Alamat RFC 1918 di internet terbuka?

18

Dalam mencoba mendiagnosis masalah failover dengan firewall Cisco ASA 5520 saya, saya menjalankan traceroute ke www.btfl.com dan, yang mengejutkan saya, beberapa hop kembali sebagai alamat RFC 1918.

Untuk lebih jelasnya, host ini tidak berada di belakang firewall saya dan tidak ada VPN yang terlibat. Saya harus terhubung melalui internet terbuka untuk sampai ke sana.

Bagaimana / mengapa ini mungkin?

asa# traceroute www.btfl.com

Tracing the route to 157.56.176.94

 1  <redacted>
 2  <redacted>
 3  <redacted>
 4  <redacted>
 5  nap-edge-04.inet.qwest.net (67.14.29.170) 0 msec 10 msec 10 msec
 6  65.122.166.30 0 msec 0 msec 10 msec
 7  207.46.34.23 10 msec 0 msec 10 msec
 8   *  *  *
 9  207.46.37.235 30 msec 30 msec 50 msec
 10 10.22.112.221 30 msec
    10.22.112.219 30 msec
    10.22.112.223 30 msec
 11 10.175.9.193 30 msec 30 msec
    10.175.9.67 30 msec
 12 100.94.68.79 40 msec
    100.94.70.79 30 msec
    100.94.71.73 30 msec
 13 100.94.80.39 30 msec
    100.94.80.205 40 msec
    100.94.80.137 40 msec
 14 10.215.80.2 30 msec
    10.215.68.16 30 msec
    10.175.244.2 30 msec
 15  *  *  *
 16  *  *  *
 17  *  *  *

dan itu melakukan hal yang sama dari koneksi FiOS saya di rumah:

C:\>tracert www.btfl.com

Tracing route to www.btfl.com [157.56.176.94]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  myrouter.home [192.168.1.1]
  2     8 ms     7 ms     8 ms  <redacted>
  3    10 ms    13 ms    11 ms  <redacted>
  4    12 ms    10 ms    10 ms  ae2-0.TPA01-BB-RTR2.verizon-gni.net [130.81.199.82]
  5    16 ms    16 ms    15 ms  0.ae4.XL2.MIA19.ALTER.NET [152.63.8.117]
  6    14 ms    16 ms    16 ms  0.xe-11-0-0.GW1.MIA19.ALTER.NET [152.63.85.94]
  7    19 ms    16 ms    16 ms  microsoft-gw.customer.alter.net [63.65.188.170]
  8    27 ms    33 ms     *     ge-5-3-0-0.ash-64cb-1a.ntwk.msn.net [207.46.46.177]
  9     *        *        *     Request timed out.
 10    44 ms    43 ms    43 ms  207.46.37.235
 11    42 ms    41 ms    40 ms  10.22.112.225
 12    42 ms    43 ms    43 ms  10.175.9.1
 13    42 ms    41 ms    42 ms  100.94.68.79
 14    40 ms    40 ms    41 ms  100.94.80.193
 15     *        *        *     Request timed out.
leher panjang
sumber

Jawaban:

11

Router diperbolehkan untuk terhubung satu sama lain menggunakan RFC1918 atau alamat pribadi lainnya, dan pada kenyataannya ini sangat umum untuk hal-hal seperti tautan point-to-point, dan setiap routing yang terjadi di dalam AS.

Hanya gateway perbatasan pada jaringan yang benar-benar membutuhkan alamat IP yang dapat dirutekan secara publik agar perutean berfungsi. Jika antarmuka router tidak terhubung ke AS lain (atau penyedia layanan lain, lebih sederhana), tidak perlu mengiklankan rute di internet, dan hanya peralatan milik entitas yang sama yang perlu terhubung langsung ke antarmuka.

Bahwa paket kembali kepada Anda dengan cara ini di traceroute adalah sedikit pelanggaran RFC1918, tetapi sebenarnya tidak perlu menggunakan NAT untuk perangkat ini karena mereka tidak terhubung ke hal-hal yang sewenang-wenang di internet sendiri; mereka hanya melewati lalu lintas.

Bahwa lalu lintas mengambil rute (mungkin berputar) melalui beberapa organisasi yang dilakukannya hanyalah konsekuensi dari operasi protokol routing gateway eksterior. Tampaknya masuk akal jika Microsoft memiliki beberapa tulang punggung dan beberapa orang telah mengintipnya; Anda tidak harus menjadi ISP grosir untuk merutekan lalu lintas.

Bahwa lalu lintas telah melalui beberapa seri router dengan IP pribadi, transit melalui yang dengan IP publik di antaranya, tidak terlalu aneh - ini hanya menunjukkan (dalam hal ini) dua jaringan yang berbeda di sepanjang jalur telah mengarahkan lalu lintas melalui router mereka sendiri yang mereka pilih untuk angka dengan cara ini.

Falcon Momot
sumber
16

Bukan hanya RFC 1918 ... juga RFC 6598 , yaitu 100.64.0.0/10ruang CGN. Keduanya adalah jaringan pribadi, tetapi yang terakhir lebih standar dan kurang dikenal.

Ini tidak biasa dari sudut pandang traceroute. Anda tidak benar-benar berbicara dengan host 10space dan 100space secara langsung, Anda mengirim paket dengan TTL yang lebih besar secara bertahap ke router hop berikutnya. Agar jawaban tidak terlalu panjang, tautan Wikipedia ini merangkum prosesnya.

Apa yang tidak biasa adalah bahwa paket ini melintasi ruang IP publik, dan kemudian terowongan melalui ruang IP swasta untuk mencapai "publik" bersih lagi. 157.56.176.94dimiliki oleh Microsoft, dan paket tersebut melintasi jaringan yang dimiliki MS sebelum mengenai jaringan pribadi ... jadi itulah yang Microsoft pilih untuk lakukan dengan ruang jaringan mereka di kedua ujung ruang pribadi. Mereka mengiklankan rute; router lain hanya melakukan apa yang diperintahkan.

Sebagai aturan umum, tidak, operator jaringan umumnya tidak mengekspos jaring pribadi mereka di sepanjang rute ke ruang IP publik dari luar jaringan mereka. Itu sebabnya ini sangat tidak biasa.

(itu bisa berupa rute yang hilang di suatu tempat di perbatasan mereka, menyebabkan paket-paket untuk melintasi jalur yang tidak optimal yang akhirnya mencapai tujuannya, tetapi saya bukan orang yang berjejaring dan seseorang mungkin dapat mengambil risiko lebih baik dari itu)

Andrew B
sumber
1
Sebagian besar implementasi traceroute bergantung pada UDP + ICMP saat artikel Anda menyatakan.
dmourati
@dmourati Sebagai admin Unix, saya terpaksa memerah. Duh. Terima kasih.
Andrew B
Dalam pengalaman saya, ini tidak biasa sama sekali. Banyak operator menggunakan 10.0.0.0/8 di dalam jaringan mereka, dan mengekspos jumlah yang mengganggu itu.
Paul Gear