سؤال عنوان IP الذي يعادل / dev / null


هل هناك عنوان IP يمكن أن يؤدي إلى تجاهل أي حزمة يتم إرسالها (blackholed)؟

أعلم أنه يمكنني دائمًا إعداد جهاز توجيه باستخدام عنوان IP ومن ثم فقط تجاهل كافة الحزم المرسلة إليه ، ولكن هل يوجد شيء كهذا ليحفظ لي المتاعب؟


87
2018-01-07 17:45


الأصل


هناك بعض الأجهزة (مثل أجهزة التوجيه ومفاتيح التبديل من سان فرانسيسكو التعاون) التي تستخدم واجهة Null التي يمكن استخدامها بمثابة ثقب أسود لحركة المرور الضارة. ينبغي للمرء أن يشير إلى الطريق إلى واجهة Null بحيث يتم تجاهل كل حركة المرور إلى هذا المسار. - Adriano P
قد تكون مهتمًا بها devnull-as-a-service.com - wchargin
أنا فضولي ، لماذا تم وضع علامة على السؤال "منع البريد المزعج"؟ - Mike Pennington
@ WChargin ، آمل أن تكون مزحة - devnull-as-a-service.com لا يبدو أن لديها أي علاقة مع الشبكات وحتى ذلك لا تبدو مثل حماقة. ما هذا: When we say "government" we mean NSA, CIA, FBI, TSA, Communist Party of China (CPC), Nestle, The Coca-Cola Company, the KGB, some of your coworkers and our friends (especially if there is something funny).؟ - VL-80
Nikolay نعم ، كانت مزحة ، كما هو الموقع. انظر بهم جيثب README: "يتعلق الأمر في الغالب بالمؤسسة ، السحاب ، * -as-a-Service والنقد على ذلك."(التأكيد على الألغام) - wchargin


الأجوبة:


هناك على وجه التحديد بادئة blackhole في IPV6 ، كما هو موضح في RFC 6666، إنها 100 :: / 64. لا يحتوي IP4 على ثقب أسود صريح مثل هذا ، لكن مضيفًا غير موجود على أحد الكتل المحجوزة سيكون له هذا التأثير. (على سبيل المثال ، يكون 240.0.0.0/4 "محجوزًا للاستخدام في المستقبل" ولن يتم توجيهه بأي شيء.)


79
2018-01-07 18:04



إن إرسال البيانات إلى شيء محجوز للاستخدام في المستقبل ليس إلا فكرة جيدة حتى يتم تحقيق ذلك الاستخدام في المستقبل. - corsiKa
نقطة جيدة للغاية ، على الرغم من أنني أشك في أن IP4 سيتم توسيعه مرة أخرى. - Bandrami
ولكن هل يضمن جهاز التوجيه إسقاط الحزم؟ لأنه في حالة إرجاع "تعذر الوصول إلى الوجهة" لـ ICMP ، فلن يكون ما طلبه OP. - WGH


هناك شيء مثل الشبكة الثقب الأسود.

إذا لم تكن هناك أجهزة في الشبكة ذات عنوان IP 192.168.0.10 ، فإن عنوان IP هذا هو نوع من الثقب الأسود وسيقوم "بتجاهل" جميع الزيارات إليه ، لأنه ببساطة غير موجود.

يمكن البروتوكولات التي تتبع حالة الاتصال (TCP) الكشف عن مضيف وجهة مفقودة. لن يحدث ذلك مع UDP وستموت الحزم فقط بينما لن يتم إبلاغ المضيف المرسل بذلك.

يمكنك إعداد ثقب أسود بجدار ناري عن طريق إعداده بصمت انخفاض الحزم (لا ترفض) من عناوين معينة (أو العديد).

بقدر ما أعرف لا يوجد مثل هذا العنوان القياسي للشبكة الذي سيفعل ثقب أسود لك في الإصدار 4 من TCP / IP (شكرا ل Bandrami).

بحيث يكون لديك خيارين:

  1. عنوان IP لم يتم تعيينه لأي مضيف ؛
  2. المضيف مع جدار الحماية الذي يسقط بصمت الحزم أو الاختلافات في ذلك ، على سبيل المثال باستخدام netcat: (كما اقترح من قبل ultrasawblade).

nc -vv -l 25 > /dev/null سوف يستمع لاتصالات واردة على منفذ TCP 25 وينتقل النتائج إلى /dev/null. مزيد من الأمثلة هنا.

الشبكة الفرعية بأكملها يمكن أيضا أن يكون ثقب أسود (طريق خال).


41
2018-01-07 17:56



إذا كنت تريد شيئًا من شأنه أن يستقبل حركة مرور TCP ، ولكن لا تفعل شيئًا حيال ذلك ، يمكن إعداد شيء سريع به nc (أو netcat). وكما يقولNikolay ، ليس هناك عنوان IP "blackhole" يقوم بذلك تلقائيًا. - LawrenceC
على الأقل ليس في IP4 - Bandrami
@ بنديرامي: ماذا عن IPv6 ، إذن؟ - user2357112
@ user2357112 ، مجرد إلقاء نظرة على بلده إجابة. هو فقط تحت الألغام. - VL-80


لا يوجد "عنوان قياسي للعيون السوداء" على هذا النحو ، ولا يوجد أي شرط لذلك. لا تقول ما تحاول تحقيقه فعلاً ، لذا لا يمكنني مساعدتك في ذلك ، ولكن إليك بعض الحلول الخاطئة لمشكلتك التي من شأنها أن تجيب عن سؤالك كما سألته:

  • يمكنك استخدام عنوان RFC1918 هذا ليس قيد الاستخدام على الشبكة الخاصة بك والاعتماد على مزود خدمة الإنترنت الخاص بك لإسقاطه لك. على سبيل المثال ، إذا كنت تستخدم بعض الأجزاء فقط من 192.168 ، فسيتم إلغاء 10.255.255.1 بواسطة مزود خدمة الإنترنت (الذي سيحصل عليه بفضل البوابة الافتراضية).
  • يمكنك استخدام عنوان IP مخصص للاستخدام في المستقبل (وربما لن يتم استخدامه على الإطلاق) ؛ هذا هو القديم "الفئة هـ"النطاق. سوف يفعل الشيء نفسه كما ذكر أعلاه ، ولكنه سيعمل حتى إذا كنت تستخدم جميع نطاقات العناوين الخاصة بالفعل (من خلال وجود netmasks أوسع من اللازم ، أشك في أن لديك الملايين من الأجهزة المتصلة). على سبيل المثال ، سوف 254.0.0.1 أبدا (من الناحية القانونية) الرجوع إلى جهاز حقيقي.
  • على الجهاز الذي تحتاج إلى هذا ، يمكنك إضافة هدف drop drop فقط ؛ باستخدام عنوان غير مستخدم مثل ما ورد أعلاه ، على سبيل المثال ، iptables -I OUTPUT -d 254.0.0.0/8 -j DROPسيضمن أن أي شيء يتم إرساله إلى تلك "الشبكة" سيتم إسقاطه بصمت بدلاً من إزعاج أي بوابات ، أو حتى التسبب في حركة المرور على واجهة الشبكة الفعلية.

مرة أخرى ، ربما لا تريد في الواقع أيًا من هذا ، حتى إذا كنت تعتقد أنها ملائمة - فهي ليست كذلك ، فهي مربكة وغير واضحة ولا تمثل حلًا جيدًا لأي مشكلة تكمن في مشكلتك.


16
2018-01-07 18:05



254.0.0.1 لا الحزم الثقب الأسود ، وأحصل على خطأ "فشل الإرسال". - Tyler Durden
لإجراء 1+ "على الأرجح أنك لا تريد أيًا من هذا ..." - RBerteig


في حين أنها ليست حفرة سوداء ، قد ترغب أيضًا في النظر في عناوين IP وضعت جانبا للاختبار / سبيل المثال، خاصة إذا كان هدفك هو قيمة "افتراضية غير عاملة بأمان".

  • 192.0.2.0/24 (TEST-NET-1)،
  • 198.51.100.0/24 (TEST-NET-2)
  • 203.0.113.0/24 (TEST-NET-3)

يجب على مشغلي الشبكات إضافة كتل العناوين هذه إلى قائمة مساحات العناوين غير القابلة للتوجيه ، وإذا تم نشر فلاتر الحزم ، فيجب إضافة كتلة العنوان هذه إلى عوامل تصفية الحزم.

لا يوجد ضمان سيتم حظر تلك الحزم إلى تلك العناوين (التي تعتمد على موفر خدمة الإنترنت الخاص بك ، وما إلى ذلك) ولكن بالتأكيد لا أحد يجب أن يستخدمها بالفعل.


15
2018-01-07 22:46



يمكن أيضًا رفضها بدلاً من DROPped ، لذلك ... - mirabilos
يبدو أن 192.0.2.0 تعمل على المحاولة الأولى ، وليس إرجاع أي رزم حتى الآن. سأفعل المزيد من الاختبارات. - Tyler Durden


الجانب يخطو سؤالك ، ماذا عن استخدام "تجاهل البروتوكول"؟


3
2018-01-08 09:14





اختبار النطاقات

ربما أقترح واحدًا من نطاقات عناوين "TEST-NET" ، "لاستخدامها في الوثائق والأمثلة. لا ينبغي استخدامها علنًا".

192.0.2.0/24
198.51.100.0/24
203.0.113.0/24

"Bogon" (Bogus / Fake) النطاقات

لست متأكدا من أين أقول هنا ، يبدو أن هذا هو أكثر من الممارسة التي ستقدمها بوابة الإنترنت ، بدلا من طريقة محددة لتنفيذ حزمة يتم توجيهها في مكان ما لا يكون shoudln't


النطاقات المحلية

هناك أيضًا نطاق عناوين الاسترجاع ، 127.0.0.0/8على سبيل المثال 127.0.0.255. على الرغم من أنه لا يزال من الممكن وجود أشياء هناك ، وعلى وجه التحديد أي خدمات على الجهاز المحلي ، على الأقل لن تتداخل مع أي أجهزة على الشبكة (إلا إذا كان لديك خدمات الشبكة التي تدعمها خدمات الشبكة الأخرى أعتقد).

127.0.0.0/8


نطاقات المقصد غير القانونية

ربما العنوان غير القانوني 0.0.0.0 يمكن استخدامها كذلك ، على الرغم من تخصيص 0.0.0.0/8 لـ "تستخدم لرسائل البث إلى الحالي (" هذا ")" لذلك هناك خطر من broatcasting على ذلك.

0.0.0.0/8

صفحة ويكيبيديا لـ Null Route تنص على:

عادةً يتم تكوين التوجيهات الخالية مع إشارة توجيه خاصة ، ولكن يمكن تنفيذها أيضًا من خلال إعادة توجيه الحزم إلى عنوان IP غير قانوني مثل 0.0.0.0 أو عنوان الاسترجاع.


الحكام: https://en.wikipedia.org/wiki/Reserved_IP_addresses


2
2018-01-08 20:21



لقد اخترت الاستخدام العام localhost على أعلى ميناء 65535 على الرغم من ذلك ، نظرًا لأنني أردت ضمان عدم مغادرة أي حركة مرور للمضيف. - ThorSummoner
إذا قمت بتحديد المنفذ ، فسيتعين عليك تحديد كل بروتوكول أيضًا: TCP ، و UDP ، وما إلى ذلك ، وعند القيام بذلك ، قد تخرج بعض الزيارات من قواعدك (على سبيل المثال ، ICMP). - Drakes


شيء واحد يجب أخذه بعين الاعتبار (والذي قد يكون أو لا يمثل مشكلة بالنسبة لسيناريو معين) هو أنه إذا قمت بإعادة توجيه حركة المرور إلى عنوان IP غير موجود ، فإن الموجه و / أو المضيف قد محاولة باستمرار ARP لهذا العنوان ، والتي استطاع كن شيئًا سيئًا

إذا قمت بتكوين تجليد IP <-> ثابت لـ ARP لهذا العنوان الوهمي ، فسيكون لدى النظام دائمًا إدخال ARP تم حله ، وسيتم وضع الحزمة على السلك باستخدام عنوان ARP هذا (والذي ، افتراضًا ، هو زائف) حركة المرور لن أرض الواقع في أي مكان.

مرة أخرى ، قد لا يكون هذا ما تريده بالفعل ، ولكنه يستحق التفكير.


1
2018-01-07 21:42





اعتمادا على ما تحاول ، 127.0.0.1 هو ثقب أسود.

http://en.wikipedia.org/wiki/Loopback


-4



عذرا ، ولكن في السؤال يقول: Is there an IP address that would result in any packet sent to be ignored. 127.0.0.1 سوف لن تجاهل الحزم. - VL-80