IP地址的规划短则影响数年,长则影响数十年。20世纪90年代初的地址分配,在2021年给互联网造成了巨大了影响。然而当时没有人能预计到互联网如此迅猛发展,IPv4地址成为了稀缺资源。
创新互联专注于丰县网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供丰县营销型网站建设,丰县网站制作、丰县网页设计、丰县网站官网定制、成都小程序开发服务,打造丰县网络公司原创品牌,更为您提供丰县网站排名全网营销落地服务。
4月24日,据华盛顿邮报和美联社报道,隶属于美国国防部的一个部门Defense Digital Service(简称 DDS),过去三个月,以注册在佛罗里达的 Global Resource Systems LLC 公司(GRS有限公司)名义,使用 BGP(边界网关协议) 向全球路由表宣告了属于美国国防部的地址段。所谓宣告地址,便是让这些地址可以在互联网上直接访问。
既然这些地址属于美国国防部,那他们开个公司在互联网上发布这些地址有什么问题呢?
对遵循网络协议,正常分配内网地址的网络没有影响。然而,使用公网地址的内部网络可能会遇到两个问题:
我们先来探讨一下为什么会出现在内网使用公网地址的现象。
大部分读者都知道国家最近两年在大力推进IPv6,目的是从根本上解决我国 IPv4 地址短缺的情况。IPv4 地址短缺是全世界面对的共同问题,而且不仅仅是互联网上 “公网” IPv4 地址短缺,各个NAT 机制后面的 “私网” IPv4 地址也存在严重的地址短缺,这种现象在大中型网络中更为明显。
下列地址在一月之前只是分配给了美国国防部,并没有使用BGP 向全球宣告。
这些地址范围,包括:
如果你管理一个大中型网络,且内部使用了上述地址,请立即在网络边界阻断对这些地址的访问,详细步骤见后文。
RFC 1918 规定了三个组织内部可以使用的私网地址段分别是:
其中最大 “私网” 地址段10.0.0.0 - 10.255.255.255,是大中型网络的选择。
第一段是 10 不变,第四段一般用于标识一个网络内的主机地址,第二第三段用于标识不同的部门或地理位置,所以第二段第三段合起来确定一个/24 的方便识别的子网。
这样的网络理论上最多承载 2^16 =65536 个子网,现实中的分配则相当粗旷,为了便于人类识别,往往为某个功能块分配几十个 /24 的子网,形如 10.20.20.0/24,10.200.20.0/24。组织结构稍微复杂一点或者经常变动,地址很快就不够分配了。
这时就会有很多网络工程师提出使用 1,2,3,4,5,6,7,8,9,11,20,30,40,50……等等开头看起来特殊的 IP 地址在内网使用。
这就是为什么有些网络内部会出现这些奇怪的地址。
上述地址在互联网上使用 BGP 宣告之前,看起来是没有问题的。然而一旦这些地址开始在互联网上使用或出售继而开始通过BGP 宣告,很快这些地址就会开始承载各种互联网服务。
然而此时,组织内网络配置了这些本应属于公网地址的子网,用户渐渐会发现有一些网站打不开。这是因为数据包在流经内部网络路由器时,受路由条目的影响,在到达互联网出口之前,就被转发到内网对应网段,而这些网段往往是没有用户需要访问的服务的。
最经典的例子莫过于Cloudflare 在 2018 年开始使用 1.1.1.1 提供 DNS 服务,结果发现很多用户无法访问,除了一些运营商的配置问题外,很多网络设备操作系统或默认配置中存在包含1.1.1.1的路由。
上述情况仅限于内网对应地址在互联网上提供了业务的情况,而美国国防部在互联网上发布自己的地址,那些地址并没有提供互联网服务,会有什么样的影响呢?
许多配置失误的网络,在同时满足以下几个条件时,本应属于内部的数据包会到达美国国防部控制的GRS 网络:
眼尖的读者一定发现了,会有本来目的地在私有网络内的数据包到达美国国防部控制的网络,这存在严重的信息安全风险。
GRS 可以分析进入他们网络的所有数据包:
根据公开信息,中国一些公有云、私有云和运营商内网中,存在不同程度的使用一些已经分配给国外政府、军队、公司的公网地址。可以想到,内网使用公网地址的模式长期运行,由于误配置造成的敏感数据流向互联网是必然发生的,目前也正在发生。
对于已经在内网开始使用公网地址的网络,网络管理员应该如何补救呢?
(1) 检查自己网络的路由表,找出既不属于 RFC1918、RFC3927、RFC6598 定义的地址范围,也不属于互联网运营商或 CNNIC、APNIC 等区域 NIC 分配给自己的公网地址。
(2) 如果存在上述地址,补救方案要分为两种情况:
(3) 在实施补救方案后,针对内部使用公网地址的情况,选择一个彻底修复的方案:
(4) 未来网络地址规划要考虑以下几点:
(IANA IPv4 Special-Purpose Address Registry)
(IANA IPv6 Special-Purpose Address Registry)
IP地址的规划短则影响数年,长则影响数十年。20世纪90年代初的地址分配,在2021年给互联网造成了巨大了影响。然而当时没有人能预计到互联网如此迅猛发展,IPv4地址成为了稀缺资源。
抱着侥幸心理使用他人拥有的地址,破坏了互联网运行的规则,一方面随着当年IPv4地址的转让出售,会形成未来互联互通的障碍,另一方面对自身造成了极大的信息安全风险。
关于 2020 年 6 月份有关美国国防部要出售这些IPv4 地址块的消息及后续:
出处:https://www.congress.gov/congressional-report/116th-congress/house-report/333/1
网站题目:美国防部这个大动作,或造成我国内网数据泄露
转载来源:http://www.stwzsj.com/qtweb/news6/15356.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联