Bisakah Anda mengambil alamat IP apa pun di Internet?

82

Pada jaringan pribadi (LAN) seseorang dapat dengan mudah mengambil alamat IP . Jika Anda memilih alamat IP yang sama dengan klien yang ada, Anda mendapatkan masalah. Ada perusahaan seperti IANA dan ICANN yang bertanggung jawab atas buletin alamat IP dan menjualnya. Tapi apa yang menghentikan Anda dari hanya mengambil alamat IP acak? Apakah ini dibangun di atas kepercayaan? Bagaimana jika seseorang mengambil alamat IP dan konflik akan terjadi. Apakah ada cara melacak alamat IP itu ke lokasi server yang menggunakannya?

Apakah perusahaan yang benar-benar memelihara kabel internet fisik memeriksa apakah klien yang terhubung menggunakan blok alamat IP yang dibeli atau tidak?

Teman Kim
sumber

Jawaban:

114

Tidak ada yang mencegah Anda melampirkan kotak yang dikonfigurasi dengan alamat IP orang lain ke internet. Namun, ini tidak akan menyebabkan masalah bagi orang lain selain diri Anda sendiri.

Jika Anda mencuri alamat IP orang lain di luar subnet yang Anda sambungkan secara fisik, satu-satunya hal yang akan Anda capai adalah tidak dapat menerima lalu lintas apa pun karena perute mana pun, berperilaku baik, akan mengarahkan lalu lintas ke pemilik sebenarnya dari ini. Alamat IP. Anda mungkin dapat mengiklankan rute palsu ke router tepi apa pun yang ada di hulu dari Anda dengan harapan bahwa rute tersebut akan diperbanyak dengan harapan mendapatkan lalu lintas yang dialihkan ke Anda berdasarkan alamat IP curian Anda, tetapi penyedia ISP / hulu yang sedikit kompeten akan jangan pernah menerima rute dari konsumen non-perusahaannya. Sejauh pelanggan perusahaan / ISP lain pergi, mereka terikat oleh aturan khusus tentang rute apa yang mereka dapat beriklan dan gunakan dengan penyedia transit atau rekan mereka, yang dipantau 24/7 oleh Operasi Jaringan dan Tim Kontrol. Sebagian besar juga memiliki aturan tentang rute apa yang akan mereka terima valid tergantung pada siapa yang mengiklankannya. Singkatnya, mencuri alamat IP seseorang di luar subnet yang terhubung dengan Anda tidak melakukan apa-apa kecuali Anda juga dapat memanipulasi tabel perutean upstream.

Selain itu, jika Anda mencuri alamat IP seseorang di subnet yang sama, Anda akan mengganggu lalu lintas orang yang memilikinya dan diri Anda sendiri. Dengan sakelar atau router mana pun yang dikelola, ini akan meningkatkan alarm karena ada alamat duplikat di jaringan dan kemungkinan akan menyebabkan koneksi Anda diblokir dalam beberapa cara.

Fred Thomsen
sumber
Satu hal yang Anda singgung, tetapi tidak secara eksplisit disebutkan, adalah bahwa Anda tidak dapat berkomunikasi dengan pemilik sebenarnya dari alamat IP, atau mungkin pemilik sebenarnya dari seluruh subnet.
Michael Hampton
3
Saya tepat "tidak bisa menerima lalu lintas dari Internet " bukannya "tidak ada lalu lintas" (sama sekali). [Contohnya bukan dalam ide OP:] Ada (dulu?) Beberapa perusahaan yang berpikir bahwa boleh saja menggunakan alamat internet sebagai IP internal mereka, pada LAN (s) mereka ... Dan itu "semacam" bekerja (tetapi mengerikan ide, dan tidak untuk direproduksi). Tetapi mereka kemudian bertanya-tanya mengapa mereka tidak dapat menjangkau beberapa situs (seperti, bahkan menggunakan NATing di Internet Gateway mereka: setiap paquets yang ditakdirkan untuk suatu host dalam kisaran yang sama seperti jangkauan "internal" mereka akan dikirim oleh mesin LAN mereka pada LAN mereka, alih-alih ke pintu gerbang untuk dikirim keluar ...)
Olivier Dulac
@OlivierDulac Ini tidak selalu menjadi masalah, selama Anda tidak merutekan / NAT ke internet, tetapi gunakan proxy. Mengambil sedikit konfigurasi yang sangat hati-hati tetapi tentu saja mungkin. (Sebenarnya saya bekerja untuk perusahaan yang beroperasi seperti ini. Multinasional dengan sekitar 500.000 ip-devices.)
Tonny
Apakah ISP menolak lalu lintas dari klien yang (maafkan terminologi saya jika salah) mengklaim IP statis alih-alih menerimanya melalui DHCP?
Dean MacGregor
@ Tony: Saya hanya membatasi "lalu lintas" sedikit lebih jauh. Dan saya tahu ada solusi / solusi, tetapi masih lebih baik menggunakan kelas A yang dilindungi undang-undang (10.x / 8, jadi lebih dari 16 juta alamat, atau subnetnya jika Anda membutuhkan lebih sedikit [bagus untuk menyimpan rentang yang tidak digunakan untuk kasus khusus] ) daripada menggunakan rentang yang tidak disediakan [di mana setiap tabel routing router lokal Anda perlu dirancang dengan hati-hati untuk membedakan lalu lintas lokal dari yang menghadap internet. Beberapa pengaturan yang hati-hati membuatnya "mudah", kebanyakan tidak]
Olivier Dulac
120

Mirip dengan jawaban mpez0, tapi saya suka analogi mobil yang bagus ...

Saya memilih Inggris untuk ini, karena di situlah saya tinggal. Bayangkan Anda hidup di dunia di mana orang-orang mengikuti rambu-rambu jalan tanpa pertanyaan, dan Anda kebetulan tinggal di utara Skotlandia, sekitar sejauh mungkin dari London tanpa melintasi air. Anda tinggal di kota kecil, dan suatu hari Anda memutuskan bahwa Anda akan mengubah nama kota Anda 'London' karena itu jelas akan berdampak mendorong lebih banyak perdagangan dan pariwisata ke kota Anda, bukan? Anda bahkan mengalami kesulitan memperbarui rambu-rambu jalan lokal untuk mencerminkan nama baru kota Anda.

Apa yang sebenarnya terjadi? Nah, Anda mendapatkan banyak orang dari desa-desa sekitar mengunjungi kota Anda mengikuti tanda-tanda dan bertanya-tanya mengapa mereka tidak di London. Namun terlepas dari itu, tidak ada yang berubah. Mengapa?

Pertimbangkan seseorang yang tinggal di tengah-tengah Inggris. Mereka tahu bahwa London ada di selatan, jadi ketika mereka berada di jalan untuk pergi ke London, mereka mengikuti tanda-tanda yang mengatakan 'SELATAN' dan terus berjalan sampai tanda-tanda menjadi lebih spesifik. Dengan kata lain, tanda jalan mereka masih menunjuk ke London yang asli. 'Tabel perutean' mereka belum berubah. Fakta bahwa kota Anda telah memutuskan untuk mengubah namanya menjadi London tidak penting bagi mereka. Rute lokal mereka hampir tidak cukup spesifik untuk memperhatikan perubahan.

Jika Anda memutuskan untuk mengubah alamat IP Anda, router di tempat lain tidak akan tiba-tiba menyadari fakta ini. Tanda jalan tidak akan berubah.

Chris McKeown
sumber
13
Ini perbandingan yang sangat bagus.
Teman Kim
Berbicara tentang kebingungan dengan tanda, saya tidak tahu apakah Inggris seperti ini, tetapi di AS tidak jarang memiliki tanda sebelum beralih ke jalan raya yang mengiklankan sebuah kota yang jaraknya ratusan mil. Ketika saya masih kecil saya menemukan ini membingungkan, karena orang mungkin berada di Skotlandia dan mendapatkan di jalan raya mengharapkan London menjadi kota berikutnya ...
Michael
14
@Michael Di Inggris, di sisi lain, tidak jarang melihat tanda-tanda yang benar-benar mengatakan, hanya, "Selatan" .
EP
2
Ada juga gagasan tentang rute default pada rambu-rambu jalan: "Semua arah" atau "Arah lainnya". Setelah di Perancis kami menemukan persimpangan yang memiliki kedua tanda, tetapi menunjuk ke arah yang berbeda;)
MSalters
21

Pertimbangkan analogi alamat rumah Anda. Suatu hari Anda memutuskan untuk mengubah alamat Anda dari "123 First Street" menjadi "1600 Pennsylvania Avenue". Apa bedanya di luar garis properti Anda sendiri? Tidak ada - karena seluruh dunia masih berperilaku seolah-olah lokasi fisik rumah Anda tidak berubah, nama jalan Anda tidak berubah, nama kota tidak berubah, kode pos tidak berubah .. Anda mendapatkan ide.

Mail, paket, dan sebagainya akan "dialihkan" ke rumah Anda berdasarkan lokasinya di jaringan alamat komunitas Anda. Jumlah rumah Anda (komputer), dengan sendirinya, hanya perhentian terakhir dan terakhir (network hop). Segala sesuatu di sepanjang jalan harus disetujui, harus disinkronkan, dan Anda hanya mengontrol ujung jalan.

Anda dapat memberi nomor rumah (atau komputer) apa pun yang Anda inginkan, tetapi agar lalu lintas jaringan Anda terus mengalir, Anda harus melakukannya dengan menyelaraskan dengan lingkungan Anda. Untuk mengubah alamat rumah Anda, Anda harus mengubah nomornya, DAN dapatkan birokrasi untuk mengubah nama jalan Anda, DAN mengubah nama kota Anda, DAN kode pos Anda. Demikian juga, untuk mengubah alamat IP Anda ke sesuatu di luar blok yang dialokasikan, Anda harus mengubah nomornya, DAN meminta penyedia upstream Anda untuk mengubah blok yang dialokasikan, DAN mengubah router mereka untuk merutekan blok yang ke Anda, DAN mengiklankannya melalui BGP ke rekan-rekan routing mereka.

Dalam kedua kasus, Anda menyinkronkan perubahan Anda dengan dunia luar sehingga dunia luar tahu bagaimana menemukan Anda. Jika tidak, efeknya adalah lalu lintas jaringan tidak dapat menemukan Anda lagi - dan satu-satunya entitas yang dipengaruhi oleh perubahan alamat Anda adalah Anda. Yang, secara arsitektur, adalah hal yang baik!

AndroidNewbie
sumber
10

ISP tertentu dapat menetapkan alamat apa pun untuk klien mana pun. Namun, alamat hanya berguna karena mereka dapat memiliki paket yang dialihkan antara mereka dan alamat lainnya. ISP yang menetapkan alamat di luar rentang yang diberikan oleh ICANN tidak akan mendapatkan paket yang dialihkan ke / dari alamat itu atau akan menyebabkan kesalahan perutean di tempat lain di Internet. Ini adalah hal yang terjadi ketika beberapa sensor internet nasional atau filter menjadi serba salah, atau kadang-kadang ketika ISP tingkat atas salah mengkonfigurasi informasi rute mereka.

Jadi, ya, Anda dapat mengatur server internal dengan alamat yang sama dengan Google.com, army.mod.uk, dll. Tetapi Anda mungkin tidak akan mendapatkan paket yang ditujukan untuk host tersebut, setidaknya tidak dari luar perutean Anda skema.

mpez0
sumber
6

Jika Anda seorang ISP, Anda dapat mencuri seluruh IP-Ranges. Penyedia dan perusahaan besar dan sejenisnya telah disebut Sistem Otonomi yang diidentifikasi oleh "AS" dan nilai integer 16-bit. Sistem ini berkomunikasi dengan sistem lain. Mereka membutuhkan protokol untuk memberi tahu sistem lain tentang IP mana yang mereka miliki dan AS lainnya yang terhubung, dan juga beberapa "biaya" untuk koneksi tersebut. Antara AS, ini biasanya BGP .

Masalahnya, ini sebagian besar masih berdasarkan kepercayaan. Jika beberapa penyedia mengumumkan bahwa ia sekarang memiliki IP-Space Google dan biayanya sangat rendah, semua sistem lain mengirimkan lalu lintas untuk google ke penyedia ini. Ini telah dilakukan, misalnya dengan Youtube dalam upaya oleh pejabat Pakistan untuk memblokirnya di Pakistan. Masih belum ada solusi teknis yang nyata. Ini pada dasarnya masih berfungsi. Sebagian besar penyedia beralih dari proses otomatis ke proses semi-otomatis, di mana mereka menentukan beberapa kriteria tentang perubahan rute yang diumumkan oleh penyedia lain ketika mereka harus diperiksa oleh manusia. Tetapi internet terlalu besar untuk memeriksa semuanya. Jadi mereka memiliki aturan seperti "jika AS melakukan sesuatu yang buruk sebelumnya, periksa secara manual".

Jadi tidak, Anda sebagai orang normal tidak bisa mencuri IP. Tetapi jika Anda penyedia yang cukup besar, Anda dapat mencuri seluruh rentang IP untuk setidaknya beberapa jam, jika tidak berhari-hari. Jika Anda hanya melakukan ini untuk subnet yang sangat kecil dan mencoba mengubah rute lalu lintas ke target yang sebenarnya, Anda bahkan bisa lolos dengan seorang pria dalam serangan tengah tanpa ada yang pernah memperhatikan.

Tentu saja ada juga artikel wikipedia !

Jika Anda ingin bermain-main, awal yang baik adalah alat info bgp oleh hurricane electric. Ada juga alat grafis. Anda dapat memasukkan AS-Number dari penyedia Anda yang diberitahukan situsnya kepada Anda di sana dan melihat apa yang digunakan rekan kerja penyedia Anda.

Josef
sumber
5

"Bisakah ISP menangani ISP yang belum dibeli?"

Komunikasi pada dasarnya terjadi seperti ini: PC ke mesin target (baik router atau langsung ke target - ditentukan oleh mesin pengirim melalui perbandingan alamat IP-nya dan itu subnet mask; jika targetnya tidak pada subnet yang sama itu dikirim ke router untuk routing).

Jika router menerima paket untuk perutean, router membuat keputusan yang sama berdasarkan semua subnet yang terhubung langsung juga. Itu memilih subnet mana untuk mengirim paket dan seterusnya melalui itu "tabel routing." Catatan: Tabel perutean pada mesin klien digunakan pada langkah pertama - coba CMD: "Cetak Rute" pada Windows.

Pada router terakhir dalam proses, yang dengan alamat IP target pada salah satu subnet terpasang, router mengirim langsung ke host melalui alamat MAC itu (mungkin setelah penggunaan RARP).

Jadi, alamat IP digunakan untuk merutekan antara router dan router memiliki beberapa cara untuk mengetahui cara merutekan berdasarkan set informasi yang terbatas. Router membagikan informasi secara dinamis tentang perubahan rute (ketersediaan subnet jaringan), tetapi "mereka dapat melakukannya dengan cara yang diautentikasi." Saya tidak dapat mengomentari apakah otentikasi ditegakkan.

Jika ISP 'melepaskan' alamat IP ke host melalui DHCP atau cara lain apa pun maka data tabel rute harus ada untuk komunikasi dua arah yang berhasil. Akan mudah untuk mengidentifikasi ISP jahat. Bahkan jika ada pendekatan kepercayaan yang terjadi pada level yang berbeda menyensor pembaruan perutean dari ISP masih akan sepele.

Martin O'Keefe
sumber
4

Registrasi alamat IP diatur pada jaringan lokal oleh beberapa jenis router. Dengan DHCP, komputer menanyakan apakah alamat IP dari router dan ditugaskan. Tetapi begitu Anda ingin meninggalkan jaringan lokal Anda, IP Anda ditetapkan oleh ISP Anda. Ada beberapa cara untuk memalsukan alamat IP dari suatu paket, tetapi segera setelah mencapai salah satu router ISP, alamat IP diganti dengan miliknya. Satu-satunya hal yang tetap sama adalah alamat MAC, yang juga bisa dipalsukan. Tetapi karena alamat IP Anda diganti pada router pertama, itu membatasi apa yang dapat Anda lakukan.

Untuk memberi Anda jawaban singkat, ISP menunjuk semuanya pada pipa untuk dikaitkan dengan alamat IP terdaftarnya. Ini seperti saya mengatakan kepada Anda untuk memilih kartu dan hanya ada satu kartu. Alamat IP lokal dan publik sepenuhnya terpisah.

Untuk info lebih lanjut Anda dapat melihat ini http://en.wikipedia.org/wiki/IP_address_spoofing

Jatuh
sumber
1
Terima kasih atas balasan yang baik. Namun, saya tidak berpikir tentang saya mengubah IP di jaringan pribadi saya. Saya sedang berbicara tentang perusahaan yang terhubung langsung ke internet, seperti misalnya perusahaan server internet. Untuk melanjutkan contoh Anda. Bisakah ISP mulai membagikan IP yang belum dibeli?
Teman Kim
1
Saya percaya, pada ISP tertinggi, sistem ini dibangun atas dasar kepercayaan. Tapi saya tidak yakin. Berikut beberapa info lebih lanjut: en.wikipedia.org/wiki/Tier_1_network , en.wikipedia.org/wiki/…
Fallen
5
Jawaban ini salah pada beberapa poin. Diasumsikan bahwa setiap orang menggunakan NAT, yang bukan itu masalahnya. Ini menyatukan NAT dan routing. Dan pernyataan tentang menjaga alamat MAC sambil membuang sumber alamat IP adalah kebalikan dari apa yang terjadi ketika sebuah paket melintasi gateway.
JdeBP
NAT terlibat dalam jawaban saya, tetapi bahkan tanpa NAT itu tidak akan mengubah fakta bahwa alamat IP yang diberikan oleh ISP akan menggantikan IP dalam paket. Kecuali jika ISP mengambil itikad baik bahwa IP itu benar dan tidak memodifikasinya.
Fallen
@Fallen: Milik saya memeriksa alamat IP, tetapi tidak menyentuh sama sekali. Apakah alamat IP salah dan paketnya dijatuhkan , atau diteruskan. Saya pribadi tidak tahu banyak ISP yang menulis ulang IP, tapi saya mengerti ini lebih umum di Asia (kurangnya alamat IPv4)
MSalters
4

Anda dapat "menggunakan" alamat IP apa pun untuk paket yang Anda kirim, tetapi batasannya sebenarnya tentang paket yang akan Anda terima.

"Membeli" rentang alamat IP berarti bahwa sekelompok orang lain akan mengkonfigurasi router mereka sehingga paket yang dikirim ke kisaran alamat IP tersebut diteruskan selangkah lebih dekat kepada Anda, akhirnya mencapai perangkat yang Anda kontrol sendiri. Ini semua tentang menjaga banyak tabel routing dengan daftar mengatakan (sedikit disederhanakan) "xxx.yyy. . Dikirim ke kiri, xxx.zzz. . Akan dikirim ke kanan".

"Cukup ambil" alamat sewenang-wenang akan menghasilkan bahwa jika Anda ingin menghubungi www.google.com, Anda akan mengirim paket awal kepada mereka, tetapi paket tanggapan akan diteruskan ke pemilik yang dituju yang sebenarnya telah dikonfigurasi dengan benar, dan Anda menang bisa melihatnya. Jika Anda mengambil alamat milik tetangga Anda di ISP yang sama, maka router ISP terdekat Anda akan dikonfigurasikan untuk mengirim semua pesan tersebut ke tetangga Anda, dan bukan Anda. Jika Anda mengambil alamat acak, maka kemungkinan besar itu akan dikirim ke sudut lain dunia, dan jawabannya bahkan tidak akan mendekati ISP Anda.

Sama seperti surat pos, jika Anda tinggal di Pyongyang tetapi ingin mulai menerima surat yang ditujukan ke "1600 Pennsylvania Ave NW, Washington, DC 20500, Amerika Serikat", maka Anda harus meyakinkan (setidaknya satu dari) layanan pos antara pengirim dan pemilik alamat untuk mengirim pesan seperti itu dengan cara Anda. Ini dimungkinkan jika semua pengirim berada dalam jaringan internal perusahaan; tapi itu mungkin bukan pertanyaannya.

Peter adalah
sumber
2

Fungsi Dynamic Host Configuration Protocol (DHCP) router yang dihubungkan oleh seorang individu untuk mengalokasikan alamat IP dalam rentang tertentu. Anda tidak bisa hanya meminta alamat IP tertentu. Sejauh yang saya tahu seseorang tidak bisa "menipu" alamat IP.

Peter Fowler
sumber
1
Terima kasih atas balasan yang baik. Namun, saya tidak berpikir tentang saya mengubah IP di jaringan pribadi saya. Saya sedang berbicara tentang perusahaan yang terhubung langsung ke internet, seperti misalnya perusahaan server internet. Untuk melanjutkan contoh Anda. Bisakah ISP mulai membagikan IP yang belum dibeli?
Teman Kim
1
sebenarnya, Anda dapat meminta alamat tertentu melalui DHCP. Terserah server apakah ingin menyetujui permintaan Anda.
BRPocock
@ Peter, Dia bertanya bagaimana jika Anda adalah DHCP.
Pacerier