我的家庭路由器可以使用端口转发作为服务器,所以我假设所有以我的公共 IP 地址作为目的地发送的互联网数据包都会到达它(但由于我没有使用端口转发,所以没有从我的路由器得到任何响应)。
那么,一个 IP 是否可以通过这种方式淹没我的路由器并迅速用尽我所有的月度数据上限?如果这种情况始终存在,就像拒绝服务攻击一样,互联网主干网和我的提供商会采取什么措施来限制它?由于手机数据上限较小,手机数据提供商是否会采取更多措施来防止这种情况发生?
答案1
我的家庭路由器可以使用端口转发作为服务器,所以我假设所有以我的公共 IP 地址作为目的地发送的互联网数据包都会到达它(但由于我没有使用端口转发,所以没有从我的路由器得到任何响应)。
您可能没有收到任何响应,因为路由器的防火墙设置为悄悄丢弃所有内容。即使它没有进行端口转发,只要它有一个全局(公共)IP 地址,数据包就会到达它。
然而,端口转发功能的存在并不意味着它真的能起作用。使用蜂窝连接时,你的路由器很可能没有根本没有公共 IPv4 地址——大多数此类连接都位于 CGNAT(运营商级 NAT,由您的 ISP 应用)后面,因此“我的 IP 是什么”显示的 IP 地址实际上不是你的地址。
因此,首先仔细查看路由器的状态页面,其中路由器本身(不是任何第三方网站)显示您的“WAN IP 地址”。如果它是一个私有地址 - 包括如果它是 100.64./10 地址 - 那么您位于 CGNAT 后面,并且您的路由器甚至根本没有收到这些数据包。
(不过,当您在那里时,不要忘记查找“WAN IPv6 地址”以查明您的 ISP 是否支持该地址。IPv6 地址通常不会受到 CGNAT 的影响,但它们仍可能受到防火墙的保护,如下所述。)
那么,一个 IP 是否就可以通过这种方式淹没我的路由器并快速用完我所有的每月数据上限?
在最简单的情况下,如果您有一个公共 IP 地址(无论是 IPv4 还是 IPv6)并且不在 ISP 级防火墙后面,那么可以。
如果这始终是一种可能性,就像拒绝服务攻击一样,互联网主干网和我的提供商是否可以采取任何措施来限制它?
您的提供商可能会,尽管考虑到限制似乎很小,他们可能不会及时做出反应(他们可能也不太在意)。他们完全有能力的阻止到您个人 IP 的流量,并且如果他们愿意的话,可以在流量到达负责记账的系统之前做到这一点。
“互联网主干”并不关心它承载着什么样的流量,它做无论如何,携带的数量都会在几秒钟内耗尽你的限制(100Gbps 和 400Gbps 链接现在是常态),所以无论如何都没有时间应用任何额外的过滤。
(没有单一的“互联网主干网”,而且几十年来都没有;它由各种运营商私下管理——大部分是由“一级”运营商 ISP 组成的。除此之外,大量“本地”流量直接通过 ISP 之间的私人对等连接,而不是通过运营商,因此无论如何都无法被“主干网”看到。)
由于手机数据上限较小,手机数据提供商是否会采取更多措施来防止这种情况发生?
许多此类提供商将其客户置于 ISP 级别的状态防火墙之后,这样,如果入站数据包不属于已知连接或流,则根本不会接受(类似于路由器或 PC 的状态防火墙的工作方式)。
(此外,只要我们只谈论 IPv4,许多蜂窝网络运营商根本不会直接向其客户发布公共 IPv4 地址 - 他们反而实施 CGNAT,其结果与您的路由器执行 NAT 而不进行端口转发类似:入站数据包要么停止在 ISP 的 CGNAT 网关处,要么有时根本无法到达它们。
位于 CGNAT 后面的通常结果1与位于状态防火墙后面非常相似 - 您将收到对自己连接的回复,但不会收到任何“新”数据包。
话虽如此,越来越多的 ISP 和网络运营商支持 IPv6,并且 CGNAT 通常不适用于 IPv6,但是将 CGNAT 应用于 IPv4 流量的 ISP 也可以将常规防火墙应用于 IPv6 流量,所以这不是问题。)
但是如果你有一个专用的公共 IP 地址用于你的蜂窝连接,大概是为了接收入站连接而获取的(尽管有数据上限),那么你就有点选择加入接收任何类型的入站数据包。
1(虽然这不是固有NAT 或 CGNAT——我见过运营商过去出于地址稀缺以外的原因使用 1:1 CGNAT,由于是 1:1 映射,它确实完全允许入站数据包——但广阔的大多数使用 CGNAT 的运营商实现它的方式就像您的路由器执行 NAT 一样;正如您从我们这里几乎每周一次的“为什么我的端口转发不起作用”主题中看到的那样。)