¿Puedes tomar cualquier dirección IP en Internet?

82

En una red personal (LAN) uno simplemente puede tomar una dirección IP . Si elige la misma dirección IP que un cliente existente, obtendrá problemas. Hay compañías como IANA e ICANN que se encargan de los lotes de direcciones IP y los venden. Pero, ¿qué te impide simplemente tomar una dirección IP aleatoria? ¿Se basa esto en la confianza? ¿Qué pasaría si alguien tomara una dirección IP y se produjera un conflicto? ¿Hay alguna forma de rastrear esa dirección IP hasta la ubicación del servidor que la usa?

¿Las compañías que realmente mantienen los cables físicos de Internet verifican si los clientes que se conectan están utilizando bloques de direcciones IP comprados o no?

Amigo de kim
fuente

Respuestas:

114

No hay nada que le impida conectar a Internet un cuadro configurado con la dirección IP de otra persona. Sin embargo, esto no necesariamente causará ningún problema a nadie más que a usted mismo.

Si roba la dirección IP de otra persona fuera de la subred a la que está conectado físicamente, lo único que logrará es no poder recibir ningún tráfico, ya que cualquier enrutador, si se comporta correctamente, enrutará el tráfico al propietario real de este Dirección IP. Es posible que pueda anunciar rutas falsas a cualquier enrutador perimetral que esté arriba de usted con la esperanza de que se propaguen aún más con la esperanza de que el tráfico se enrute a usted en función de su dirección IP robada, pero cualquier ISP / proveedor ascendente marginalmente competente lo haría nunca acepte rutas de sus consumidores no empresariales. En lo que respecta a los clientes empresariales / otros ISP, están sujetos a reglas específicas sobre qué rutas pueden anunciar y usar con su proveedor de tránsito o pares, que son monitoreados las 24 horas del día, los 7 días de la semana por equipos de control y operaciones de red. La mayoría también tiene reglas sobre qué rutas aceptarán como válidas según quién las anuncie. En resumen, robar la dirección IP de alguien fuera de la subred a la que está conectado no hace nada a menos que también pueda manipular las tablas de enrutamiento ascendente.

Aparte de eso, si fuera a robar la dirección IP de alguien en su misma subred, interrumpiría el tráfico tanto de la persona que lo posee como de usted mismo. Con cualquier conmutador o enrutador administrado, esto generará alarmas ya que hay una dirección duplicada en la red y es probable que su conexión se bloquee de alguna manera.

Fred Thomsen
fuente
Una cosa a la que aludiste, pero que no mencionaste explícitamente, es que no puedes comunicarte con el propietario real de la dirección IP, o tal vez el propietario real de toda la subred.
Michael Hampton
3
Preciso "no poder recibir ningún tráfico de Internet " en lugar de "no tráfico" (en absoluto). [Ejemplo no en la idea de OP:] Hay (¿hubo?) Algunas empresas que pensaron que estaba bien usar direcciones de Internet como sus IP internas, en sus LAN (s) ... Y "funciona" (pero es horrible) idea, y no para ser reproducido). Pero luego se preguntan por qué no pueden acceder a algunos sitios (ya que, incluso utilizando NATing en su puerta de enlace de Internet: cualquier paquete destinado a un host en el mismo rango que su rango "interno" será enviado por sus máquinas LAN en su LAN, en lugar de a la puerta de enlace para ser enviado ...)
Olivier Dulac
@OlivierDulac No es necesariamente un problema, siempre y cuando no enrutes / NAT a Internet, sino que uses proxies. Requiere una configuración bastante cuidadosa, pero ciertamente es posible. (De hecho, trabajo para una compañía que opera así. Multinacional con aproximadamente 500,000 dispositivos ip.)
Tonny
¿Los ISP rechazan el tráfico de clientes que (perdone mi terminología si es incorrecto) reclaman una IP estática en lugar de haberla recibido a través de DHCP?
Dean MacGregor
@Tonny: Estaba restringiendo un poco más el "tráfico". Y sé que existen soluciones / soluciones alternativas, pero aún así es mejor usar una clase reservada A (10.x / 8, por lo que más de 16 millones de direcciones, o una subred de las mismas si necesita menos [bueno para mantener los rangos no utilizados para casos especiales] ) que utilizar un rango no reservado [donde cada una de las tablas de enrutamiento de su enrutador local deberá diseñarse cuidadosamente para distinguir el tráfico local de los que se dirigen a Internet. Una configuración cuidadosa lo hace "fácil", la mayoría no]
Olivier Dulac
120

Similar a la respuesta de mpez0, pero me gusta una buena analogía de autos ...

Estoy eligiendo el Reino Unido para esto, ya que ahí es donde vivo. Imagina que vives en un mundo donde la gente sigue las señales de tráfico sin dudarlo y vives en el norte de Escocia, lo más lejos posible de Londres sin cruzar el agua. Vives en una ciudad pequeña, y un día decides que cambiarás el nombre de tu ciudad a 'Londres', ya que obviamente tendrá el efecto de impulsar más comercio y turismo a tu ciudad, ¿verdad? Incluso se toma la molestia de actualizar las señales de tráfico locales para reflejar el nuevo nombre de su ciudad.

¿Qué pasa realmente? Bueno, mucha gente de los pueblos de los alrededores visita tu ciudad siguiendo las señales y preguntándote por qué no están en Londres. Pero aparte de eso, nada cambia. ¿Por qué?

Considere a alguien que vive en el medio de Inglaterra. Saben que Londres está en el sur, por lo que cuando se dirigen a Londres, siguen las señales que dicen 'EL SUR' y continúan hasta que las señales se vuelven más específicas. En otras palabras, sus señales de tráfico todavía apuntan al verdadero Londres. Sus 'tablas de enrutamiento' no han cambiado. El hecho de que su ciudad haya decidido cambiar su nombre a Londres no tiene importancia para ellos. Sus rutas locales no son lo suficientemente específicas como para notar el cambio.

Si decide cambiar su dirección IP, los enrutadores en otros lugares no se darán cuenta repentinamente de este hecho. Los letreros no cambiarán.

Chris McKeown
fuente
13
Esta es una muy buena comparación.
Amigo de Kim
Hablando de estar confundido por las señales, no sé si el Reino Unido es así, pero en los Estados Unidos no es raro tener una señal antes de girar en una carretera que anuncia una ciudad a cientos de millas de distancia. Cuando era niño, me pareció confuso, ya que uno podría estar en Escocia y tomar la autopista esperando que Londres sea la próxima ciudad en ...
Michael
14
@Michael En el Reino Unido, por otro lado, no es raro ver signos que realmente dicen, simplemente, "El Sur" .
EP
2
También existe la noción de una ruta predeterminada en las señales de tráfico: "Todas las direcciones" u "Otras direcciones". Una vez en Francia encontramos un cruce que tenía ambas señales, pero apuntando en diferentes direcciones;)
MSalters
21

Considere la analogía de la dirección de su casa. Un día decide cambiar su dirección de "123 First Street" a "1600 Pennsylvania Avenue". ¿Qué diferencia hace fuera de sus propias líneas de propiedad? Ninguno, porque el resto del mundo todavía se comporta como si la ubicación física de su casa no cambiara, el nombre de su calle no cambió, el nombre de la ciudad no cambió, el código postal no cambió ... te haces una idea.

El correo, los paquetes, etc. se "enrutarán" a su casa según su ubicación en la red de direcciones de su comunidad. El número de su casa (computadora), por sí solo, es solo la última y última parada (salto de red). Todo en el camino tiene que estar de acuerdo, tiene que sincronizarse, y solo controlas el final del camino.

Puede numerar su casa (o computadora) como desee, pero para que el tráfico de su red continúe fluyendo, debe hacerlo en sincronía con su entorno. Para cambiar la dirección de su casa, tendría que cambiar su número, Y obtener la burocracia para cambiar el nombre de su calle, Y cambiar el nombre de su ciudad, Y su código postal. Del mismo modo, para cambiar su dirección IP a algo fuera de su bloque asignado, tendría que cambiar su número, Y hacer que su proveedor ascendente cambie su bloque asignado, Y cambie sus enrutadores para enrutar ese bloque hacia usted, y anuncie eso a través de BGP para sus compañeros de enrutamiento.

En ambos casos, está sincronizando su cambio con el mundo exterior para que el mundo exterior sepa cómo encontrarlo. De lo contrario, el efecto es que el tráfico de red ya no puede encontrarlo, y la única entidad afectada por su cambio de dirección es usted. ¡Lo cual, arquitectónicamente hablando, es algo bueno!

AndroidNewbie
fuente
10

Un ISP determinado podría asignar cualquier dirección a cualquier cliente. Sin embargo, las direcciones solo son útiles porque pueden tener paquetes enrutados entre ellas y otras direcciones. Un ISP que está asignando direcciones fuera del rango asignado por ICANN no recibirá los paquetes enrutados a / desde esa dirección o provocará errores de enrutamiento en otras partes de Internet. Este es el tipo de cosas que suceden cuando algunos de los censores o filtros nacionales de Internet salen mal o, a veces, cuando los ISP de nivel superior configuran mal su información de enrutamiento.

Entonces, sí, podría configurar un servidor interno con las mismas direcciones que Google.com, army.mod.uk, etc. Pero probablemente no obtendría paquetes destinados a esos hosts, al menos no desde fuera de su enrutamiento esquema.

mpez0
fuente
6

Si usted es un ISP, puede robar rangos IP completos. Los proveedores y las grandes empresas y similares han llamado los sistemas autónomos identificados por "AS" y un valor entero de 16 bits. Este sistema se comunica con otros sistemas. Necesitan un protocolo para indicar a los otros sistemas qué IP poseen y a qué otro AS están conectados, y también algunos "costos" para la conexión. Entre AS, esto suele ser BGP .

El problema es que esto todavía se basa principalmente en la confianza. Si algún proveedor anuncia que ahora posee el IP-Space de Google y el costo es muy bajo, todos los demás sistemas envían tráfico de Google a este proveedor. Esto se ha hecho, por ejemplo, con Youtube en un intento por parte de funcionarios pakistaníes de bloquearlo en Pakistán. Todavía no hay una solución técnica real. Esto básicamente todavía funciona. La mayoría de los proveedores cambiaron de un proceso automático a uno semiautomático, donde definen algunos criterios sobre los cambios de ruta anunciados por otros proveedores cuando tienen que ser verificados por un humano. Pero Internet es demasiado grande para verificarlo todo. Entonces tienen reglas como "si el AS hizo algo malo antes, verifique manualmente".

Entonces no, usted como persona normal no puede robar una IP. Pero si es un proveedor lo suficientemente grande, puede robar rangos de IP completos durante al menos horas, si no días. Si solo hace esto para subredes muy pequeñas e intenta redirigir el tráfico al objetivo real, incluso podría salirse con la suya en un ataque medio sin que nadie lo note.

¡Por supuesto, también hay un artículo de Wikipedia !

Si quieres jugar, un buen comienzo es la herramienta de información bgp de hurricane electric. También hay una herramienta gráfica. Puede ingresar el número AS de su proveedor que el sitio le dice allí y ver qué pares usa su proveedor.

Josef
fuente
5

"¿Podría el ISP manejar los ISP que no ha comprado?"

La comunicación básicamente ocurre así: PC a la máquina de destino (ya sea un enrutador o directamente al objetivo, determinada por la máquina de envío a través de una comparación de su dirección IP y su máscara de subred; si el destino no está en la misma subred, se envía a el enrutador para enrutamiento).

Si un enrutador recibe un paquete para enrutarlo, toma una decisión similar en función de todas las subredes, también está conectado directamente. Elige qué subred enviar el paquete en adelante a través de su "tabla de enrutamiento". Nota: La tabla de enrutamiento en la máquina cliente se usó en el primer paso: pruebe CMD: "Ruta de impresión" en Windows.

En el último enrutador del proceso, el que tiene la dirección IP de destino en una de sus subredes conectadas, el enrutador envía directamente al host a través de su dirección MAC (posiblemente después del uso de RARP).

Por lo tanto, las direcciones IP se utilizan para enrutar entre los enrutadores y los enrutadores tienen alguna forma de saber cómo enrutar en función de conjuntos limitados de información. Los enrutadores comparten información de manera dinámica sobre los cambios de ruta (disponibilidad de subred de red), pero "pueden hacerlo de manera autenticada". No puedo comentar si se aplica la autenticación.

Si un ISP 'libera' direcciones IP a los hosts a través de DHCP o cualquier otro medio, entonces los datos de la tabla de ruta deben existir para una comunicación bidireccional exitosa. Sería trivial identificar un ISP deshonesto. Incluso si hubiera un enfoque de confianza en diferentes niveles, censurar las actualizaciones de enrutamiento del ISP seguiría siendo trivial.

Martin O'Keefe
fuente
4

El registro de la dirección IP está regulado en una red local por algún tipo de enrutador. Con DHCP, una computadora pregunta si hay una dirección IP del enrutador y se le asigna una. Pero una vez que desea abandonar su red local, su IP es asignada por su ISP. Hay formas de falsificar la dirección IP de la que proviene un paquete, pero tan pronto como llega a uno de los enrutadores del ISP, la dirección IP se reemplaza por la suya. Lo único que permanece igual es la dirección MAC, que también puede ser falsificada. Pero como su dirección IP se reemplaza en el primer enrutador, limita lo que puede hacer.

Para darle una respuesta breve, el ISP designa todo en una tubería para asociarlo con su dirección IP registrada. Es como si te dijera que elijas una tarjeta y solo hay una. Las direcciones IP locales y públicas están completamente separadas.

Para obtener más información, puede consultar esto en http://en.wikipedia.org/wiki/IP_address_spoofing

Caído
fuente
1
Gracias por una buena respuesta Sin embargo, no estoy pensando en cambiar la IP en mi red privada. Estoy hablando de compañías que se conectan directamente a Internet, como por ejemplo compañías de servidores de Internet. Para continuar tu ejemplo. ¿Podría el ISP comenzar a repartir IP que no ha comprado?
Amigo de Kim
1
Creo que, al más alto nivel de ISP, este sistema se basa en la confianza. Pero no estoy seguro. Aquí hay más información: en.wikipedia.org/wiki/Tier_1_network , en.wikipedia.org/wiki/…
Caído
55
Esta respuesta es incorrecta en algunos puntos. Se supone que todos usan NAT, que no es el caso. Está combinando NAT y enrutamiento. Y la afirmación de mantener la dirección MAC mientras se descarta la dirección IP de origen es prácticamente lo contrario de lo que sucede cuando un paquete atraviesa una puerta de enlace.
JdeBP 01 de
NAT está involucrado en mi respuesta, pero incluso sin NAT no cambiaría el hecho de que la dirección IP asignada por el ISP reemplazaría la IP en los paquetes. A menos que los ISP asuman de buena fe que las IP son correctas y no las modifican.
Caído
@ Fallen: la mina verifica las direcciones IP, pero no las toca en absoluto. O la dirección IP es incorrecta y el paquete se descarta o se pasa. Personalmente, no conozco muchos ISP que reescriban IP, pero entiendo que esto es más común en Asia (falta de direcciones IPv4)
MSalters
4

Puede "usar" cualquier dirección IP para los paquetes que envíe, pero la limitación es en realidad sobre los paquetes que recibirá.

"Comprar" un rango de direcciones IP significa que un grupo de otras personas configurará sus enrutadores para que los paquetes enviados a ese rango de direcciones IP se reenvíen un paso más cerca de usted, llegando finalmente a un dispositivo que usted mismo controla. Todo es cuestión de mantener una gran cantidad de tablas de enrutamiento con unas listas diciendo (un poco simplificada) "xxx.yyy. . Son enviadas a la izquierda, xxx.zzz. . Son enviadas a la derecha".

"Simplemente agarrando" una dirección arbitraria resultará que si desea ponerse en contacto con www.google.com, les enviará un paquete inicial, pero el paquete de respuesta se enviará al propietario previsto real como configurado correctamente, y ganó No lo veo. Si tomó una dirección que pertenece a su vecino en el mismo ISP, entonces el enrutador del ISP más cercano a usted se configurará para enviar todos esos mensajes a su vecino, y no a usted. Si tomó una dirección aleatoria, lo más probable es que se envíe a otro rincón del mundo, y la respuesta ni siquiera se acercaría a su ISP.

Es igual que con el correo postal, si vives en Pyongyang pero quieres comenzar a recibir correo dirigido a "1600 Pennsylvania Ave NW, Washington, DC 20500, Estados Unidos", entonces deberías convencer (al menos uno de) los servicios postales entre el remitente y el propietario de la dirección para enviar dichos mensajes a su manera. Esto es posible si todos los remitentes están en una red interna de la compañía; pero esa probablemente no era la pregunta.

Pedro es
fuente
2

La función del Protocolo de configuración dinámica de host (DHCP) del enrutador al que está conectado un individuo asigna una dirección IP dentro de un rango específico. No puede simplemente pedir una dirección IP específica. Hasta donde yo sé, un individuo no puede "falsificar" una dirección IP.

Peter Fowler
fuente
1
Gracias por una buena respuesta Sin embargo, no estoy pensando en cambiar la IP en mi red privada. Estoy hablando de compañías que se conectan directamente a Internet, como por ejemplo compañías de servidores de Internet. Para continuar tu ejemplo. ¿Podría el ISP comenzar a repartir IP que no ha comprado?
Amigo de Kim
1
en realidad, puede solicitar una dirección específica a través de DHCP. Sin embargo, depende del servidor si desea aceptar su solicitud.
BRPocock
@ Peter, Él pregunta qué pasa si usted es el DHCP.
Pacerier