題 你能抓住互聯網上的任何IP地址嗎?


在個人網絡(LAN)上,人們可以簡單地抓住一個 IP地址。如果您選擇與現有客戶端相同的IP地址,則會出現問題。有像IANA和ICANN這樣的公司負責IP地址批量銷售並出售它們。但是什麼阻止你只是抓住一個隨機的IP地址?這建立在信任的基礎上嗎?如果有人要獲取IP地址並且會發生衝突會怎麼樣?有沒有辦法使用它跟踪IP地址到服務器的位置?

實際維護物理互聯網電纜的公司是否檢查連接的客戶端是否使用購買的IP地址塊?


82
2018-02-01 20:39


起源




答案:


沒有什麼可以阻止您將配置了其他人的IP地址的盒子附加到互聯網上。但是,除了你自己,這不一定會給任何人帶來任何問題。

如果您在物理連接的子網之外竊取其他人的IP地址,那麼您將要完成的唯一事情是無法接收任何流量,因為任何路由器,行為正常,都會將流量路由到此真正的所有者IP地址。您可能能夠將錯誤的路由通告給您上游的任何邊緣路由器,希望它們能夠進一步傳播,希望根據您的被盜IP地址將流量路由到您,但任何邊緣性能較強的ISP /上游提供商都會從不接受來自非企業消費者的路線。對於企業客戶/其他ISP來說,他們受到特定規則的約束,這些規則是關於他們可以通過網絡運營和控制團隊全天候監控的運輸提供商或運營商所宣傳和使用的路線。大多數人還有關於他們接受哪些路線有效的規則,具體取決於誰做廣告。簡而言之,除非您還可以操縱上游路由表,否則在您連接的子網外竊取某人的IP地址不會做任何事情。

除此之外,如果您要竊取同一子網中某人的IP地址,您將破壞擁有它的人和您自己的流量。對於任何管理型交換機或路由器,這將引發警報,因為網絡上存在重複的地址,並可能導致您的連接以某種方式被阻止。


114
2018-02-01 21:54



您提到的一件事,但未明確提及,是您無法與IP地址的真實所有者或整個子網的真正所有者進行通信。 - Michael Hampton
我確切地說“無法接收任何流量 來自網絡“而不是”沒有流量“(根本沒有)。[不在OP的想法中:]有些企業認為可以在他們的局域網上使用互聯網地址作為內部IP ......而且它“有點”有效(但這是一個可怕的想法,而不是被複製)。但他們然後想知道為什麼他們無法到達某些網站(因為,甚至在他們的互聯網網關上使用NATing:任何用於主機的paquets它們的“內部”範圍將在它們的LAN上由LAN機器發送,而不是發送給網關...... - Olivier Dulac
@OlivierDulac這不一定是個問題,只要你沒有路由/ NAT到互聯網,但使用代理。採取一些非常仔細的配置,但它肯定是可能的。 (事實上,我為一家運營類似的公司工作。擁有大約500,000個ip設備的跨國公司。) - Tonny
互聯網服務供應商是否拒絕來自客戶的流量(請原諒我的術語,如果不正確)聲稱靜態IP而不是通過DHCP收到一個? - Dean MacGregor
@Tonny:我只是在進一步限制“任何流量”。我知道存在解決方案/變通辦法,但是最好還是使用保留的A類(10.x / 8,超過1600萬個地址,或者如果你需要更少的子網,或者為了特殊情況保留未使用的範圍)而不是使用非保留範圍[其中每個本地路由器的路由表都需要仔細設計,以便從面向互聯網的路由器中保留本地流量。一些細心的設置使它“簡單”,大多數不這樣做] - Olivier Dulac


類似於mpez0的回答,但我喜歡一個好車類比......

我選擇了英國,因為那是我住的地方。想像一下,你生活在一個人們毫無疑問地追隨道路標誌的世界裡,而你恰好居住在蘇格蘭北部,盡可能遠離倫敦,沒有過水。你住在一個小鎮,有一天你決定將你的城鎮重新命名為“倫敦”,因為這顯然會帶來更多的貿易和旅游到你的城鎮,對吧?您甚至會更新當地道路標誌以反映您所在城鎮的新名稱。

究竟發生了什麼?好吧,你會看到許多來自周圍村莊的人按照標誌前往你的城鎮,並想知道為什麼他們不在倫敦。但除此之外,沒有任何變化。為什麼?

考慮住在英格蘭中部的人。他們知道倫敦在南方,所以當他們上路前往倫敦時,他們會按照“南方”的標誌繼續前進,直到標誌變得更具體。換一種說法,  道路標誌仍然指向真正的倫敦。他們的“路由表”沒有改變。你的城鎮決定改名為倫敦的事實對他們來說無關緊要。他們的本地路線不夠具體,無法注意到變化。

如果您決定更改IP地址,其他地方的路由器將不會突然意識到這一事實。路標不會改變。


120
2018-02-01 23:26



這是一個非常好的比較。 - Friend of Kim
說到被標誌弄糊塗,我不知道英國是否像這樣,但在美國,在轉向數百英里以外的城市廣告之前有一個標誌並不罕見。當我還是個孩子的時候,我發現這很令人困惑,因為有人可能會在蘇格蘭,並在高速公路上,期待倫敦成為下一個城鎮...... - Michael
@Michael另一方面,在英國,這種情況並不少見 實際上只是說“南方”的跡象。 - E.P.
@邁克爾 在Travel.SE上查看此問題及其答案。 - gerrit
道路標誌上還有默認路線的概念:“所有方向”或“其他方向”。一旦進入法國,我們發現了一個有兩個標誌的十字路口,但指向不同的方向;) - MSalters


考慮一下你家的地址。有一天,您決定將地址從“123 First Street”更改為“1600 Pennsylvania Avenue”。在您自己的物業線之外有什麼區別?沒有 - 因為世界其他地方仍然表現得好像你家的實際位置沒有改變,你的街道名稱沒有改變,城市名稱沒有改變,郵政編碼沒有改變..你明白了。

郵件,包裹等將根據其在您社區的地址網絡中的位置“路由”到您家中。您的房屋(計算機)本身的數量只是最後和最後一站(網絡躍點)。沿途的一切必須同意,必須同步,而你只能控制路徑的盡頭。

您可以為自己的房屋(或計算機)編號,但為了使網絡流量繼續流動,您必須與環境同步。要更改您的住址,您必須更改其編號,並讓官僚機構更改您的街道名稱,並更改您的城市名稱和您的郵政編碼。同樣,要將IP地址更改為分配塊之外的內容,您必須更改其編號,並讓上游提供程序更改已分配的塊,並更改其路由器以將該塊路由到您,並通過BGP將其通告給他們的路由同行。

在這兩種情況下,您都在將您的變化與外部世界同步,以便外部世界知道如何找到您。否則,效果是網絡流量無法再找到您 - 而且您更改地址的唯一實體就是您。從架構上講,這是一件好事!


21
2018-02-02 19:48





給定的ISP 可以 為任何客戶分配任何地址。但是,地址只有在它們可以在它們和其他地址之間路由的數據包時才有用。如果ISP分配的地址超出了ICANN指定的範圍,則不會將數據包路由到該地址或從該地址路由,或者會導致Internet上其他地方的路由錯誤。當某些國家互聯網審查或過濾器出現問題時,或者有時當頂級ISP錯誤配置其路由信息時,就會發生這種情況。

所以,是的,您可以設置一個內部服務器,其地址與Google.com,army.mod.uk等相同。但是您可能不會獲得針對這些主機的數據包,至少不是來自路由之外的數據包方案。


10
2018-02-01 22:03





如果您是ISP,則可以竊取整個IP範圍。 所謂的供應商和大公司等都是如此 自治系統 由“AS”和16位整數值標識。 該系統與其他系統通信。他們需要一個協議來告訴其他系統他們擁有哪些IP以及他們連接的其他AS,以及連接的一些“成本”。 在AS之間,這通常是 BGP

問題是,這仍然主要基於信任。如果某個提供商宣布他現在擁有Google的IP-Space並且成本非常低,那麼所有其他系統都會將谷歌的流量發送給該提供商。 這已經完成,例如,同 的Youtube 巴基斯坦官員企圖在巴基斯坦阻止它。仍然沒有真正的技術解決方案。這基本上仍然有效。大多數提供商從自動過程切換到半自動過程,在這些過程中,當他們必須由人檢查時,他們定義了其他提供商宣布的路線變化的一些標準。但互聯網太大了,無法檢查。因此,他們有一些規則,如“如果AS之前做了一些壞事,請手動檢查”。

所以不,你作為普通人不能竊取IP。但是,如果你是一個足夠大的提供商,你可以竊取整個IP範圍至少幾小時,如果不是幾天。如果你只是為非常小的子網做這件事,並試圖將流量重新路由到真正的目標,你甚至可以在中間攻擊中逃脫,而沒有人注意到。

當然還有一個 維基百科文章

如果你想玩,那麼一個好的開始就是 颶風電動的bgp信息工具。 還有 一個圖形工具。 您可以輸入您的站點告訴您的提供商的AS編號,並查看您的提供商使用的對等項。


6
2018-02-05 14:28





“ISP可以處理它尚未購買的ISP嗎?”

通信基本上是這樣的:PC到目標機器(路由器或直接到目標 - 由發送機器通過比較其IP地址和子網掩碼確定;如果目標不在同一子網上,則發送到用於路由的路由器)。

如果路由器收到用於路由的數據包,則根據它直接連接的所有子網做出類似的決定。它選擇通過它的“路由表”向前發送數據包的子網。注意:客戶端計算機上的路由表在第一步中使用 - 在Windows上嘗試CMD:“路由打印”。

在進程中的最後一個路由器上,在其中一個連接的子網上具有目標IP地址的路由器,路由器通過它的MAC地址直接發送到主機(可能在RARP使用之後)。

因此,IP地址用於在路由器之間路由,並且路由器具有某種方式知道如何基於有限的信息集路由。路由器動態地共享有關路由更改(網絡子網可用性)的信息,但“他們可以以經過身份驗證的方式執行此操作”。我無法評論是否強制執行身份驗證。

如果ISP通過DHCP或任何其他方式向主機釋放“IP地址”,則必須存在路由表數據才能成功進行雙向通信。識別一個流氓ISP是微不足道的。即使在不同級別發生信任方法,審查來自ISP的路由更新仍然是微不足道的。


5
2018-02-02 01:52





IP地址註冊由某種路由器在本地網絡上進行管理。使用DHCP,計算機會詢問是否從路由器獲取IP地址並分配了一個IP地址。但是,一旦您想離開本地網絡,您的IP就會由您的ISP分配。有一些方法可以欺騙數據包來自的IP地址,但只要它到達ISP的一個路由器,IP地址就會被自己的IP地址替換掉。唯一保持不變的是MAC地址,它也可以被欺騙。但是,由於您的IP地址在第一台路由器上被替換,因此它限制了您可以執行的操作。

為了給您一個簡短的答案,ISP指定管道上與其註冊的IP地址相關聯的所有內容。這有點像我告訴你選擇一張卡而且只有一張卡。本地和公共IP地址是完全獨立的。

有關詳細信息,您可以查看此信息 http://en.wikipedia.org/wiki/IP_address_spoofing


4
2018-02-01 20:58



謝謝你的回复。但是,我不是在考慮改變我的私人網絡上的IP。我說的是直接連接互聯網的公司,比如互聯網服務器公司。繼續你的榜樣。 ISP可以開始分發它尚未購買的IP嗎? - Friend of Kim
我相信,在最高的ISP teir,這個系統是建立在信任的基礎上的。但我不確定。這裡有更多信息: en.wikipedia.org/wiki/Tier_1_network, en.wikipedia.org/wiki/... - Fallen
這個答案在幾點上是錯誤的。假設每個人都使用NAT,情況並非如此。它正在混淆NAT和路由。關於保留MAC地址同時丟棄源IP地址的聲明幾乎與數據包遍歷網關時發生的情況相反。 - JdeBP
NAT參與我的答案,但即使沒有NAT,它也不會改變ISP分配的IP地址將取代數據包中的IP這一事實。除非ISP真誠地認為IP是正確的,不要修改它們。 - Fallen
@Fallen:Mine檢查IP地址,但根本不接觸它們。 IP地址錯誤且數據包是 下降,或者傳遞給它。我個人不知道很多ISP重寫了IP,但我知道這在亞洲比較常見(缺乏IPv4地址) - MSalters


您可以“使用”您發送的數據包的任何IP地址,但實際上限制是您將收到的數據包。

“購買”IP地址範圍意味著一群其他人將配置他們的路由器,以便發送到該IP地址範圍的數據包向前邁進一步,最終到達您自己控制的設備。這一切都是為了維護很多路由表,其中包含一些列表(稍微簡化)“xxx.yyy。 被發送到左邊,xxx.zzz。 被發送到右邊“。

“簡單地抓住”任意地址將導致如果您想聯繫www.google.com,您將向他們發送初始數據包,但響應數據包將在正確配置時轉發給實際的目標所有者,並且您贏了看不到。如果你在同一個ISP上抓住屬於你鄰居的地址,那麼離你最近的ISP的路由器將被配置為將所有這些消息發送給你的鄰居,而不是你。如果您抓取一個隨機地址,那麼很可能會將其發送到世界的另一個角落,而且回复甚至不會接近您的ISP。

這和郵政一樣,如果你住在平壤,但想開始收到發往“1600 Pennsylvania Ave NW,Washington,DC 20500,United States”的郵件,那麼你必須說服(至少有一個)郵政服務發件人和地址所有者之間以您的方式發送此類郵件。如果所有發件人都在公司內部網絡中,這是可能的。但那可能不是問題。


4
2018-02-04 13:44





連接個人的路由器的動態主機配置協議(DHCP)功能分配特定範圍內的IP地址。您不能只詢問特定的IP地址。據我所知,個人不能“欺騙”一個IP地址。


2
2018-02-01 20:56



謝謝你的回复。但是,我不是在考慮改變我的私人網絡上的IP。我說的是直接連接互聯網的公司,比如互聯網服務器公司。繼續你的榜樣。 ISP可以開始分發它尚未購買的IP嗎? - Friend of Kim
實際上,您可以通過DHCP請求特定地址。然而,由服務器決定是否同意您的請求。 - BRPocock
@Peter,他問你如果是DHCP。 - Pacerier