是什么阻止某人使用他们不拥有的IP地址配置其网络？

22

这是场景。我在想象一所大学，该大学购买了一系列IP地址。我认为他们仍然在ISP内部（对吗？），但是他们可以自由地按自己的方式配置内容。

是什么阻止他们将其路由器和主机分配给已在使用的IP地址？

如果确实有人这样做，会发生什么？

6

大学是最初的ISP。互联网是学术/政府合作的实验。实际上，公共Internet只是一堆与自己选择的其他ISP对等的ISP。政府正在寻找一种方法，以确保在发生灾难（例如核战争等）时保持通讯畅通，政府为大学和电信公司（当时是AT＆T，目前还不是您所知的那家公司）提供资金。真正的电信公司）设计一种在路径被破坏时维护通信的方法，从而导致数据包交换和Internet。

— 罗恩·莫平

1

例如，在英国，监委会监督大学的网络分配。

— 停止Harming Monica

没有。但这当然不是IPv6的问题。

— 恢复莫妮卡-M.Schröder

32

如果他们是一所大大学，则很有可能是他们自己的ISP，使用BGP通过许多上游网络将其网络连接到Internet。

没有什么可以阻止他们使用不应使用的IP地址的，并且可以在其本地网络中使用。但是，它不能在Internet上运行。他们的上游网络为它们提供连接，应该设置适当的过滤器，这只会使大学公布分配给他们的IP地址。如果直接的上游不对它们进行过滤，则上游的上游将进行过滤。如果大学将使用另一个网络正在使用的IP地址，则该另一个网络将无法从大学网络访问。

此外，还有许多项目（例如RIPE RIS和BGPmon）可以监视路由表并就任何“非法” IP广告（BGP劫持和路由异常）发出警报。

— Teun Vink
source

11

可悲的是，即使在今天，仍然应该并不意味着拥有

— 约瑟夫

7

@Josef公平地说，BGP是在“隐式信任”时期建立的-每个Internet节点所有者都知道其他所有 Internet节点所有者，因此他们知道谁拥有所有权，并且对劫持产生了社会后果。BGP从未真正被设计为“安全的”，它只是被设计为可以工作。

— 410_Gone

2

ISP通常在过滤BGP方面做得更好，因为由于某人（有意或无意）发布了虚假路由而引起了一些广为人知的重大中断。

— 巴尔马尔

1

我要补充一点，他们可能会被邻居吓坏了。

— PEdroArthur

1

如果他们在内部使用其他人的IP，它将可以访问该站点，但这意味着在该IP的真正所有者上托管的任何内容都将无法访问。

— 洛伦·佩希特尔

12

是什么阻止他们将其路由器和主机分配给已在使用的IP地址？

没有。多年来，我已经看到各种规模的公共和私人组织都在这样做，其中包括一家享誉全球的“品牌”公司。实际上，我在企业环境中比在大学环境中更经常看到这种情况（这主要是由于越来越多的大学更早地参与Internet并帮助定义了当今使用的标准和最佳实践）。

如果确实有人这样做，会发生什么？

如今，除了组织无法访问它们重叠的Internet部分之外，别无其他。过去，这种情况已经引起了严重的问题，包括为一些或许多用户“破坏了Internet”（在一种情况下，单个ISP意外地将默认路由传播到Internet，从而使他们自己的网络过载，使Internet流量增加了很多）试图穿过它们）。

过去发生的事件（如您建议的事件）变成了学习机会，并产生了最佳实践，其中包括针对此类错误配置的保护措施。如今，提供商通常会采用BCP38 / RFC2827来过滤到连接的组织的流量，使其仅过滤他们应该通告的IP地址。

一些提供商仍实施Bogon过滤，该过滤器如果得到适当维护，将有助于防止来自IP空间的流量，而该IP空间不应该来自有效流量（例如，专用地址范围，未分配的IP空间等）。尽管今天的IPv4绑定列表要比过去小得多（即，现在已分配了大多数IPv4地址），但IPv6绑定列表仍会非常有用，特别是在大型提供商上，以限制IP抢注的范围（即，使用未分配的IP空间）。

— YLearn
source

8

没有什么会阻止他们使用自己计算机上的地址。

如果他们尝试将其广告宣传到Internet上，会发生什么情况取决于其提供者的草率。如果他们的提供商遵循最佳实践，那么将有适当的过滤器，并且广告不会超出劫持者的范围。

OTOH如果他们的提供商及其提供商提供商草率，那么虚假公告可能会走得更远，从而严重破坏IP空间的合法所有者。

这样的事件几乎肯定会引起注意，并且可能会进行一些激烈的讨论并添加一些额外的过滤器。

— 彼得·格林
source

6

假设我有两台机器。我将地址1.2.3.4分配给一个，将1.2.3.5分配给另一个。我没有这些地址。

只要我不尝试上网，这两台机器就可以互相通信而不会出现任何问题。

现在，我连接到Internet。其他答案是关于过滤器阻止事物的信息，但让我们暂时忽略它。

我的机器1.2.3.4尝试连接到某个合法地址，例如12.34.56.78。假定此地址存在并由其适当的所有者控制。

因此，我的机器发送了一个数据包：

从1.2.3.4，至：12.34.56.78，内容：想成为朋友？（翻译成人类）

路由器查看“收件人：”部分并将其正确传送到12.34.56.78。这台机器没有任何怀疑并符合答案

从：12.34.56.78，到：1.2.3.4，内容：当然，让我们成为朋友！

现在出现问题了。这个答案将永远不会传递给您。相反，它将被交付给真实的 1.2.3.4，后者将变得非常困惑。

因此，如果您使用错误的地址，则可以与Internet通讯，但是Internet永远不会回答您。

— 斯蒂格·海默（Stig Hemmer）
source

4

如果您通过BGP宣传虚假地址并且没有人阻止您的公告，则“ Internet永远不会回答您”，那么Internet的大部分都可能很好地回答您，至少在有人意识到发生了什么之前。

— 彼得·格林

2

任何体面的ISP都会实施BCP38，因此您“与互联网对话”的尝试将以其反欺骗过滤器结束。

— Teun Vink

您进行的记号不是不是要尝试连接到互联网，而是实际上是对真正的1.2.3.4（也许还有12.34.56.78）的DOS攻击。这就是为什么TeunVink提到的过滤器（希望）到位的原因

— Hagen von Eitzen

@HagenvonEitzen：那些是完全不同的过滤器。Teun在谈论通过验证路由交换协议（例如BGP）来阻止路由广告。为了防止源欺骗DDoS，您需要对与路由交换无关的数据包进行反向路径过滤。

— Ben Voigt

2

它会在内部使互联网上的大样本变黑

当然。假设他们做了在网络内部使用私有IP地址的常见操作，例如10.xxx。。您知道其网络边缘的钻取，网络地址转换，就像您的家庭网络一样。

除非他们认为10.xxx对他们来说过于严格，并且他们开始在内部分配公共IP地址。首先，它将起作用。但是随后问题就会开始出现。

有人在实验室机器上使用172.217.15.68只是时间问题。这是DNS解析www.google.com的IP地址之一。现在，有时候，当大学内部的某人尝试在Google上进行搜索时，他们的网络浏览器会转到该实验室机器。因为内部路由器无法想象有两个172.217.15.68，一个是内部，一个是外部。他们会简单的路线你的数据包到内部之一。

内部分配的IP块不能在外部路由

但这比那更糟。他们分配了整个网络块，因此所有172.217.xx / 16都将路由到该实验室。您可能不会破坏每个Google IP，但是很多搜索都会失败。对于像Craigslist这样规模较小的公司，它们的所有地址都在同一个网络块中，如果大学在内部分配了该网络块，则整个站点将处于寒冷状态。

这不会影响大学内部网络之外的任何人。外部提供商不会接受大学对Google IP空间的重新分配。路由到该大学的唯一流量将是该大学拥有的公共IP地址。

只需使用IPv6

如果您注册Comcast，他们会给您自己的/ 64。如果您问的很好，我听说他们会给您/ 48。但是，假设您只得到了/ 64，然后精确地绘制了RevOlution的图，并创建了与显示中讨论的相同数量的，可以自食其食的纳米粉。您是否有足够的IPv6地址让每个Nanite拥有自己的IPv6地址？

是。并且有足够的备件在200万个并行地球上执行此操作。

因此，如果您真的担心IP地址用完了，那就应该这样做。

— 哈珀-恢复莫妮卡
source

2

正如许多其他人所言，没有什么可以阻止任何人这样做，但是通常，这在组织外部不会有任何影响，甚至会在内部引起问题。

现在，如果您自己是ISP，并开始告诉其他人您是用来路由此IP的人（使用诸如BGP之类的路由协议），那么这些IP将“部分地”成为您的IP。部分原因是，当发现问题后，将采取措施将其停止。好，直到采取措施为止。

过去发生过BGP事件，导致流量被路由到错误的地方。这是最近事件的链接：https : //hub.packtpub.com/mondays-google-outage-was-a-bgp-route-leak-traffic-redirected-through-nigeria-china-and-russia/ 您可以搜索“ BGP路由泄漏”以了解更多信息。

互联网的信任度很高。事情变化缓慢，但是在许多情况下，ISP只是信任其他ISP。

— 用户名
source