W jaki sposób adresy IP są faktycznie przypisywane?

Trudno mi zrozumieć, w jaki sposób organ zarządzający przypisuje adresy IP, firmy używają BGP do reklamowania tych adresów IP i tego, jak działa Internet. Gdzie zatem do cholery jest DNS?

Czy ktoś może zasugerować dobrą lekturę tego, jak to naprawdę działa? Chyba mam kilka pytań. Po pierwsze, czy ARIN (lub jakikolwiek inny organ zarządzający) ma znaczenie? Gdyby ich nie było w pobliżu, czy byłby chaos? Kiedy przypisują blok, NIE LITERALNIE go przypisują? Musisz użyć BGP do reklamowania, prawda? Zawsze byłem przyzwyczajony do zamkniętego środowiska hostingowego (dedykowanego / współdzielonego), w którym kierowałeś adresy IP.

Jak zatem działa DNS? Dzięki mojemu rejestratorowi mogę zarejestrować serwer DNS (eNom) - co to właściwie znaczy? Zainstalowałem Bind i sprawiłem, że wszystko działa, i prowadzę własne serwery DNS, ale z kim rejestrują ten serwer DNS? Po prostu tego nie rozumiem.

Czuję, że to coś, co powinienem wiedzieć, a nie wiem, i jestem naprawdę sfrustrowany. To jest jak ... proste ... jak działa Internet? Od przypisywania adresów IP, przez firmy je przekierowujące i DNS.

Chyba mam przykład - mam tę przestrzeń IP, powiedzmy 158.124.0.0/16 (przykład). Firma ma 158.124.0.0/17 dostęp do Internetu. (Po pierwsze, dlaczego firmy przypisują bloki adresów IP, a następnie ich nie wykorzystują? Dlaczego nie używają zarezerwowanej przestrzeni wewnętrznej 10.xi 192.x?). Więc tam jestem. Co mam zrobić, aby te adresy IP były dostępne w Internecie i dostępne? Powiedzmy, że mam centrum danych w Chicago i jedno w Nowym Jorku. Nie mogę załadować zdjęcia, ale mogę je połączyć tutaj: http://begolli.com/wp-content/gallery/tech/internetworkings.png

Próbuję po prostu zrozumieć, jak od momentu przypisania bloku IP firmie korzystającej z BGP (osiągając publiczny AS #?), A następnie, w jaki sposób DNS wchodzi do gry?

Jak wyglądałoby coś na moim zdjęciu? Próbowałem stworzyć scenariusz, nie jestem pewien, czy wykonałem dobrą robotę.

Wydzierżawione bloki IP

Adresy IP są przypisywane w blokach przez IANA do regionalnych rejestrów internetowych (RIR). Zobacz to ( lista i mapa ) RIR. RIR następnie dzierżawią mniejsze bloki IP poszczególnym firmom (zwykle ISP). Istnieją wymagania (w tym opłaty i dowód użytkowania), aby uzyskać dystrybucję, a brak utrzymania tych środków oznacza utratę dzierżawy.

Gdy firma wydzierżawi jeden lub więcej bloków z RIR, musi w jakiś sposób powiedzieć reszcie świata, gdzie znaleźć określony adres IP (lub jego zestaw: podsieci). Tu właśnie wchodzi BGP. BGP wykorzystuje koncepcję dużej sieci o nazwie System Autonomiczny (AS). AS wie, jak trasować w sobie. Podczas routingu do innej sieci wie tylko o bramkach AS i miejscu „następnego przeskoku” w kierunku tych zewnętrznych adresów. Liczbami AS zarządza również IANA .

W obrębie AS, nawet tak dużego jak ISP, mogą używać kilku protokołów routingu (przychodzą na myśl RIP, OSPF, BGP, EIGRP i ISIS) do wewnętrznego kierowania ruchem. Możliwe jest również użycie statycznych tabel routingu, ale w większości aplikacji jest to całkowicie niepraktyczne. Wewnętrzne protokoły routingu są ogromnym tematem, więc uprościłem to, mówiąc, że w usłudze Server Fault istnieją inne pytania, które mogą zadawać te tematy większej sprawiedliwości niż tutaj.

DNS

Ludzie nie pamiętają dobrze liczb, więc wymyśliliśmy nazwy hostów. Pomijając historię, używamy Domain Naming System (DNS) do śledzenia, która nazwa hosta wskazuje na jaki adres IP. Istnieje dla nich centralny rejestr, również zarządzany przez IANA, i określają, które domeny najwyższego poziomu (TLD) (np. „.Com” lub „.net”) wchodzą w strefę główną, która jest obsługiwana przez serwery główne. IANA deleguje administrację „strefy głównej”, ten administrator akceptuje tylko aktualizacje od wykwalifikowanych rejestratorów.

Możesz użyć rejestratora do „zakupu” nazwy domeny, która jest poddomeną TLD. Ta rejestracja zasadniczo tworzy tę subdomenę i przypisuje ci kontrolę nad jej rekordami serwera nazw (NS) i kleju (A). Wskazujesz je na serwer DNS, który obsługuje twoją domenę . Gdy klient chce usunąć adres IP z nazwy domeny, kontaktuje się z serwerem DNS, który dokonuje rekursywnego wyszukiwania, zaczynając od serwera głównego, znajdując serwer DNS i ostatecznie uzyskując odpowiednie informacje.

Wszyscy się zgadzają

Jeśli chodzi o „organy zarządzające”: wszyscy po prostu zgadzają się z nich korzystać. Nie ma (lub bardzo mało) przepisów wymagających od kogokolwiek współpracy. Internet działa, ponieważ ludzie decydują się na współpracę . Organy zarządzające zapewniają środki łatwej współpracy. Wszystkie różne RFC, „Standardy” i tym podobne - nikt nie jest zmuszany do ich używania. Rozumiemy jednak, że społeczeństwo opiera się na współpracy i jest to w naszym własnym interesie.

Skuteczność wynikająca ze współpracy jest tym samym powodem, dla którego BGP jest popularny, wszyscy w zasadzie zgadzają się z niego korzystać. W czasach ArpaNet zaczęli od ręcznie skonfigurowanych tabel tras; następnie stopniowo przechodził na bardziej wszechstronny system, gdy Internet stawał się coraz bardziej złożony, ale wszyscy „zgodzili się” na zastosowanie jakiegokolwiek nowego standardu. Podobnie rozpoznawanie nazw z plikami hostów, które sieci będą dystrybuować, i ostatecznie przekształciły się w znany nam dziś system DNS. („Uzgodnione” w cytatach, ponieważ wielokrotnie mniejszość ustanawiała wymóg dotyczący nowego standardu i nikt inny nie miał lepszej alternatywy, więc został zaakceptowany).

Zaufanie

Ten poziom współpracy wymaga bardzo zaufania IANA. Jak widzieliście, zarządzają większością rdzeni różnych systemów. IANA jest obecnie sponsorowaną przez rząd USA korporacją non-profit (podobną do US Post Office), nie jest częścią rządu, choć ledwo go usunięto. W ostatnich latach istniały obawy, że rząd USA może sprawować pewną kontrolę nad IANA jako „bronią” przeciwko innym światowym rządom lub cywilom (w szczególności poprzez przepisy takie jak SOPA i PIPA, które nie zostały uchwalone, ale mogą stanowić podstawę przyszłych przepisów) .

Obecnie IANA podjęła się zebrania funduszy (pomimo tego, że jest spółką non-profit ) poprzez tworzenie nowych TLD. TLD „xxx” było postrzegane przez niektórych jako kampania pozyskiwania funduszy w stylu wymuszeń, ponieważ duży odsetek rejestrujących „bronił” swojej nazwy. IANA przyjęła również aplikacje na prywatne domeny TLD (po cenie 180 000 USD każda; zawiesiły proces aplikacji po zalaniu aplikacjami, prawie połowa pochodzi z samej Amazon. Wiele z tych aplikacji zaowocowało nowymi domenami gTLD .

Wszystkie reklamy w publicznym Internecie, DFZ (Default-Free Zone), odbywają się za pośrednictwem BGP (Border Gateway Protocol), w jaki sposób dostawcy wewnętrzni robią różne trasy wewnętrzne. Większość z nich używałaby BGP również wewnętrznie, zarówno między własnymi routerami (BGP jest często używany w połączeniu z IGP, takim jak OSPF), a także z klientami, jeśli nie masz własnego numeru AS, możesz użyć prywatnego AS do peerowania z Twój dostawca usług internetowych, a kiedy ogłosi przestrzeń adresową w DFZ, po prostu usuwa prywatny system AS ze ścieżki as. W przypadku mniejszych nie redundantnych łączy można również używać routingu statycznego na PE. Rzeczywiste „przypisanie” znajduje się w bazie danych rejestratora, w bazie Whois, RIPE / ARIN itp. W tym celu działają własne bazy danych.

Spróbuj uruchomić polecenie whois 158.124.0.0/16w systemie Linux.

To samo dotyczy DNS, odwrotny serwer DNS jest określony w rekordach whois.

To bardzo stare pytanie, ale miałem wiele takich samych pytań, zastanawiając się, jak działa Internet . Podobnie jak inne odpowiedzi, książki sieciowe zawierają przegląd BGP i DNS, ale wciąż mnie mylić. Na przykład a.root-servers.net przez m.root-servers.net są podane jako serwery główne, ale skąd usługa DNS wie, gdzie znaleźć te serwery, jeśli nie mogą same korzystać z DNS.

Zakłada się, że podstawy IP, podsieci, DNS itp. Są znane z tej odpowiedzi. Zajmuję się „lukami”, które i prawdopodobnie pytający mam na temat tego, jak działa Internet. W żadnym wypadku nie jestem ekspertem, ale tak rozumiem luki.

Adresy IP

Pierwszą rzeczą, na którą należy zwrócić uwagę jest to, że kiedy Internet zaczynał jako ARPANET, wszyscy znali wszystkich, a tabele routingu adresów IP były ręcznie kodowane. Zakładam, że proces przypisywania adresów IP został wykonany przez telefon. Ponieważ Internet stał się zbyt duży, BGP był używany przez wiele sieci (AS) do reklamowania, że ​​ma publiczne adresy IP lub może dostać się do publicznego adresu IP przez swój AS do innego AS. Pojawiło się zaufanie, że AS nie reklamuje adresu IP, którego nie ma.

Dziś zaufanie nie jest tak duże. Zamiast tego dostawcy usług internetowych mogą pobierać i uwierzytelniać przydziały IP dla każdego AS od IANA i władz regionalnych. Te pliki do pobrania są teraz uwierzytelniane za pomocą kryptografii klucza publicznego. Kiedy więc IANA „przypisuje adres IP”, zmieniają swój rekord (lub tak naprawdę władze regionalne zmieniają swój rekord). Wszystkie inne AS mogą pobrać i uwierzytelnić swoje rekordy.

Te dane są ważne, ponieważ dostawcy usług internetowych nie mogą wierzyć innym dostawcom usług internetowych, że mają adresy IP. Dostawcy usług internetowych mogą porównać reklamę BGP z uwierzytelnionymi rekordami IP. Jeśli jakakolwiek reklama BGP pokazuje ostatni AS jako AS inny niż ten w uwierzytelnionym rekordzie IANA i RIR, reklama BGP nie zmienia własnego routingu.

Częściej, nieuczciwy dostawca usług internetowych lub AS może reklamować, że ma trasę przez swój AS, której nie ma. AS1 ma zarejestrowany adres IP, a AS5 obecnie używa AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 reklamuje AS5 trasę AS5 -> AS2 -> AS1 -> IP. Tyle że AS2 tak naprawdę nie ma połączenia z AS1. Może po prostu stracić pakiety, może udaremnić klientów hostingowych AS1. Lub AS2 może być siecią małych firm z wielomieszkaniowym układem z AS5 i AS1. Ich router jest źle skonfigurowany i reklamuje ścieżkę przez sieć małej firmy. Prawie wszyscy dostawcy usług internetowych wyrzucają takie reklamy swoich klientów BGP i przekazują jedynie wypowiedzenie reklam BGP.

Bardziej prawdopodobne jest, że przypadek Pakistanu próbuje zamknąć Youtube w Pakistanie poprzez takie przechwycenie IP, a także Youtube poza Pakistanem, ponieważ AS-y poza Pakistanem zakładają, że ich reklamy BGP są prawidłowe.

Ostatecznie nie ma idealnej obrony przed takim przejęciem własności intelektualnej. W większości krajów, takich jak USA, takie nadużycie BGP może zostać ukarane, ponieważ naruszenie umowy, a inni dostawcy usług internetowych, jeśli będą musieli, zerwą połączenia równorzędne z tym AS. Dostawca usług internetowych może również zignorować cały aparat IANA i RIR i przekierować adresy IP na własne serwery. To nie zadziała w przypadku żadnych witryn https, zakładając, że dostawca usług internetowych nie ma kluczy prywatnych do żadnego urzędu certyfikacji. Z ekonomicznego punktu widzenia niewiele można na tym zyskać. Zdarza się to tylko w przypadku rządów autorytarnych, takich jak Egipt, który niedawno zamknął wszystkie reklamy BGP dla swoich dostawców usług internetowych spoza kraju.

Serwery DNS

DNS jest nieco prostszy, gdy tabele IP są poprawne. Wszystkie serwery root to zapisane na stałe adresy IP w kodzie serwera DNS. a.root-servers.net to 198.41.0.4, a adres IP to anycast w jednym AS. W przypadku a.root-servers.net, AS to Verisign i istnieje pięć różnych stron. W Stanach Zjednoczonych dwie lokalizacje to Nowy Jork i LA. Anycasting jest jak gdybyś miał adres 123 Main Street i powiedziałeś „Nie ma znaczenia, w jakim mieście się znajdujesz, idź na 123 Main Street, a znajdziesz jedną z moich firm”. Zarówno 123 Main Street w Nowym Jorku, jak i LA dadzą tę samą odpowiedź dla wszystkich domen najwyższego poziomu. System AS, w tym przypadku Verisign, ustala wewnętrznie, który serwer ma najmniejszą liczbę przeskoków poprzez OSPF, wewnętrzny BGP i inne protokoły routingu. Tak więc router w Denver może jechać do LA, podczas gdy router w Chicago jedzie do Nowego Jorku.

Jeden z serwerów głównych podaje adres IP domeny najwyższego poziomu. Następnie ta domena daje domenę dla twojej witryny.com. Rejestratorzy naprawdę mają umowę z kimkolwiek, kto prowadzi domenę najwyższego poziomu. Jeśli więc domena najwyższego poziomu nie ma obecnie rekordu na twoją stronę.com, ma ona dostęp do dodania rekordu na swoim serwerze kim jest. Następnie, mając dostęp, który rejestrator dał ci do rekordów DNS twojej witryny.com, zmieniasz rekordy na ich serwerze DNS, aby przejść na twój adres IP.

Ponieważ DNS wszystko zależy od wielu adresów IP trafiających we właściwe miejsce, masz taki sam problem jak poprzednio z uwierzytelnianiem rejestru IP przez AS, a następnie przypisaniami BGP. To kluczowy element witryny http. HTTP ma dodatkową ochronę certyfikatów. Dlatego dostawca usług internetowych nie może przekierowywać żądań dotyczących własnych serwerów głównych i serwerów domeny najwyższego poziomu w celu podania własnego adresu IP, powiedzmy, citibank.com. Jeśli tak, adres IP podany użytkownikowi będzie innym adresem IP, ale jego serwer nie będzie miał klucza prywatnego Citibank.

i nie, nie żartuję (zacząłem z tą książką 15 lat temu, ale wciąż jest bardzo aktualna): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Następnie wróć tutaj z pytaniami BGP =)