Você pode pegar qualquer endereço IP na Internet?

82

Em uma rede pessoal (LAN), pode-se simplesmente pegar um endereço IP . Se você escolher o mesmo endereço IP que um cliente existente, terá problemas. Existem empresas como IANA e ICANN que são responsáveis ​​pelos volumes de endereços IP e os vendem. Mas o que impede você de simplesmente pegar um endereço IP aleatório? Isso é construído com base na confiança? E se alguém pegasse um endereço IP e ocorressem conflitos? Existe alguma maneira de rastrear esse endereço IP para o local do servidor que o está usando?

As empresas que realmente mantêm os cabos físicos da Internet verificam se os clientes que estão se conectando estão ou não usando blocos de endereços IP comprados?

Friend of Kim
fonte

Respostas:

114

Não há nada que impeça a conexão de uma caixa configurada com o endereço IP de outra pessoa à Internet. No entanto, isso não necessariamente causará problemas para mais ninguém além de você.

Se você roubar o endereço IP de outra pessoa fora da sub-rede à qual você está fisicamente conectado, a única coisa que você conseguirá é não conseguir receber tráfego, pois qualquer roteador, se comportando corretamente, encaminhará o tráfego para o verdadeiro proprietário deste Endereço de IP. Você pode anunciar rotas falsas para qualquer roteador de borda que esteja a montante de você, na esperança de que eles se propagem ainda mais na esperança de direcionar o tráfego para você com base no seu endereço IP roubado, mas qualquer provedor ISP / upstream marginalmente competente nunca aceite rotas de seus consumidores não empresariais. No que diz respeito aos clientes corporativos / outros ISPs, eles estão sujeitos a regras específicas sobre quais rotas eles podem anunciar e usar com seu fornecedor ou parceiro de trânsito, que são monitorados 24 horas por dia, 7 dias por semana, pelas equipes de operações e controle de rede. A maioria também possui regras sobre quais rotas serão aceitas como válidas, dependendo de quem as anunciar. Em resumo, roubar o endereço IP de alguém fora da sub-rede à qual você está conectado não faz nada, a menos que você também possa manipular as tabelas de roteamento upstream.

Além disso, se você roubar um endereço IP de alguém na mesma sub-rede, você interromperá o tráfego da pessoa que o possui e de você. Com qualquer switch ou roteador gerenciado, isso gera alarmes, pois há um endereço duplicado na rede e provavelmente fará com que sua conexão seja bloqueada de alguma forma.

Fred Thomsen
fonte
Uma coisa a que você aludiu, mas não mencionou explicitamente, é que você não pode se comunicar com o verdadeiro proprietário do endereço IP, ou talvez o verdadeiro proprietário de toda a sub-rede.
Michael Hampton
3
Eu precisaria "não conseguir receber nenhum tráfego da Internet " em vez de "sem tráfego" (de todo). [Exemplo não da ideia do OP:] Algumas empresas acharam que era aceitável usar endereços da Internet como seus IPs internos, em suas LANs (s) ... E isso "meio que" funciona (mas é horrível) idéia e não deve ser reproduzida). Mas eles se perguntam por que não conseguem acessar alguns sites (como, mesmo usando NAT no gateway da Internet: quaisquer paquets destinados a um host no mesmo intervalo que o intervalo "interno" serão enviados pelas máquinas da LAN na LAN, em vez de para a porta de entrada para ser enviado ...)
Olivier Dulac
@OlivierDulac Não é necessariamente um problema, desde que você não direcione / NAT para a Internet, mas use proxies. É preciso uma configuração bastante cuidadosa, mas é certamente possível. (Na verdade eu trabalho para uma empresa que atua como esta multinacional com cerca de 500.000 ip-dispositivos..)
Tonny
Os ISPs recusam o tráfego de clientes que (perdoem minha terminologia, se incorretos) reivindicam um IP estático em vez de receber um via DHCP?
21715 Dean Dean MacGregor
@ Tony: Eu estava apenas restringindo o "qualquer tráfego" um pouco mais. E sei que existem soluções / soluções alternativas, mas ainda assim é melhor usar uma classe A reservada (10.x / 8, mais de 16 milhões de endereços ou uma sub-rede dela, se você precisar de menos [bom para manter intervalos não utilizados em casos especiais] ) do que usar um intervalo não reservado [em que todas as tabelas de roteamento do roteador local precisarão ser cuidadosamente projetadas para diferenciar o tráfego local do tráfego da Internet. Alguns configuração cuidado faz com que seja "fácil", a maioria não]
Olivier Dulac
120

Semelhante à resposta do mpez0, mas eu gosto de uma boa analogia de carro ...

Estou escolhendo o Reino Unido para isso, já que é onde moro. Imagine que você mora em um mundo onde as pessoas seguem as placas de trânsito sem questionar, e por acaso mora no norte da Escócia, o mais longe possível de Londres, sem atravessar a água. Você mora em uma cidade pequena e um dia decide mudar o nome de sua cidade para 'Londres', pois isso obviamente terá o efeito de direcionar mais comércio e turismo para sua cidade, certo? Você ainda se preocupa em atualizar os sinais de trânsito locais para refletir o novo nome da sua cidade.

O que realmente acontece? Bem, você recebe muitas pessoas das aldeias vizinhas visitando sua cidade seguindo as placas e se perguntando por que elas não estão em Londres. Mas, além disso, nada muda. Por quê?

Considere alguém que vive no meio da Inglaterra. Eles sabem que Londres fica no sul; portanto, quando pegam a estrada para ir a Londres, seguem as placas que dizem 'O SUL' e continuam até as placas ficarem mais específicas. Em outras palavras, seus sinais de trânsito ainda apontam para a verdadeira Londres. Suas 'tabelas de roteamento' não foram alteradas. O fato de sua cidade ter decidido mudar seu nome para Londres é irrelevante para eles. Suas rotas locais não são suficientemente específicas para perceber a mudança.

Se você decidir alterar seu endereço IP, os roteadores de outros lugares não ficarão sabendo desse fato repentinamente. Os sinais de trânsito não mudam.

Chris McKeown
fonte
13
Esta é realmente uma boa comparação.
Friend of Kim
Por falar em estar confuso com as placas, não sei se o Reino Unido é assim, mas nos EUA não é incomum ter uma placa antes de entrar em uma rodovia anunciando uma cidade a centenas de quilômetros de distância. Quando eu era criança, eu encontrei este confuso, como se poderia ser na Escócia e ficando na estrada esperando Londres para ser a cidade mais próxima ...
Michael
14
@ Michael No Reino Unido, por outro lado, não é incomum ver sinais que realmente dizem, simplesmente, "O Sul" .
EP
2
Há também a noção de uma rota padrão nos sinais de trânsito: "Todas as direções" ou "Outras direções". Uma vez na França, encontramos um cruzamento que teve ambos os sinais, mas apontando em direções diferentes;)
MSalters
21

Considere a analogia do endereço da sua casa. Um dia você decide mudar seu endereço de "123 First Street" para "1600 Pennsylvania Avenue". Que diferença faz fora de suas próprias linhas de propriedade? Nenhum - porque o resto do mundo ainda se comporta como se a localização física da sua casa não mudasse, o nome da sua rua não mudasse, o nome da cidade não mudasse, o código postal não mudasse .. . Você entendeu a ideia.

Correio, pacotes e assim por diante serão "roteados" para sua casa com base em sua localização na rede de endereços da sua comunidade. O número da sua casa (computador), por si só, é apenas a última e a última parada (salto de rede). Tudo ao longo do caminho precisa concordar, precisa ser sincronizado e você só controla o final do caminho.

Você pode numerar sua casa (ou computador) o que quiser, mas para o tráfego da rede continuar fluindo, você deve fazê-lo em sincronia com o ambiente. Para alterar o endereço da sua casa, você teria que alterar o número e obter a burocracia para alterar o nome da sua rua, e alterar o nome da sua cidade e o código postal. Da mesma forma, para alterar seu endereço IP para algo fora do bloco alocado, você teria que alterar o número e pedir ao seu provedor upstream que altere o bloco alocado, e alterar os roteadores para rotear esse bloco para você, e anunciar isso via BGP para seus pares de roteamento.

Nos dois casos, você está sincronizando sua alteração com o mundo exterior, para que o mundo exterior saiba como encontrá-lo. Caso contrário, o efeito é que o tráfego da rede não poderá mais encontrá-lo - e a única entidade afetada por sua alteração de endereço é você. O que, arquitetonicamente falando, é uma coisa boa!

AndroidNewbie
fonte
10

Um determinado provedor de serviços de Internet pode atribuir qualquer endereço a qualquer cliente. No entanto, os endereços são úteis apenas porque podem ter pacotes roteados entre eles e outros endereços. Um ISP que atribua endereços fora do intervalo atribuído pela ICANN não receberá os pacotes roteados para / a partir desse endereço ou causará erros de roteamento em outros lugares da Internet. Esse é o tipo de coisa que acontece quando alguns dos censores ou filtros nacionais da Internet dão errado, ou às vezes quando os ISPs de nível superior configuram incorretamente suas informações de roteamento.

Portanto, sim, você pode configurar um servidor interno com os mesmos endereços do Google.com.br, army.mod.uk etc. Mas você provavelmente não obteria pacotes destinados a esses hosts, pelo menos não de fora do seu roteamento esquema.

mpez0
fonte
6

Se você é um ISP, pode roubar intervalos de IP inteiros. Os fornecedores e as grandes empresas e similares denominaram Sistemas Autônomos identificados por "AS" e um valor inteiro de 16 bits. Este sistema se comunica com outros sistemas. Eles precisam de um protocolo para informar aos outros sistemas quais IPs possuem e em quais outros AS estão conectados, além de alguns "custos" para a conexão. Entre o AS, isso geralmente é BGP .

O problema é que isso ainda se baseia principalmente na confiança. Se algum provedor anunciar que agora possui o espaço IP do Google e o custo for muito baixo, todos os outros sistemas enviarão tráfego para o Google para esse provedor. Isso foi feito, por exemplo, com o YouTube, na tentativa de autoridades paquistanesas de bloqueá-lo no Paquistão. Ainda não existe uma solução técnica real. Isso basicamente ainda funciona. A maioria dos provedores mudou de um processo automático para um semi-automático, onde eles definem alguns critérios sobre as mudanças de rota anunciadas por outros provedores quando precisam ser verificadas por um ser humano. Mas a internet é grande demais para verificar tudo. Portanto, eles têm regras como "se o AS fez algo ruim antes, verifique manualmente".

Então não, você como pessoa normal não pode roubar um IP. Mas se você for um provedor grande o suficiente, poderá roubar intervalos de IP inteiros por pelo menos horas, se não dias. Se você fizer isso apenas para sub-redes muito pequenas e tentar redirecionar o tráfego para o alvo real, poderá até se safar com um homem no meio do ataque sem que ninguém perceba.

Obviamente, também há um artigo da Wikipedia !

Se você quiser brincar, um bom começo é a ferramenta de informações bgp do furacão elétrico. Há também uma ferramenta gráfica. Você pode inserir o número AS do seu provedor que o site ele informa e visualizar os pares que o seu provedor usa.

Josef
fonte
5

"O provedor poderia lidar com os provedores que não comprou?"

A comunicação acontece basicamente da seguinte maneira: PC para a máquina alvo (seja um roteador ou diretamente para o alvo - determinado pela máquina remetente através da comparação de seu endereço IP e sua máscara de sub-rede; se o destino não estiver na mesma sub-rede, ele será enviado para roteador para roteamento).

Se um roteador recebe um pacote para roteamento, toma uma decisão semelhante com base em todas as sub-redes e também está diretamente conectado. Ele escolhe qual sub-rede enviar o pacote adiante através de sua "tabela de roteamento". Nota: A tabela de roteamento na máquina cliente foi usada na primeira etapa - tente o CMD: "Impressão de rota" no Windows.

No último roteador no processo, aquele com o endereço IP de destino em uma de suas sub-redes anexadas, o roteador envia diretamente ao host via seu endereço MAC (possivelmente após o uso do RARP).

Portanto, os endereços IP são usados ​​para rotear entre os roteadores e os roteadores têm alguma maneira de saber como rotear com base em conjuntos limitados de informações. Os roteadores compartilham informações dinamicamente sobre alterações de rota (disponibilidade de sub-rede da rede), mas "eles podem fazer isso de maneira autenticada". Não posso comentar se a autenticação é imposta.

Se um ISP 'libera' endereços IP para hosts via DHCP ou qualquer outro meio, os dados da tabela de rotas devem existir para uma comunicação bidirecional bem-sucedida. Seria trivial identificar um ISP desonesto. Mesmo que houvesse uma abordagem de confiança acontecendo em diferentes níveis, censurar as atualizações de roteamento do ISP ainda seria trivial.

Martin O'Keefe
fonte
4

O registro do endereço IP é regulado em uma rede local por algum tipo de roteador. Com o DHCP, um computador pergunta se há um endereço IP do roteador e é atribuído um. Mas quando você quiser sair da sua rede local, seu IP será atribuído pelo seu ISP. Existem maneiras de falsificar o endereço IP de onde vem um pacote, mas assim que ele atinge um dos roteadores do ISP, o endereço IP é substituído pelo seu. A única coisa que permanece a mesma é o endereço MAC, que também pode ser falsificado. Mas como seu endereço IP é substituído no primeiro roteador, isso limita o que você pode fazer.

Para fornecer uma resposta curta, o ISP designa tudo em um canal a ser associado ao seu endereço IP registrado. É como eu dizer para você escolher um cartão e só existe um. Os endereços IP locais e públicos são completamente separados.

Para mais informações, consulte http://en.wikipedia.org/wiki/IP_address_spoofing

Caído
fonte
1
Obrigado por uma boa resposta. No entanto, não estou pensando em mudar o IP na minha rede privada. Estou falando de empresas que se conectam diretamente à Internet, como, por exemplo, empresas de servidores de Internet. Para continuar seu exemplo. O provedor poderia começar a distribuir IPs que não comprou?
Friend of Kim
1
Acredito que, no nível mais alto do ISP, esse sistema é construído com base na confiança. Mas eu não tenho certeza. Aqui estão mais algumas informações: en.wikipedia.org/wiki/Tier_1_network , en.wikipedia.org/wiki/…
Fallen
5
Esta resposta está errada em alguns pontos. Supõe-se que todos usem o NAT, o que não é o caso. É NAT e roteamento conflitantes. E a declaração sobre como manter o endereço MAC enquanto descarta o endereço IP de origem é praticamente o oposto do que acontece quando um pacote atravessa um gateway.
JdeBP
O NAT está envolvido na minha resposta, mas mesmo sem o NAT, isso não mudaria o fato de o endereço IP atribuído pelo ISP substituir o IP nos pacotes. A menos que os ISPs considerem de boa fé que os IPs estão corretos e não os modificam.
caído
@ Fallen: O Mine verifica os endereços IP, mas não toca neles. O endereço IP está errado e o pacote caiu , ou foi repassado. Eu, pessoalmente, não conheço muitos ISP que reescrever o IP do, mas eu entendo que isso é mais comum na Ásia (falta de endereços IPv4)
MSalters
4

Você pode "usar" qualquer endereço IP para os pacotes enviados, mas a limitação é realmente sobre os pacotes que você receberá.

"Comprar" um intervalo de endereços IP significa que muitas outras pessoas irão configurar seus roteadores para que os pacotes enviados para esse intervalo de endereços sejam encaminhados um passo mais perto de você, chegando a um dispositivo que você mesmo controla. É tudo sobre a manutenção de um monte de tabelas de roteamento com listas dizer (um pouco simplificada) "xxx.yyy. . São enviados para a esquerda, xxx.zzz. . São enviados para a direita".

"Simplesmente pegar" um endereço arbitrário resultará que, se você quiser entrar em contato com www.google.com, enviará um pacote inicial a eles, mas o pacote de resposta será encaminhado ao proprietário pretendido, conforme configurado corretamente, e você ganhou vejo isso. Se você pegou um endereço pertencente ao seu vizinho no mesmo ISP, o roteador do ISP mais próximo a você será configurado para enviar todas essas mensagens ao seu vizinho, e não a você. Se você pegasse um endereço aleatório, provavelmente seria enviado para outro canto do mundo, e a resposta nem chegaria perto do seu ISP.

É como acontece com o correio postal, se você mora em Pyongyang, mas deseja começar a receber mensagens endereçadas a "1600 Pennsylvania Ave NW, Washington, DC 20500, Estados Unidos", então você precisa convencer (pelo menos um) dos serviços postais entre o remetente e o proprietário do endereço para enviar essas mensagens do seu jeito. Isso é possível se todos os remetentes estiverem em uma rede interna da empresa; mas essa provavelmente não era a questão.

Peter é
fonte
2

A função DHCP (Dynamic Host Configuration Protocol) do roteador ao qual um indivíduo está conectado para alocar um endereço IP dentro de um intervalo específico. Você não pode simplesmente pedir um endereço IP específico. Tanto quanto sei, um indivíduo não pode "falsificar" um endereço IP.

Peter Fowler
fonte
1
Obrigado por uma boa resposta. No entanto, não estou pensando em mudar o IP na minha rede privada. Estou falando de empresas que se conectam diretamente à Internet, como, por exemplo, empresas de servidores de Internet. Para continuar seu exemplo. O provedor poderia começar a distribuir IPs que não comprou?
Friend of Kim
1
na verdade, você pode solicitar um endereço específico via DHCP. Cabe ao servidor decidir se deseja concordar com sua solicitação.
BRPocock
@ Peter, ele está perguntando e se você é o DHCP.
Pacerier