Wie werden IP-Adressen tatsächlich vergeben?

Es fällt mir schwer zu verstehen, wie ein Leitungsgremium IP-Adressen zuweist, Unternehmen BGP verwenden, um diese IPs zu bewerben und wie das Internet funktioniert. Wo zum Teufel kommt dann DNS rein?

Kann jemand eine gute Lektüre vorschlagen, wie dieses Zeug tatsächlich funktioniert? Ich habe wohl mehrere Fragen. Die erste ist, spielt ARIN (oder irgendein anderes Leitungsorgan) tatsächlich eine Rolle? Wenn sie nicht da wären, würde es Chaos geben? Wenn sie einen Block zuweisen, weisen sie ihn nicht buchstäblich zu? Sie müssen BGP verwenden, um zu werben, richtig? Ich war schon immer an eine geschlossene Hosting-Umgebung (dediziert / gemeinsam genutzt) gewöhnt, in der Sie IPs weitergeleitet haben.

Wie kommt dann DNS ins Spiel? Mit meinem Registrar kann ich einen DNS-Server (eNom) registrieren - was bedeutet das eigentlich? Ich habe Bind installiert und dafür gesorgt, dass alles funktioniert, und ich habe meine eigenen DNS-Server, aber bei wem registrieren sie diesen DNS-Server? Ich verstehe es einfach nicht.

Ich denke, das sollte ich wissen und ich weiß es nicht und ich werde wirklich frustriert. Es ist wie ... einfach ... wie funktioniert das Internet? Von der Zuweisung von IPs an Unternehmen, die diese weiterleiten, bis hin zu DNS.

Ich denke, ich habe ein Beispiel - ich habe diesen IP-Bereich, sagen wir 158.124.0.0/16 (Beispiel). Das Unternehmen verfügt über eine Internet-Präsenz von 158.124.0.0/17. (Zunächst einmal, warum bekommen Unternehmen IP-Blöcke zugewiesen und verwenden sie dann nicht? Warum verwenden sie nicht den reservierten internen Speicher 10.x und 192.x?). Dort bin ich also. Was würde ich tun, um diese IPs tatsächlich im Internet zu erhalten und verfügbar zu machen? Nehmen wir an, ich habe ein Rechenzentrum in Chicago und eines in New York. Ich kann kein Bild hochladen, aber ich kann eines hier verlinken: http://begolli.com/wp-content/gallery/tech/internetworkings.png

Ich versuche nur zu verstehen, wie von der Zuweisung des IP-Blocks an eine Firma, die BGP verwendet (Erreichen einer öffentlichen AS-Nummer?), Und wie DNS zum Spielen hereinkommt.

Wie würde etwas von meinem Bild aussehen? Ich habe versucht, ein Szenario zusammenzustellen, nicht sicher, ob ich gute Arbeit geleistet habe.

Geleaste IP-Blöcke

IPs werden von der IANA in Blöcken den Regional Internet Registries (RIR) zugewiesen. Siehe dies ( Liste und Karte ) der RIRs. Die RIRs vermieten dann kleinere Block-IPs an einzelne Unternehmen (normalerweise ISPs). Es gibt Anforderungen (einschließlich Gebühren und Nutzungsnachweise), um eine Verteilung zu erhalten, und wenn diese nicht eingehalten werden, bedeutet dies einen Mietverlust.

Sobald ein Unternehmen einen oder mehrere Blöcke von der RIR geleast hat, muss es dem Rest der Welt mitteilen, wo sich eine bestimmte IP befindet (oder eine Gruppe davon: Subnetze). Hier kommt BGP ins Spiel. BGP verwendet ein großes Netzwerkkonzept , das als Autonomous System (AS) bezeichnet wird. Das AS kann in sich selbst routen. Wenn es zu einem anderen Netzwerk weitergeleitet wird, kennt es nur AS Gateways und den "nächsten Sprung" zu diesen externen Adressen. AS-Nummern werden ebenfalls von IANA verwaltet .

Innerhalb eines AS, selbst eines, der so groß ist wie ein ISP, werden möglicherweise mehrere Routing-Protokolle (RIP, OSPF, BGP, EIGRP und ISIS) verwendet, um den Datenverkehr intern weiterzuleiten. Es ist auch möglich, statische Routingtabellen zu verwenden, dies ist jedoch in den meisten Anwendungen völlig unpraktisch. Interne Routing-Protokolle sind ein riesiges Thema. Ich werde daher vereinfachen, indem ich sage, dass es weitere Fragen zu Serverfehlern gibt, die diesen Themen mehr gerecht werden können als ich hier.

DNS

Die Menschen erinnern sich nicht gut an Zahlen, deshalb haben wir Hostnamen erfunden. Wenn wir den Verlauf überspringen, verwenden wir das Domain Naming System (DNS), um zu verfolgen, welcher Hostname auf welche IP-Adresse verweist. Für diese gibt es eine zentrale Registrierung, die ebenfalls von IANA verwaltet wird und bestimmt, welche Top Level Domains (TLD) (z. B. ".com" oder ".net") in der Root-Zone gespeichert werden, die von den Root-Servern bereitgestellt wird. IANA delegiert die Verwaltung der "Root-Zone". Dieser Administrator akzeptiert nur Aktualisierungen von qualifizierten Registraren.

Sie können einen Registrar zum "Kaufen" eines Domainnamens verwenden, der eine Unterdomäne einer TLD ist. Diese Registrierung erstellt im Wesentlichen diese Unterdomäne und weist Ihnen die Kontrolle über ihre Nameserver- (NS) und Glue- (A) -Datensätze zu. Sie verweisen auf einen DNS-Server, der Ihre Domain hostet . Wenn ein Client Ihre IP-Adresse von einem Domain-Namen auflösen möchte, kontaktiert er seinen DNS-Server, der eine rekursive Suche durchführt, angefangen beim Stammserver, über das Auffinden Ihres DNS-Servers bis hin zum Abrufen der relevanten Informationen.

Jeder stimmt zu

Was die "Leitungsgremien" angeht: Jeder stimmt nur zu, sie zu nutzen. Es gibt keine (oder nur sehr wenige) Gesetze, nach denen jemand überhaupt zur Zusammenarbeit verpflichtet ist. Das Internet funktioniert, weil die Menschen sich für eine Zusammenarbeit entscheiden . Die Leitungsgremien bieten ein Mittel für eine einfache Zusammenarbeit. All die verschiedenen RFCs, "Standards" und so weiter - niemand wird gezwungen, sie zu verwenden. Wir verstehen jedoch, dass die Gesellschaft auf Kooperation beruht und es in unserem eigenen Interesse liegt, dies zu tun.

Die Effizienz, die durch die Zusammenarbeit erzielt wird, ist der gleiche Grund, warum BGP beliebt ist. Grundsätzlich sind alle damit einverstanden, es zu nutzen. In den Tagen von ArpaNet begannen sie mit handkonfigurierten Routentabellen; dann schrittweise zu einem umfassenderen System übergegangen, als das Internet immer komplexer wurde, aber alle "einigten" sich darauf, jeden neuen Standard zu verwenden. Ähnlich lautete die Namensauflösung für Host-Dateien, die Netzwerke verteilen würden, und wurde schließlich zu dem DNS-System, das wir heute kennen. ("Einverstanden" in Anführungszeichen, weil viele Male eine Minderheit die Forderung nach einem neuen Standard aufstellte und niemand anderes eine bessere Alternative hatte, so dass dies akzeptiert wurde).

Vertrauen

Dieses Maß an Zusammenarbeit erfordert viel Vertrauen in IANA. Wie Sie gesehen haben, verwalten sie die meisten Kerne der verschiedenen Systeme. IANA ist derzeit ein von der US-Regierung gesponsertes Non-Profit-Unternehmen (ähnlich wie das US-Postamt), es ist kein Teil der Regierung, obwohl es nur knapp entfernt ist. In den vergangenen Jahren gab es Bedenken, dass die US-Regierung eine gewisse Kontrolle über IANA als "Waffe" gegen andere Weltregierungen oder Zivilisten ausüben könnte (insbesondere durch Gesetze wie SOPA und PIPA, die nicht verabschiedet wurden, aber die Grundlage für zukünftige Gesetze sein könnten). .

Gegenwärtig hat es sich die IANA zur Aufgabe gemacht, (obwohl sie ein gemeinnütziges Unternehmen ist) Mittel durch die Schaffung neuer TLDs zu beschaffen . Die TLD "xxx" wurde von einigen als Spendenaktion im Stil von Erpressern angesehen, da ein großer Prozentsatz der Registranten ihren Namen "verteidigte". IANA hat auch Anträge für TLDs in Privatbesitz entgegengenommen (jeweils 180.000 USD; sie haben den Antragsprozess ausgesetzt, nachdem sie mit Anträgen überschwemmt worden waren, fast die Hälfte davon stammte von Amazon allein. Viele dieser Anträge führten zu neuen gTLDs .

Alle Werbung für das öffentliche Internet, die DFZ (Default-Free Zone), erfolgt über BGP (Border Gateway Protocol), wobei die internen Routing-Abläufe der ISP sehr unterschiedlich sind. Die meisten würden BGP sowohl intern als auch zwischen ihren eigenen Routern (BGP wird häufig in Verbindung mit einem IGP wie OSPF verwendet) und auch mit Clients verwenden. Wenn Sie keine eigene AS-Nummer haben, können Sie einen privaten AS als Peer verwenden Ihr ISP und wenn sie dem DFZ Ihren Adressraum bekannt geben, entfernen sie einfach den privaten AS aus dem as-Pfad. Für kleinere nicht redundante Verbindungen können Sie auch statisches Routing auf dem PE verwenden. Die eigentliche "Zuordnung" befindet sich nur in der Datenbank Ihres Registrars, die whois-Datenbank, RIPE / ARIN usw. führen zu diesem Zweck eigene Datenbanken.

Führen Sie den Befehl whois 158.124.0.0/16auf einer Linux-Box aus.

Gleiches gilt für DNS, der Reverse-DNS-Server wird in whois-Einträgen angegeben.

Dies ist eine sehr alte Frage, aber ich hatte viele der gleichen Fragen, um herauszufinden, wie das Internet funktioniert . Wie die anderen Antworten geben die Networking-Bücher einen Überblick über BGP und DNS, haben mich aber trotzdem verwirrt. Beispiel: a.root-servers.net bis m.root-servers.net werden als Stammserver angegeben. Woher weiß ein DNS-Dienst, wo diese Server zu finden sind, wenn sie selbst kein DNS verwenden können?

Die Grundlagen von IP, Subnetting, DNS usw. werden in dieser Antwort als bekannt vorausgesetzt. Ich spreche "Lücken" an, die ich und wahrscheinlich der Fragesteller in Bezug auf die Funktionsweise des Internets habe. Ich bin auf keinen Fall ein Experte, aber das ist mein Verständnis für die Lücken.

IP-Adressen

Als das Internet als ARPANET begann, kannte jeder jeden und Routing-Tabellen für IP-Adressen wurden handcodiert. Ich gehe davon aus, dass der Zuweisungsprozess für IPs über das Telefon erfolgt ist. Da das Internet zu groß wurde, wurde BGP von mehreren Netzwerken (AS) verwendet, um zu werben, dass sie öffentliche IPs hatten oder über ihre AS zu einer anderen AS zu einer öffentlichen IP gelangen konnten. Das Vertrauen war da, dass ein AS keine IP ankündigen würde, die er nicht hatte.

Heute gibt es nicht so viel Vertrauen. Stattdessen können ISPs die IP-Zuweisungen zu jedem AS von IANA und den regionalen Behörden herunterladen und authentifizieren. Diese Downloads werden jetzt durch Kryptografie mit öffentlichen Schlüsseln authentifiziert. Wenn IANA "eine IP-Adresse zuweist", ändert sie ihren Datensatz (oder wirklich die regionale Behörde ändert ihren Datensatz). Alle anderen AS können ihre Datensätze herunterladen und authentifizieren.

Diese Aufzeichnungen sind wichtig, da ISPs nicht das Wort anderer ISPs fassen können, dass sie die IP-Adressen haben. Die ISPs können die BGP-Werbung mit den authentifizierten IP-Aufzeichnungen vergleichen. Wenn in einer BGP-Ankündigung der letzte AS als ein anderer AS als der im authentifizierten Datensatz von IANA und RIR enthaltene angezeigt wird, ändert die BGP-Ankündigung nicht das eigene Routing.

Üblicherweise kann ein betrügerischer ISP oder AS ankündigen, dass er eine Route durch seine AS hat, die er nicht hat. AS1 hat eine registrierte IP und AS5 verwendet derzeit AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 kündigt AS5 eine Route von AS5 -> AS2 -> AS1 -> IP an. Es sei denn, AS2 hat tatsächlich keine Verbindung mit AS1. Es kann einfach passieren, dass die Pakete verloren gehen, was die Hosting-Kunden von AS1 möglicherweise frustriert. Oder AS2 könnte ein kleines Unternehmensnetzwerk mit einer Multihomed-Anordnung mit AS5 und AS1 sein. Ihr Router ist falsch konfiguriert und kündigt einen Pfad durch ein kleines Unternehmensnetzwerk an. Nahezu alle ISPs werfen solche Anzeigen ihrer BGP-Kunden weg und leiten nur die Beendigung von BGP-Anzeigen weiter.

Wahrscheinlicher ist, dass Pakistan versucht, Youtube in Pakistan durch eine solche IP-Hijacking abzuschalten und Youtube auch außerhalb Pakistans abzuschalten, da AS außerhalb Pakistans davon ausgegangen sind, dass ihre BGP-Werbung korrekt war.

Letztendlich gibt es keine perfekte Verteidigung gegen eine solche IP-Entführung. In den meisten Ländern wie den USA kann ein solcher Missbrauch von BGP als Vertragsbruch geahndet werden, und andere ISPs beenden Peering-Verbindungen zu diesem AS, wenn dies erforderlich ist. Ein ISP könnte auch die gesamte IANA- und RIR-Apparatur ignorieren und die IP-Adressen auf ihre eigenen Server umleiten. Für https-Sites funktioniert dies jedoch nicht, vorausgesetzt, der Internetdienstanbieter verfügt nicht über die privaten Schlüssel für Zertifizierungsstellen. Es gibt wirtschaftlich sehr wenig zu gewinnen. Dies ist nur bei autoritären Regierungen der Fall, wie beispielsweise Ägypten, das kürzlich alle Anzeigen von BGP für ihre ISPs von außerhalb des Landes ausschließt.

DNS-Server

DNS ist etwas einfacher, wenn die IP-Tabellen korrekt sind. Bei den Stammservern handelt es sich alle um festverknüpfte IP-Adressen im DNS-Servercode. a.root-servers.net ist 198.41.0.4 und die IP-Adresse ist Anycast innerhalb eines AS. Bei a.root-servers.net ist der AS Verisign und es gibt fünf verschiedene Sites. In den USA sind die beiden Standorte New York und LA. Anycasting ist so, als hätten Sie die Adresse 123 Main Street und sagten: "Egal in welcher Stadt Sie sich befinden, gehen Sie zur 123 Main Street und Sie finden eines meiner Unternehmen." Sowohl die 123 Main Street in NY als auch die LA geben für alle Top-Level-Domains die gleiche Antwort. Der AS, in diesem Fall Verisign, ermittelt intern, welcher Server über OSPF, internen BGP und andere Routing-Protokolle die wenigsten Sprünge aufweist. So kann ein Router in Denver nach LA gehen, während ein Router in Chicago nach New York geht.

Einer der Stammserver gibt die IP-Adresse für die Domäne der höchsten Ebene an. Dann gibt diese Domain die Domain für yoursite.com an. Die Registrare haben wirklich einen Vertrag mit demjenigen, der die Top-Level-Domain betreibt. Wenn die Top-Level-Domain derzeit keinen Datensatz für yoursite.com hat, kann sie einen Datensatz mit ihrem Who-is-Server hinzufügen. Mit dem Zugriff, den der Registrar Ihnen auf die DNS-Einträge von yoursite.com gewährt hat, ändern Sie die Einträge in ihrem DNS-Server, um zu Ihrer IP-Adresse zu wechseln.

Da DNS davon abhängt, dass mehrere IP-Adressen an die richtige Stelle gesendet werden, haben Sie dasselbe Problem wie zuvor mit der Authentifizierung der IP-Registrierung durch AS und anschließend mit den BGP-Zuweisungen. Das ist das Schlüsselstück für eine http-Website. HTTPS hat den zusätzlichen Schutz von Zertifikaten. Ein ISP kann also keine Anforderungen für seine eigenen Stammserver und Domänenserver der obersten Ebene umleiten, um beispielsweise für citibank.com seine eigene IP-Adresse anzugeben. In diesem Fall handelt es sich bei der dem Benutzer zugewiesenen IP-Adresse um eine andere IP-Adresse, der Server verfügt jedoch nicht über den privaten Schlüssel der Citibank.

und nein, ich mache keine Witze (ich habe vor 15 Jahren mit diesem Buch angefangen, aber es ist immer noch sehr relevant): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Dann komm zurück mit den BGP-Fragen =)