Como os endereços IP são realmente atribuídos?

18

Estou tendo dificuldade para entender como um órgão governamental atribui endereços IP, as empresas usam o BGP para anunciar esses IPs e como a Internet funciona. Então, onde diabos o DNS entra?

Alguém pode sugerir uma boa leitura de como essas coisas realmente funcionam? Suponho que tenho várias perguntas. A primeira é: o ARIN (ou qualquer outro órgão de governo) realmente importa? Se eles não estivessem por perto, haveria caos? Quando eles atribuem um bloco, LITERALMENTE não o atribuem? Você precisa usar o BGP para anunciar, correto? Eu sempre fui acostumado a um ambiente de hospedagem fechado (dedicado / compartilhado) onde você roteava IPs.

Então, como o DNS entra para jogar? Com meu registrador, sou capaz de registrar um servidor DNS (eNom) - o que isso realmente significa? Instalei o Bind e fiz todo esse trabalho e executo meus próprios servidores DNS, mas com quem eles estão registrando esse servidor DNS? Eu simplesmente não entendo.

Eu sinto que isso é algo que eu deveria saber e não sei, e estou ficando muito frustrado. É como ... simples .. como a internet funciona? Desde a atribuição de IPs até empresas que os encaminham e DNS.

Eu acho que tenho um exemplo - eu tenho esse espaço IP, digamos 158.124.0.0/16 (exemplo). A empresa possui 158.124.0.0/17 internet enfrentando. (Primeiro de tudo, por que as empresas recebem blocos de IPs atribuídos e depois não os usam? Por que eles não usam o espaço interno reservado 10.xe 192.x?). Então, é onde eu estou. O que eu faria para realmente disponibilizar esses IPs na Internet? Digamos que eu tenha um data center em Chicago e um em Nova York. Não consigo fazer upload de uma imagem, mas posso vincular uma aqui: http://begolli.com/wp-content/gallery/tech/internetworkings.png

Estou apenas tentando entender como, quando o bloco IP é atribuído, a uma empresa que usa o BGP (atingindo um número de AS público?) E como o DNS entra em cena?

Como seria algo da minha foto? Eu tentei montar um cenário, não sei se fiz um bom trabalho.

Vegim
fonte
6
Como administrador de sistema profissional ou alguém que trabalha em um campo relacionado, espera-se que você saiba disso. Para todos os bits que possam parecer um pouco incertos, já foram publicados um grande número de livros e artigos da Internet. Esse também não é o tipo de pergunta, ou conjunto de perguntas, que pode ser tratado adequadamente por um site de perguntas e respostas como o SF.
John Gardeniers
2
Eu realmente não tenho um problema com esta pergunta - eu encaro da mesma maneira que a pergunta e resposta "Sub-rede 101": é algo que todo administrador de sistemas deve saber, mas alguns podem ter escapado sem o conhecimento necessário. Não podemos cobri-lo tão exaustivamente quanto a sub-rede, mas acho que tê-lo como uma cartilha rápida e suja é uma coisa boa.
precisa saber é o seguinte
11
@ John - Eu acho que existem muitos níveis diferentes. Como afirmei, cresci aprendendo em um ambiente estático no que diz respeito às redes. Eu realmente nunca lidei com ISPs, roteadores de borda e configuração de blocos de IPs. Tive o prazer de ter muitos servidores dedicados, configurar distribuições Linux, protegê-las, executar aplicativos da Web e poder gerenciar essas caixas. Existem lados diferentes no espectro, e acho que não devemos saber disso. Esperamos conhecer tarefas especializadas. Algumas pessoas conhecem muito bem a engenharia de redes .. outras não.
Vegim

Respostas:

23

Blocos IP alugados

Os IPs são atribuídos em blocos pela IANA aos Registros Regionais da Internet (RIR). Veja isto ( lista e mapa ) dos RIRs. Os RIRs então alugam IPs de blocos menores para empresas individuais (geralmente ISPs). Existem requisitos (incluindo taxas e comprovante de uso) para obter uma distribuição e deixar de mantê-los significa perda de arrendamento.

Uma vez que uma empresa aluga um ou mais blocos do RIR, eles precisam de alguma maneira de dizer ao resto do mundo onde encontrar um determinado IP (ou conjunto: sub-redes). É aqui que o BGP entra em cena. O BGP usa um conceito de rede grande chamado Sistema Autônomo (AS). O AS sabe como rotear dentro de si. Ao rotear para outra rede, ele conhece apenas o AS Gateways e o "salto seguinte" em direção a esses endereços externos. Os números AS também são gerenciados pela IANA .

Dentro de um AS, mesmo um grande como um ISP, eles podem usar vários protocolos de roteamento (RIP, OSPF, BGP, EIGRP e ISIS) para rotear o tráfego internamente. Também é possível usar tabelas de roteamento estático, mas totalmente impraticável na maioria dos aplicativos. Os protocolos de roteamento interno são um tópico importante, então vou simplificar dizendo que há outras perguntas sobre falha no servidor que podem fazer com que esses tópicos sejam mais justos do que aqui.

DNS

Os humanos não se lembram bem dos números, então inventamos os nomes dos hosts. Ignorando o histórico, usamos o DNS (Sistema de Nomeação de Domínio) para rastrear qual nome de host aponta para qual endereço IP. Há um registro central para eles, também gerenciado pela IANA, e eles determinam quais domínios de primeiro nível (TLD) (por exemplo, ".com" ou ".net") vão na zona raiz, servida pelos servidores raiz. A IANA delega a administração da "zona raiz"; esse administrador só aceita atualizações de registradores qualificados.

Você pode usar um Registrador para "comprar" um nome de domínio, que é um subdomínio de um TLD. Esse registro essencialmente cria esse subdomínio e atribui o controle sobre os registros do servidor de nomes (NS) e da cola (A). Você os aponta para um servidor DNS que hospeda seu domínio . Quando um cliente deseja resolver seu IP a partir de um nome de domínio, ele entra em contato com o servidor DNS, que faz uma pesquisa recursiva, começando com o servidor raiz, localizando o servidor DNS e, eventualmente, obtendo as informações relevantes.

Todos concordam

Quanto aos "órgãos de governo": todos concordam em usá-los. Não existem (ou muito poucas) leis que exijam a cooperação de todos. A Internet funciona porque as pessoas optam por cooperar . Os órgãos de governo fornecem um meio de cooperação fácil. Todos os vários RFCs, "Standards" e outros - ninguém está sendo forçado a usá-los. Mas entendemos que a sociedade se baseia na cooperação e é do nosso próprio interesse fazê-lo.

A eficiência gerada pela cooperação é a mesma razão pela qual o BGP é popular, todos basicamente concordam em usá-lo. Nos dias da ArpaNet, eles começaram com tabelas de rotas configuradas manualmente; gradualmente, progrediu para um sistema mais abrangente à medida que a Internet cresceu em complexidade, mas todos "concordaram" em usar qualquer novo padrão. Da mesma forma, a resolução de nomes declarou com os arquivos host que as redes distribuiriam e, eventualmente, cresceram no sistema DNS que conhecemos hoje. ("Concordo" entre aspas porque muitas vezes uma minoria estabeleceu um requisito para um novo padrão e ninguém mais tinha uma alternativa melhor, por isso foi aceito).

Confiar em

Esse nível de cooperação exige muito da IANA. Como você viu, eles gerenciam a maioria dos núcleos dos vários sistemas. Atualmente, a IANA é uma corporação sem fins lucrativos patrocinada pelo governo dos EUA (semelhante à agência dos correios dos EUA), não faz parte do governo, embora apenas tenha sido removida. Nos últimos anos, havia a preocupação de que o governo dos EUA pudesse exercer algum controle sobre a IANA como uma "arma" contra outros governos ou civis do mundo (principalmente por meio de leis como SOPA e PIPA, que não foram aprovadas, mas podem ser a base para futuras leis) .

Atualmente, a IANA se encarregou de angariar fundos (apesar de ser uma empresa sem fins lucrativos ) através da criação de novos TLDs. O TLD "xxx" foi visto por alguns como uma campanha de arrecadação de fundos no estilo extorcionista, pois uma grande porcentagem de registrantes estava "defendendo" seu nome. A IANA também aceitou pedidos de DPNs de propriedade privada (US $ 180.000 cada; eles suspenderam o processo de solicitação após serem inundados com pedidos, quase metade sendo apenas da Amazon. Muitos desses aplicativos resultaram em novos gTLDs .

Chris S
fonte
Sem problemas! Boa resposta - será bom apontar para as pessoas que precisam da visão geral.
Shane Madden
Você acha que poderia elaborar as delegações para o DNS reverso? Esta é uma ótima resposta que já aborda os assuntos relacionados, portanto, adicionar essa informação fecharia o ciclo da coisa toda.
Andrew B
5

Todos os anúncios na Internet pública, a DFZ (Zona Livre Padrão), são feitos via BGP (Border Gateway Protocol), como os ISPs fazem o roteamento interno varia muito. A maioria usaria o BGP internamente, bem como entre seus próprios roteadores (o BGP é frequentemente usado em conjunto com um IGP como OSPF) e também com clientes, se você não tiver seu próprio número de AS, poderá usar um AS privado para fazer uma consulta. seu provedor de serviços de Internet e quando eles anunciam seu espaço de endereço para o DFZ, eles simplesmente removem o AS privado do caminho. Para links não redundantes menores, você também pode usar o roteamento estático no PE. A "atribuição" real está apenas no banco de dados do seu registrador, o banco de dados whois, RIPE / ARIN etc, executa seus próprios bancos de dados para esse fim.

Tente executar o comando whois 158.124.0.0/16em uma caixa do Linux.

O mesmo acontece com o DNS, o servidor DNS reverso é especificado nos registros whois.

HampusLi
fonte
3

Essa é uma pergunta muito antiga, mas eu tive muitas das mesmas perguntas para descobrir como a Internet funciona . Assim como as outras respostas, os livros sobre redes oferecem uma visão geral do BGP e do DNS, mas ainda me deixam confuso. Por exemplo, a.root-servers.net a m.root-servers.net são fornecidos como servidores raiz, mas como um serviço DNS sabe onde encontrar esses servidores se eles não podem usar o DNS eles mesmos.

Os princípios básicos de IP, sub-rede, DNS etc. são assumidos como conhecidos por esta resposta. Estou abordando "lacunas" que eu, e provavelmente o interlocutor, tenho sobre como a Internet funciona. De modo algum sou um especialista, mas esse é meu entendimento das lacunas.

Endereços IP

A primeira coisa a observar é que, quando a Internet começou como ARPANET, todo mundo sabia que todo mundo e as tabelas de roteamento para endereços IP eram codificadas manualmente. Presumo que o processo de atribuição de IPs tenha sido realizado por telefone. Como a Internet ficou grande demais, o BGP foi usado por várias redes (AS) para anunciar que eles tinham IPs públicos ou poderiam acessar um IP público através do seu AS para outro AS. Havia a confiança de que um AS não anunciaria um IP que não possuía.

Hoje, não há tanta confiança. Em vez disso, os ISPs podem baixar e autenticar as alocações de IP para cada AS da IANA e das autoridades regionais. Esses downloads agora são autenticados por meio de criptografia de chave pública. Portanto, quando a IANA "atribui um endereço IP", eles estão alterando seu registro (ou realmente a autoridade regional altera seu registro). Todos os outros AS podem fazer o download e autenticar seus registros.

Esses registros são importantes porque os ISPs não podem aceitar a palavra de outros ISPs de que eles têm os endereços IP. Os ISPs podem comparar o anúncio BGP com os registros IP autenticados. Se qualquer anúncio do BGP mostrar o último AS como um AS diferente do que está no registro autenticado da IANA e do RIR, o anúncio do BGP não altera seu próprio roteamento.

Mais comumente, um ISP ou AS desonesto pode anunciar que possui uma rota através do AS que não possui. O AS1 possui um IP registrado e o AS5 atualmente usa AS5 -> AS4 -> AS3 -> AS1 -> IP. O AS2 anuncia ao AS5 uma rota de AS5 -> AS2 -> AS1 -> IP. Exceto que o AS2 não tem realmente uma conexão com o AS1. Pode apenas perder os pacotes, talvez frustrar os clientes de hospedagem do AS1. Ou o AS2 poderia ser uma rede de pequena empresa com um acordo de hospedagem múltipla com o AS5 e o AS1. Seu roteador está configurado incorretamente e anuncia um caminho através de uma rede de pequena empresa. Quase todos os ISPs jogam fora esses anúncios de seus clientes BGP e apenas transmitem anúncios BGP encerrados.

Provavelmente, você tem o caso do Paquistão tentando desligar o YouTube no Paquistão por meio de um seqüestro de IP, e também o YouTube fora do Paquistão, já que a AS fora do Paquistão assumiu que seus anúncios do BGP estavam corretos.

No final, não há uma defesa perfeita contra esse seqüestro de IP. Na maioria dos países como os EUA, esse abuso de BGP pode ser punido como quebra de contrato, e outros ISPs interromperão as conexões de pares com esse AS, se necessário. Um ISP também pode desconsiderar todo o equipamento IANA e RIR e redirecionar os endereços IP para seus próprios servidores. Porém, isso não funcionará em sites https, assumindo que o ISP não possua as chaves privadas de nenhuma autoridade de certificação. Há muito pouco a ganhar com isso economicamente. Isso só acontece com governos autoritários, como o Egito, que recentemente desligou todos os anúncios do BGP para seus ISPs de fora do país.

Servidores DNS

O DNS é um pouco mais simples quando as tabelas IP estão corretas. Os servidores raiz são todos os endereços IP codificados no código do servidor DNS. a.root-servers.net é 198.41.0.4 e o endereço IP é anycast dentro de um AS. No caso de a.root-servers.net, o AS é a Verisign e existem cinco sites diferentes. Nos EUA, os dois sites são Nova York e Los Angeles. Qualquer transmissão é como se você tivesse um endereço da 123 Main Street e dissesse "Não importa em que cidade você está, vá para a 123 Main Street e você encontrará uma das minhas empresas". A 123 Main Street, em Nova York e Los Angeles, dará a mesma resposta para todos os domínios de nível superior. O AS, neste caso a Verisign, descobre internamente qual servidor tem menos saltos através do OSPF, BGP interno e outros protocolos de roteamento. Portanto, um roteador em Denver pode ir para LA enquanto um roteador em Chicago vai para Nova York.

Um dos servidores raiz fornece qual endereço IP para o domínio de nível superior. Em seguida, esse domínio fornece o domínio para yoursite.com. Os registradores realmente têm um contrato com quem executa o domínio de nível superior. Portanto, se o domínio de nível superior atualmente não tiver um registro para yoursite.com, ele poderá acessar para adicionar um registro ao servidor quem é. Em seguida, com o acesso que o registrador forneceu aos registros DNS do yoursite.com, você alterou os registros no servidor DNS para acessar o seu endereço IP.

Como o DNS depende de vários endereços IP no lugar certo, você tem o mesmo problema de antes com o AS autenticando o registro IP e depois as atribuições de BGP. Essa é a peça chave para um site http. Https tem a proteção adicional de certificados. Portanto, um ISP não pode redirecionar solicitações para seus próprios servidores raiz e servidores de domínio de nível superior para fornecer seu próprio IP para, por exemplo, citibank.com. Se o fizeram, o endereço IP fornecido ao usuário será um endereço IP diferente, mas o servidor não terá a chave privada do Citibank.

mwwaters
fonte
1

e não, não estou de brincadeira (comecei este livro há 15 anos, mas ainda é muito relevante): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Então, volte aqui com as perguntas do BGP =)

Greeblesnort
fonte
2
Parece que a primeira parte da sua resposta foi cortada de alguma forma.
John Gardeniers