我读到过,ICANN 是专门为各个实体分配 IP 地址的机构,因此互联网上不会有两个独立的实体使用相同的 IP 地址。据我所知,在分配 IP 地址时,还会为该实体分配一个自治系统编号。路由器会以某种方式使用这些自治系统编号来通告它们有到 IP 地址的路由。
我的问题是,路由器如何知道从 BGP 对等体收到的路由和自治系统编号是真实的?是否有某种证书链用于证明该路由确实到达了 ICANN 分配 IP 地址的实体?由于 IP 地址可以具有两条或多条路由,因此路由器知道两条路由并不意味着其中一条不是真实的。
ICANN 是否定期发布路由器缓存的自治系统号码列表?
如果 ICANN 不守规矩,路由器是否可以选择忽略 ICANN 分配的 IP 地址?什么原因导致 alt_ICANN 无法创建,互联网也无法选择信任它?
答案1
我了解到,ICANN 是专门为各个实体分配 IP 地址的机构
ICANN 的 IANA 部门只将大块分配给五个 RIR并且不直接与个人用户打交道。(请参阅当前分配IPv4和IPv6) 然后每个 RIR 都会实施自己的注册表和政策。
我的问题是,路由器如何知道从 BGP 对等体收到的路由和自治系统编号是真实的?
不过,也有各种各样的尝试来改进它,特别是路由注册表(IRR)——它们有一个路由条目数据库(将前缀绑定到 AS),可以使用知识基础设施对其进行数字签名,并RPSL用于描述 AS 应该导出和导入什么。
不幸的是,很少有路由器支持直接使用 IRR。(即将推出的 BIRD 2.x 将通过库,尽管仅限前缀过滤 – 不是完整的 RPKI。)
更常见的是,一个单独的工具,例如bgpq3用于解释 IRR 数据,为特定 AS 构建前缀列表,管理员将其复制粘贴到路由器的配置中。
最后,一些 BGP 会话只是手动构建了过滤器......
如果 ICANN 出现违规行为,路由器是否可以选择忽略 ICANN 分配的 IP 地址?
路由器绝对不关心 ICANN。