermer Youtube en dehors du Pakistan aussi, car les AS en dehors du Pakistan ont supposé que leurs publicités BGP étaient correctes.

En fin de compte, il n'y a pas de défense parfaite contre un tel détournement d'IP. Dans la plupart des pays comme les États-Unis, un tel abus de BGP peut être puni comme une rupture de contrat et d'autres FAI fermeront les connexions d'appairage avec cet AS s'ils le doivent. Un FAI peut également ignorer l'ensemble de l'appareil IANA et RIR et rediriger les adresses IP vers leurs propres serveurs. Cela ne fonctionnera cependant pas pour les sites https, en supposant que le FAI ne dispose des clés privées d'aucune autorité de certification. Il y a très peu à gagner économiquement. Cela ne se produit qu'avec des gouvernements autoritaires, comme l'Égypte a récemment fermé toutes les publicités BGP à leurs FAI de l'extérieur du pays.

Serveurs DNS

DNS est un peu plus simple une fois que les tables IP sont correctes. Les serveurs racine sont toutes des adresses IP enregistrées dans le code du serveur DNS. a.root-servers.net est 198.41.0.4 et l'adresse IP est anycast dans un AS. Dans le cas de a.root-servers.net, l'AS est Verisign et il existe cinq sites différents. Aux États-Unis, les deux sites sont New York et LA. Anycasting est comme si vous aviez une adresse au 123 Main Street et que vous disiez "Peu importe la ville dans laquelle vous vous trouvez, allez au 123 Main Street et vous trouverez l'une de mes entreprises." 123 Main Street à NY et LA donneront la même réponse pour tous les domaines de premier niveau. L'AS, dans ce cas Verisign, détermine en interne quel serveur a le moins de sauts via OSPF, BGP interne et d'autres protocoles de routage. Ainsi, un routeur à Denver peut aller à Los Angeles tandis qu'un routeur à Chicago va à New York.

L'un des serveurs racine donne quelle adresse IP pour le domaine de premier niveau com. Ensuite, ce domaine donne le domaine de yoursite.com. Les bureaux d'enregistrement ont vraiment un contrat avec celui qui gère le domaine de premier niveau. Donc, si le domaine de premier niveau n'a actuellement aucun enregistrement pour yoursite.com, il a accès pour ajouter un enregistrement avec son serveur who-is. Ensuite, avec l'accès que le registraire vous a donné aux enregistrements DNS de yoursite.com, vous modifiez les enregistrements de leur serveur DNS pour accéder à votre adresse IP.

Parce que tout DNS dépend de plusieurs adresses IP allant au bon endroit, vous avez le même problème que précédemment avec l'authentification par AS du registre IP, puis les affectations BGP. C'est l'élément clé d'un site Web http. Https a la protection supplémentaire des certificats. Ainsi, un FAI ne peut pas rediriger les demandes de ses propres serveurs racine et serveurs de domaine de niveau supérieur pour donner leur propre IP pour, par exemple, citibank.com. S'ils l'ont fait, l'adresse IP donnée à l'utilisateur sera une adresse IP différente, mais leur serveur n'aura pas la clé privée de Citibank.

et non, je ne plaisante pas (j'ai commencé ce livre il y a 15 ans, mais c'est toujours très pertinent): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Ensuite, revenez ici avec les questions BGP =)