Questão Você pode pegar qualquer endereço IP na Internet?


Em uma rede pessoal (LAN) pode-se simplesmente pegar um endereço de IP. Se você escolher o mesmo endereço IP de um cliente existente, terá problemas. Existem empresas como a IANA e a ICANN que são responsáveis ​​pelo volume de endereços IP e as vendem. Mas o que impede você de apenas pegar um endereço IP aleatório? Isso é construído na confiança? E se alguém pegasse um endereço IP e ocorresse um conflito. Existe alguma maneira de rastrear esse endereço IP para o local do servidor usando-o?

As empresas que realmente mantêm os cabos físicos da Internet verificando se os clientes conectados estão usando blocos de endereços IP comprados?


82


origem




Respostas:


Não há nada que o impeça de anexar uma caixa configurada com o endereço IP de outra pessoa à Internet. No entanto, isso não causará necessariamente problemas para ninguém além de você mesmo.

Se você roubar o endereço IP de outra pessoa fora da sub-rede à qual está fisicamente conectado, a única coisa que você conseguirá é não receber tráfego, pois qualquer roteador, com um comportamento adequado, encaminhará o tráfego para o verdadeiro proprietário deste Endereço de IP. Você pode ser capaz de anunciar rotas falsas para qualquer roteador de borda a montante de você na esperança de que elas sejam propagadas ainda mais na esperança de obter o tráfego roteado para você com base em seu endereço IP roubado, mas qualquer provedor de provedor de Internet / provedor marginalmente competente nunca aceite rotas de seus consumidores não empresariais. No que diz respeito aos clientes corporativos / outros ISPs, eles estão sujeitos a regras específicas sobre quais rotas podem anunciar e usar com seu provedor de trânsito ou peer, que são monitorados 24 horas por dia, 7 dias por semana, pelas equipes de operações e controle de rede. A maioria também tem regras sobre quais rotas elas aceitarão como válidas, dependendo de quem as publicou. Em suma, roubar o endereço IP de alguém fora da sub-rede à qual você está conectado não faz nada, a menos que você também possa manipular as tabelas de roteamento upstream.

Além disso, se você roubasse um endereço IP de alguém em sua mesma sub-rede, interromperia o tráfego da pessoa que possui e de você mesmo. Com qualquer switch ou roteador gerenciado, isso aumentará os alarmes, pois há um endereço duplicado na rede e provavelmente fará com que sua conexão seja bloqueada de alguma forma.


114



Algo que você mencionou, mas não mencionou explicitamente, é que você não pode se comunicar com o proprietário real do endereço IP, ou talvez com o proprietário real de toda a sub-rede. - Michael Hampton
Eu precisaria "não ser capaz de receber qualquer tráfego da internet"em vez de" sem tráfego "(em absoluto). [Exemplo não na idéia do OP:] Há (foi?) algumas empresas que achavam aceitável usar endereços da Internet como seus IPs internos, em sua LAN (s) ... E "meio que" funciona (mas é uma idéia horrível, e não reproduzida), mas eles se perguntam por que não conseguem acessar alguns sites (como usar o NAT no seu Gateway de Internet: qualquer pacote destinado a um host no mesmo intervalo que o seu alcance "interno" será enviado pelas suas máquinas LAN na sua LAN, em vez de para o gateway a ser enviado ...) - Olivier Dulac
@OlivierDulac Não é necessariamente um problema, desde que você não direcione / NAT para a Internet, mas use proxies. Leva um pouco de configuração muito cuidadosa, mas certamente é possível. (Na verdade eu trabalho para uma empresa que opera assim. Multinacional com cerca de 500.000 ip-devices.) - Tonny
Os ISPs recusam o tráfego de clientes que (com minha terminologia se estiverem incorretos) reivindicam um IP estático em vez de ter recebido um via DHCP? - Dean MacGregor
@ Tonny: Eu estava apenas restringindo o "tráfego" um pouco mais. E eu sei que existem soluções / soluções alternativas, mas ainda assim é melhor usar uma classe A reservada (10.x / 8, mais de 16 milhões de endereços ou uma sub-rede se precisar de menos [bom manter intervalos não utilizados para casos especiais] ) do que usar um intervalo não reservado [onde toda a tabela de roteamento do seu roteador local precisará ser cuidadosamente projetada para distinguir o tráfego local dos da internet. Alguma configuração cuidadosa torna "fácil", a maioria não faz] - Olivier Dulac


Semelhante à resposta do mpez0, mas eu gosto de uma analogia de bom carro ...

Eu estou escolhendo o Reino Unido para isso, já que é onde eu moro. Imagine que você vive em um mundo onde as pessoas seguem os sinais da estrada sem questionar, e acontece que você mora no norte da Escócia, tão longe quanto possível de Londres sem atravessar a água. Você mora em uma cidade pequena, e um dia você decide que vai mudar o nome da sua cidade para 'Londres', já que obviamente terá o efeito de direcionar mais comércio e turismo para a sua cidade, certo? Você até se dá ao trabalho de atualizar os sinais de trânsito locais para refletir o novo nome de sua cidade.

O que realmente acontece? Bem, você tem muitas pessoas de aldeias vizinhas visitando sua cidade seguindo os sinais e se perguntando por que eles não estão em Londres. Mas, além disso, nada muda. Por quê?

Considere alguém que mora no meio da Inglaterra. Eles sabem que Londres fica no sul, então quando eles pegam a estrada para ir a Londres, eles seguem os sinais que dizem 'O SUL' e continuam até que os sinais fiquem mais específicos. Em outras palavras, deles roadsigns ainda apontam para a verdadeira Londres. Suas "tabelas de roteamento" não mudaram. O fato de sua cidade ter decidido mudar seu nome para Londres é irrelevante para eles. Suas rotas locais não são específicas o suficiente para perceber a mudança.

Se você decidir alterar o seu endereço IP, os roteadores em outros locais não perceberão de repente esse fato. Os sinais de trânsito não serão alterados.


120



Esta é uma comparação muito boa. - Friend of Kim
Falando em ficar confuso com os sinais, não sei se o Reino Unido é assim, mas nos EUA não é incomum ter um sinal antes de virar em uma estrada anunciando uma cidade a centenas de quilômetros de distância. Quando eu era criança, eu achava isso confuso, como alguém poderia estar na Escócia e entrar na estrada esperando que Londres fosse a próxima cidade do outro lado ... - Michael
@Michael No Reino Unido, por outro lado, não é incomum ver sinais que realmente dizem, simplesmente, "O Sul". - E.P.
@Michael Veja esta pergunta e suas respostas em Travel.SE. - gerrit
Há também a noção de uma rota padrão nos sinais de trânsito: "Todas as direções" ou "Outras direções". Uma vez na França, encontramos um cruzamento que tinha ambos os sinais, mas apontando em direções diferentes;) - MSalters


Considere a analogia do endereço da sua casa. Um dia você decide mudar seu endereço de "123 First Street" para "1600 Pennsylvania Avenue". Que diferença faz fora das suas próprias linhas de propriedade? Nenhum - porque o resto do mundo ainda se comporta como se a localização física da sua casa não mudasse, o nome da sua rua não mudasse, o nome da cidade não mudasse, o CEP não mudasse. . Você entendeu a ideia.

Correio, pacotes e assim por diante serão "encaminhados" para sua casa com base em sua localização na rede de endereços de sua comunidade. O número da sua casa (computador), por si só, é apenas a última e última parada (hop da rede). Tudo ao longo do caminho tem que concordar, tem que sincronizar e você controla apenas o final do caminho.

Você pode numerar sua casa (ou computador) como quiser, mas para que o tráfego da rede continue fluindo, você deve sincronizá-lo com seu ambiente. Para alterar o endereço da sua casa, você teria que alterar o seu número, e obter a burocracia para alterar o nome da sua rua, e alterar o nome da sua cidade, e seu CEP. Da mesma forma, para alterar o seu endereço IP para algo fora do seu bloco alocado, você teria que mudar o seu número, e obter o seu provedor de upstream para alterar o seu bloco alocado, e mudar seus roteadores para rotear esse bloco para você, e anunciar que via BGP para seus pares de roteamento.

Em ambos os casos, você está sincronizando sua mudança com o mundo exterior, para que o mundo exterior saiba como encontrá-lo. Caso contrário, o efeito é que o tráfego de rede não pode mais encontrá-lo - e a única entidade afetada pela sua mudança de endereço é você. Que, arquitetonicamente falando, é uma coisa boa!


21





Um determinado ISP poderia atribuir qualquer endereço a qualquer cliente. No entanto, os endereços são úteis apenas porque podem ter pacotes roteados entre eles e outros endereços. Um ISP que esteja atribuindo endereços fora do intervalo atribuído pela ICANN não obterá pacotes roteados de / para esse endereço ou causará erros de roteamento em outros locais da Internet. Esse é o tipo de coisa que acontece quando alguns dos censores ou filtros nacionais da Internet dão errado, ou às vezes quando ISPs de nível superior configuram mal suas informações de roteamento.

Então, sim, você poderia configurar um servidor interno com os mesmos endereços como Google.com, army.mod.uk, etc. Mas você provavelmente não receberia pacotes destinados a esses hosts, pelo menos não de fora de seu roteamento. esquema.


10





Se você é um ISP, você pode roubar IP-Ranges inteiros. Os provedores e grandes empresas e similares têm assim chamados Sistema Autônomo identificado por "AS" e um valor inteiro de 16 bits. Este sistema se comunica com outros sistemas. Eles precisam de um protocolo para informar aos outros sistemas quais IPs possuem e a que outros AS estão conectados, além de algum "custo" para a conexão. Entre AS, isso geralmente é BGP.

O problema é que isso ainda é baseado principalmente na confiança. Se algum fornecedor anunciar que agora ele é dono do espaço IP do Google e o custo é muito baixo, todos os outros sistemas enviam tráfego para o google para esse provedor. Isto foi feito, e. com Youtube em uma tentativa de funcionários paquistaneses para bloqueá-lo no Paquistão. Ainda não existe uma solução técnica real. Isso basicamente ainda funciona. A maioria dos provedores mudou de um processo automático para um semi-automático, onde eles definem alguns critérios sobre as alterações de rota anunciadas por outros provedores quando eles precisam ser verificados por um ser humano. Mas a internet é grande demais para checar tudo. Então eles têm regras como "se o AS fez algo ruim antes, verifique manualmente".

Então não, você como pessoa normal não pode roubar um IP. Mas se você é um provedor grande o suficiente, você pode roubar faixas inteiras de IP por pelo menos horas, se não dias. Se você fizer isso apenas por sub-redes muito pequenas e tentar redirecionar o tráfego para o alvo real, você pode até mesmo escapar com um homem no meio do ataque sem que ninguém perceba.

Há, claro, também um artigo da wikipedia!

Se você quer brincar, um bom começo é o ferramenta de informação BGP pelo furacão elétrico. Há também uma ferramenta gráfica. Você pode inserir o número AS do seu provedor que o site lhe informa e ver quais peerings seu provedor usa.


6





"O ISP poderia lidar com ISPs que não comprou?"

Comunicação basicamente acontece assim: PC para máquina de destino (ou um roteador ou diretamente para o destino - determinado pela máquina de envio através de uma comparação de seu endereço IP e sua máscara de sub-rede; se o destino não estiver na mesma sub-rede é enviado para o roteador para roteamento).

Se um roteador recebe um pacote para roteamento, ele toma uma decisão semelhante com base em todas as sub-redes e também está diretamente conectado. Escolhe qual sub-rede enviará o pacote através de sua "tabela de roteamento". Nota: A tabela de roteamento na máquina cliente foi usada na primeira etapa - experimente o CMD: "Route Print" no Windows.

No último roteador no processo, aquele com o endereço IP de destino em uma de suas sub-redes conectadas, o roteador envia diretamente para o host através de seu endereço MAC (possivelmente após o uso de RARP).

Assim, os endereços IP são usados ​​para rotear entre os roteadores e os roteadores têm alguma maneira de saber como rotear com base em conjuntos limitados de informações. Os roteadores compartilham informações dinamicamente sobre alterações de rota (disponibilidade de sub-rede de rede), mas "podem fazê-lo de maneira autenticada". Não posso comentar se a autenticação é aplicada.

Se um ISP 'libera' endereços IP para hosts via DHCP ou qualquer outro meio, os dados da tabela de rotas devem existir para uma comunicação bidirecional bem-sucedida. Seria trivial identificar um ISP desonesto. Mesmo se houvesse uma abordagem de confiança acontecendo em diferentes níveis, censurar as atualizações de roteamento do ISP ainda seria trivial.


5





O registro do endereço IP é regulado em uma rede local por algum tipo de roteador. Com o DHCP, um computador pergunta se há um endereço IP do roteador e um é atribuído a ele. Mas uma vez que você queira deixar sua rede local, seu IP é atribuído pelo seu ISP. Existem maneiras de falsificar o endereço IP de um pacote, mas assim que ele atinge um dos roteadores do ISP, o endereço IP é substituído pelo seu próprio. A única coisa que permanece a mesma é o endereço MAC, que também pode ser falsificado. Mas desde que seu endereço IP é substituído no primeiro roteador, limita o que você pode fazer.

Para lhe dar uma resposta curta, o ISP designa tudo em um pipe para ser associado ao seu endereço IP registrado. É como eu dizendo para você escolher um cartão e só tem um cartão. Os endereços IP locais e públicos são completamente separados.

Para mais informações, você pode verificar isso http://en.wikipedia.org/wiki/IP_address_spoofing


4



Obrigado por uma boa resposta. No entanto, não estou pensando em mudar o IP na minha rede privada. Estou falando de empresas que se conectam diretamente à internet, como, por exemplo, empresas de servidores de internet. Para continuar seu exemplo. O ISP poderia começar a distribuir IPs que não comprou? - Friend of Kim
Acredito que, no nível mais alto do ISP, esse sistema é baseado na confiança. Mas eu não tenho certeza. Veja mais algumas informações: en.wikipedia.org/wiki/Tier_1_network, en.wikipedia.org/wiki/… - Fallen
Esta resposta está errada em alguns pontos. Está assumindo que todo mundo usa NAT, o que não é o caso. Está combinando NAT e roteamento. E a afirmação de manter o endereço MAC descartando o endereço IP de origem é praticamente o oposto do que acontece quando um pacote atravessa um gateway. - JdeBP
O NAT está envolvido na minha resposta, mas mesmo sem o NAT, não mudaria o fato de que o endereço IP atribuído pelo ISP substituiria o IP nos pacotes. A menos que os ISPs considerem de boa fé que os IPs estão corretos e não os modifiquem. - Fallen
@Fallen: A mina verifica os endereços IP, mas não os toca. O endereço IP está errado e o pacote está desistiu, ou é passado. Eu pessoalmente não conheço muitos ISPs que reescrevem IP's, mas eu entendo que isso é mais comum na Ásia (falta de endereços IPv4) - MSalters


Você pode "usar" qualquer endereço IP para os pacotes enviados, mas a limitação é, na verdade, sobre os pacotes que você receberá.

"Comprar" um intervalo de endereços IP significa que várias outras pessoas configurarão seus roteadores de modo que os pacotes enviados para esse intervalo de endereços IP sejam encaminhados um passo mais perto de você, chegando a um dispositivo controlado por você. É tudo sobre manter muitas tabelas de roteamento com uma lista dizendo (um pouco simplificada) "xxx.yyy.. é enviado para a esquerda, xxx.zzz.. é enviado para a direita ".

"Simplesmente pegar" um endereço arbitrário resultará que, se você quiser entrar em contato com www.google.com, enviará um pacote inicial para eles, mas o pacote de resposta será encaminhado ao proprietário real conforme configurado corretamente e você ganhou veja isso. Se você pegou um endereço pertencente ao seu vizinho no mesmo ISP, então o roteador do ISP mais próximo a você será configurado para enviar todas essas mensagens para o seu vizinho, e não para você. Se você pegasse um endereço aleatório, provavelmente seria enviado para outro canto do mundo, e a resposta nem chegaria perto do seu ISP.

É como no correio postal, se você mora em Pyongyang, mas quer começar a receber correspondência endereçada para "1600 Pennsylvania Ave NW, Washington, DC 20500, Estados Unidos", então você teria que convencer (pelo menos um dos) serviços postais entre o remetente e o proprietário do endereço para enviar essas mensagens do seu jeito. Isso é possível se todos os remetentes estiverem em uma rede interna da empresa; mas essa provavelmente não era a questão.


4





A função DHCP (Dynamic Host Configuration Protocol) do roteador em que um indivíduo está conectado aloca um endereço IP em um intervalo específico. Você não pode simplesmente pedir um endereço IP específico. Tanto quanto eu sei que um indivíduo não pode "falsificar" um endereço IP.


2



Obrigado por uma boa resposta. No entanto, não estou pensando em mudar o IP na minha rede privada. Estou falando de empresas que se conectam diretamente à internet, como, por exemplo, empresas de servidores de internet. Para continuar seu exemplo. O ISP poderia começar a distribuir IPs que não comprou? - Friend of Kim
Na verdade, você pode pedir um endereço específico via DHCP. Cabe ao servidor se deseja concordar com o seu pedido, no entanto. - BRPocock
@ Peter, ele está perguntando o que se você é o DHCP. - Pacerier