我已经对这个问题思考了很久但一直没能真正去问出来。
我知道很多公司最初被分配了 /8(A 类)范围内的 IP 地址,而且很多公司仍然分配有这些地址(例如 USPS)。
现在,我知道 ICANN 会发布这些地址,我也知道您实际上无法使用未分配的 IP,因为 ISP 端的 DHCP 根本不会给您分配 IP。但是,我不明白层次结构:如何禁止 ISP 不向其他人分配随机 IP,又如何禁止 USPS 使用不属于自己的 IP 地址?
如果 ISP 搞砸了并试图分配不在其分配范围内的 IP 地址,该怎么办?会发生什么?
答案1
DHCP 与这个问题关系不大。使用 DHCP,ISP 可以告诉客户客户的地址是什么。但 ISP 之间的工作方式不同。ISP 之间关于谁拥有哪些 IP 地址的通信是使用 BGP 进行的。
在这种情况下,网络被称为自治系统,为了获得初步理解,可以近似地想象 AS 和 ISP 是相同的。
BGP 与 DHCP 的根本区别在于,您不需要告诉别人他们的 IP 地址是什么,而只需告诉别人您自己的 IP 地址是什么。
显然,您可能会向其他 AS 提供关于您的网络上有哪些 IP 地址的错误信息。如果两个 AS 声称拥有相同的 IP 地址,则任何一方都无法使用这些 IP 地址与整个互联网进行通信。
最初,BGP 是基于相互信任的。后来,引入了半自动过滤器,以消除通过 BGP 公布的明显错误的 IP 前缀。
但这还不足以阻止中断。一个著名的例子是巴基斯坦的一家提供商声称拥有 YouTube 的 IP 地址。对于大量用户来说,YouTube 处于离线状态。此时通过适当的渠道投诉这种情况可以恢复正常。
目前的情况是,人们正在慢慢采用加密方法来验证 BGP 公告。这是通过称为路由来源授权 (ROA) 的信息来实现的。
答案2
如果 ISP A 为其用户之一分配了 ISP B 网络中的 IP 地址,除了该用户的互联网无法正常工作之外,不会发生太多事情。在 ISP 的网络中,该网络不太可能有任何路由信息,因此即使 ISP A 网络中的某个人想与这个恶意地址通信,它也会通过网关传递到核心路由器,并根据其 BGP 路由被扔进互联网。即使有是由于 ISP A 网络中的网络块不良,路由信息与互联网的通信基本不可能实现。
现在,如果您真的想搞砸互联网,您就开始宣传糟糕的 BGP 前缀。
长话短说,BGP 基于隐式信任,任何公布的路由通常被 BGP 网络中的对等点接受为正确路由。一个值得注意的例子就是几年前巴基斯坦决定封锁谷歌。原本打算成为该国内部 BGP 黑洞的路由被错误地公开公布,导致全球大部分谷歌流量都流向巴基斯坦,导致谷歌和巴基斯坦 ISP 下线。
现在,如果你想变得可怕……
只要拥有足够数量的网络和计算能力,有人就可以在全球范围内表面上毒害 BGP 路由,拦截和存储流量,并将流量透明地转发回其预定目的地。这可是 NSA 的杰作。
注意问题评论:@Sven 的意思是,你甚至不应该使用短语“A/B/C 类”,因为它指的是僵化的、早已过时的做法。如果你想被网络书呆子认真对待,你需要使用 CIDR 表示法,即:'/8' 而不是 'A 类'
答案3
IP 地址很像邮局。
您不能仅仅因为喜欢这个数字就声明您的邮政编码是 60605-3234。该号码分配给伊利诺伊州芝加哥某处的特定街区。如果您将该邮政编码作为回信地址写在邮件上,您将永远收不到任何邮件。
IP 地址大体相同。只是因为我喜欢 IP 地址 8.0.6.3 ,并且只是因为现在恰巧没有其他人在使用它,并不意味着发往 8.0.6.3 的数据包地址会到达我这里。
答案4
使用您实际上未分配(或无权访问)的 IP 地址不起作用的最大原因是它根本无法路由。
您的 ISP 有一个分配给它的网络,该网络由 ICANN 或其他人分配。连接到该网络的设备将知道如何在其中一个地址内路由信息,并将其转发到应该响应的设备。通常,当网络试图声明它无权访问的 IP 时,它们无法路由到互联网的其余部分,即使它们是公共 IP 地址。通常,您唯一可以使用未分配的 IP 地址的情况是当您使用与您分配的 IP 地址相似但不同的 IP 地址时。例如,如果 10.1.20.1/32 是您的公共分配地址,您位于 24 位子网中,并且您使用 10.1.20.4,则您很可能能够路由往返于您的连接的信息。这取决于您的 ISP,大多数 ISP 正在更好地检测此类活动。
简单来说,如果您的路由器位于 10.10.10.1/24,而您为自己分配的 IP 地址为 10.24.10.8/24,那么除非进行一些额外的配置,否则您将无法相互通信。此外,有一些方法可以绕过这一一般限制,但或多或少,如果您尝试使用不属于您的 IP,信息将无法在互联网上传播。