Rfc1918 частный IP-адрес localhost вместо имени компьютера

Обновлено: 22.11.2024

Использование регулируется Условиями лицензии. Использование вами этого веб-сайта или любого его содержимого или программного обеспечения означает ваше согласие с настоящими Условиями лицензии.

Все реализованные интерфейсы: Сериализуемые Прямые известные подклассы: Inet4Address, Inet6Address открытый класс InetAddress расширяет Объект реализует сериализуемые

Этот класс представляет адрес интернет-протокола (IP).

Типы адресов

unicast Идентификатор для одного интерфейса . Пакет, отправленный на индивидуальный адрес, доставляется на интерфейс, идентифицируемый этим адресом.

Неуказанный адрес. Также называется любым локальным адресом или адресом с подстановочным знаком. Он никогда не должен быть назначен какому-либо узлу. Указывает на отсутствие адреса. Одним из примеров его использования является цель привязки, которая позволяет серверу принимать клиентское соединение на любом интерфейсе, если хост-сервер имеет несколько интерфейсов.

Адрес не указан не должен использоваться в качестве адреса назначения IP-пакета.

Адреса Loopback — это адрес, назначенный интерфейсу loopback. Все, что отправляется на этот IP-адрес, зацикливается и становится IP-входом на локальном хосте. Этот адрес часто используется при тестировании клиента.

многоадресная рассылка Идентификатор набора интерфейсов ( обычно принадлежат разным узлам). Пакет, отправленный на многоадресный адрес, доставляется на все интерфейсы, идентифицированные этим адресом.

Область действия IP-адреса

Локальные адреса предназначены для адресации по одному каналу в таких целях, как автоматическая настройка адреса, обнаружение соседей или отсутствие маршрутизаторов.

Локальные адреса сайта предназначены для адресации внутри сайта без необходимости использования глобального префикса.

Глобальные адреса уникальны в Интернете.

Текстовое представление IP-адресов

Разрешение имени хоста

Преобразование имени хоста в IP-адрес преобразование достигается за счет использования комбинации информации о конфигурации локального компьютера и сетевых служб именования, таких как система доменных имен (DNS) и служба сетевой информации (NIS). ). Конкретные используемые службы именования по умолчанию настроены на локальном компьютере. Для любого имени хоста возвращается соответствующий ему IP-адрес.

Обратное разрешение имени означает, что для любого IP-адреса возвращается хост, связанный с IP-адресом.

Класс InetAddress предоставляет методы для преобразования имен узлов в их IP-адреса и наоборот.

Кэширование InetAddress

Класс InetAddress имеет кэш для хранения как успешных, так и неудачных разрешений имен хостов. Положительное кэширование предназначено для защиты от спуфинговых атак DNS; в то время как отрицательное кэширование используется для повышения производительности.

По умолчанию результаты положительного разрешения имен хостов кэшируются навсегда, поскольку не существует общего правила, определяющего, когда безопасно удалять записи из кэша. Результат неудачного разрешения имени хоста кэшируется на очень короткий период времени (10 секунд) для повышения производительности.

При определенных обстоятельствах, когда можно определить, что атаки с подделкой DNS невозможны, свойство безопасности Java может быть установлено на другое значение времени жизни (TTL) для положительного кэширования. Аналогичным образом системный администратор может при необходимости настроить другое отрицательное значение срока жизни кэширования.

Два свойства безопасности Java управляют значениями TTL, используемыми для положительного и отрицательного кэширования разрешения имени хоста:

networkaddress.cache.ttl (по умолчанию: -1) Указывает политику кэширования для успешного поиска имен из службы имен. Значение указывается как целое число, чтобы указать количество секунд для кэширования успешного поиска.

Значение -1 означает "кэш навсегда".

networkaddress.cache.negative.ttl (по умолчанию: 10) Указывает политику кэширования для неудачных поисков имен из службы имен. Значение указывается как целое число, чтобы указать количество секунд для кэширования сбоя для неудачных поисков.

Значение 0 означает "никогда не кэшировать". Значение -1 означает "кешировать навсегда".

адрес многоадресной рассылки

Возвращает: логическое значение, указывающее, является ли InetAddress многоадресным IP-адресом Начиная с: JDK1.1

любой локальный адрес

Возвращает: логическое значение, указывающее, является ли адрес Inetaddress подстановочным. Начиная с: 1.4

isLoopbackAddress

Возвращает: логическое значение, указывающее, является ли InetAddress петлевым адресом; или ложно в противном случае. Начиная с: 1.4

isLinkLocalAddress

Возвращает: логическое значение, указывающее, является ли InetAddress локальным адресом ссылки; или false, если адрес не является локальным одноадресным адресом канала. Начиная с: 1.4

isSiteLocalAddress

Возвращает: логическое значение, указывающее, является ли InetAddress локальным адресом сайта; или false, если адрес не является локальным одноадресным адресом сайта. Начиная с: 1.4

являетсяMCGlobal

Возвращает: логическое значение, указывающее, является ли адрес многоадресным адресом глобальной области действия, false, если он не имеет глобальной области действия или не является многоадресным адресом Начиная с: 1.4

isMCNodeLocal

Возвращает: логическое значение, указывающее, является ли адрес адресом многоадресной рассылки в области, локальной для узла, и false, если он не относится к области, локальной для узла или не является многоадресным адресом Начиная с: 1.4

isMCLinkLocal

Возвращает: логическое значение, указывающее, является ли адрес адресом многоадресной рассылки локальной области действия, false, если адрес не относится к локальной области действия или не является многоадресным адресом Начиная с: 1.4

этоMCSiteLocal

Возвращает: логическое значение, указывающее, является ли адрес многоадресным адресом локальной области сайта, false, если он не принадлежит локальной области сайта или не является многоадресным адресом Начиная с: 1.4

isMCOrgLocal

Возвращает: логическое значение, указывающее, является ли адрес многоадресным адресом локальной области организации, false, если он не относится к локальной области организации или не является многоадресным адресом Начиная с: 1.4

получитьИмяХоста

Если этот InetAddress был создан с именем хоста, это имя хоста будет запомнено и возвращено; в противном случае будет выполнен обратный поиск имени, и результат будет возвращен на основе службы поиска имени, настроенной системой. Если требуется поиск службы имен, вызовите getCanonicalHostName .

Если есть менеджер безопасности, его метод checkConnect сначала вызывается с именем хоста и -1 в качестве аргументов, чтобы проверить, разрешена ли операция. Если операция не разрешена, она вернет текстовое представление IP-адреса.

получитьКаноническоеИмяХоста

Получает полное доменное имя для этого IP-адреса. Метод максимальных усилий, то есть мы не сможем вернуть полное доменное имя в зависимости от базовой конфигурации системы.

При наличии диспетчера безопасности этот метод сначала вызывает метод checkConnect с именем хоста и -1 в качестве аргументов, чтобы узнать, разрешено ли вызывающему коду знать имя хоста для этого IP-адреса, т. е. подключаться к хосту. . Если операция не разрешена, она вернет текстовое представление IP-адреса.

получить адрес

Возвращает необработанный IP-адрес этого объекта InetAddress. Результат находится в сетевом порядке байтов: старший байт адреса находится в getAddress()[0] .

Возвращает: необработанный IP-адрес этого объекта.

получитьадрес хоста

Возвращает: необработанный IP-адрес в строковом формате. Начиная с: JDK1.0.2

хэш-код

Переопределение: hashCode в классе Object Возвращает: значение хеш-кода для этого IP-адреса. См. также: Object.equals(java.lang.Object) , Hashtable

равно

Сравнивает этот объект с указанным объектом. Результат истинен тогда и только тогда, когда аргумент не нулевой и представляет тот же IP-адрес, что и этот объект.

Два экземпляра InetAddress представляют один и тот же IP-адрес, если длина байтовых массивов, возвращаемых getAddress, одинакова для обоих, и каждый из компонентов массива одинаков для байтовых массивов.

Переопределения: равно в классе Параметры объекта: obj — объект для сравнения. Возвращает: true, если объекты одинаковые; ложно в противном случае. См. также: getAddress()

к строке

Преобразует этот IP-адрес в строку . Возвращаемая строка имеет вид: имя хоста / буквальный IP-адрес. Если имя хоста не разрешено, обратный цикл службы имен не выполняется. Часть имени хоста будет представлена ​​пустой строкой.

Переопределение: toString в объекте класса Возвращает: строковое представление этого IP-адреса.

получить по адресу

Создайте InetAddress на основе предоставленного имени хоста и IP-адреса. Никакая служба имен не проверяет действительность адреса.

Имя хоста может быть либо именем компьютера, например " java.sun.com ", либо текстовым представлением его IP-адреса.

Для узла, указанного в буквальном адресе IPv6, принимается либо форма, определенная в RFC 2732, либо формат буквального адреса IPv6, определенный в RFC 2373.

Если addr указывает адрес IPv4, будет возвращен экземпляр Inet4Address; в противном случае будет возвращен экземпляр Inet6Address.

Массив байтов адресов IPv4 должен иметь длину 4 байта, а массив байтов IPv6 должен иметь длину 16 байтов

Параметры: хост — указанный адрес хоста — необработанный IP-адрес в сетевом порядке байтов Возвраты: объект InetAddress, созданный из необработанного IP-адреса. Выдает: UnknownHostException - если IP-адрес имеет недопустимую длину Начиная с: 1.4

получить по имени

Имя хоста может быть либо именем компьютера, например " java.sun.com ", либо текстовым представлением его IP-адреса. Если указан буквальный IP-адрес, проверяется только правильность формата адреса.

Для узла, указанного в буквальном адресе IPv6, принимается либо форма, определенная в RFC 2732, либо формат буквального адреса IPv6, определенный в RFC 2373.

Если хост null, возвращается InetAddress, представляющий адрес интерфейса обратной связи. См. раздел 2 RFC 3330 и раздел 2.5.3 RFC 2373.

Параметры: host - указанный хост или null . Возвращает: IP-адрес для данного имени хоста. Выдает: UnknownHostException - если не удалось найти IP-адрес хоста. SecurityException - если диспетчер безопасности существует и его метод checkConnect не разрешает операцию

получитьВсеПоИме

По имени хоста возвращает массив его IP-адресов на основе настроенной службы имен в системе.

Имя хоста может быть либо именем компьютера, например " java.sun.com ", либо текстовым представлением его IP-адреса. Если указан буквальный IP-адрес, проверяется только правильность формата адреса.

Для узла, указанного в буквальном адресе IPv6, принимается либо форма, определенная в RFC 2732, либо формат буквального адреса IPv6, определенный в RFC 2373.

Если хост null, возвращается InetAddress, представляющий адрес интерфейса обратной связи. См. раздел 2 RFC 3330 и раздел 2.5.3 RFC 2373.

Если есть диспетчер безопасности, а хост не равен нулю, а host.length() не равен нулю, метод checkConnect менеджера безопасности вызывается с именем хоста и -1 в качестве аргументов, чтобы проверить, разрешена ли операция.

получить по адресу

Возвращает объект InetAddress с необработанным IP-адресом. Аргумент находится в сетевом порядке байтов: старший байт адреса находится в getAddress()[0] .

Этот метод не блокирует, т. е. обратный поиск службы имен не выполняется.

Массив байтов адресов IPv4 должен иметь длину 4 байта, а массив байтов IPv6 должен иметь длину 16 байтов

Параметры: addr — необработанный IP-адрес в сетевом порядке байтов. Возвраты: объект InetAddress, созданный на основе необработанного IP-адреса. Выдает: UnknownHostException - если IP-адрес имеет недопустимую длину Начиная с: 1.4

получить локальный хост

Если есть диспетчер безопасности, его метод checkConnect вызывается с именем локального хоста и -1 в качестве аргументов, чтобы проверить, разрешена ли операция. Если операция не разрешена, возвращается InetAddress, представляющий петлевой адрес.

IP-адрес является частным, если он используется только внутри локальной сети. С другой стороны, общедоступный IP-адрес используется для доступа к сетям и устройствам за пределами частной локальной сети и через Интернет. Управление по присвоению номеров в Интернете (IANA) назначает три разных диапазона IP-адресов в частном блоке. RFC 1918 определяет эти три диапазона следующим образом:

Блок адресов 127.0.0.0/8 зарезервирован для адресов loopback или localhost. По сути, это диапазон IP-адресов, который является частным на уровне хоста. Любой IP-адрес внутри этого диапазона не может использоваться ни для какой сети. Давайте подробно рассмотрим концепцию локального IP-адреса или 127.0.0.1.

Что такое Localhost или 127.0.0.1?

Localhost — это имя самого компьютера. Localhost перенаправляет на IP-адрес 127.0.0.1, который также называется петлевым адресом. На самом деле любой IPv4-адрес в блоке 127.0.0.0/8 обозначается как петлевой адрес. Приложения обычно предпочитают использовать 127.0.0.1 для своей сетевой службы. IP-адрес 127.0.0.1 обычно назначается петлевому интерфейсу. Петлевой интерфейс технически является замкнутой цепью. Это означает, что любой пакет TCP или UDP, поступающий на петлевой интерфейс (localhost или 127.0.0.1), будет перенаправлен на сам компьютер, минуя внешнюю сеть или Интернет.

Localhost в основном используется многими программами, такими как веб-серверы, серверы баз данных и т. д., для предоставления своих услуг. В большинстве случаев, когда несколько приложений используют адрес локального хоста, их можно настроить на использование разных номеров портов. Обычно это можно сделать, изменив их файлы конфигурации.

Необходимость локального хоста

Помимо 127.0.0.1, локальный хост также может быть сопоставлен с другими петлевыми IP-адресами. Например, вы по-прежнему можете получить доступ к стартовой странице Apache с любым адресом от 127.0.0.1 до 127.0.0.255 в сети 127.0.0.0/28.

Локальный хост IPv6

Разрешение имени для локального хоста

Почти в каждой операционной системе существует файл хоста, который преобразует имя хоста в IP-адрес. Этот файл также содержит разрешение имен для локального хоста IPv4 и IPv6. Давайте быстро посмотрим на содержимое этого файла в ОС Ubuntu 20.04. Откройте терминал (ctrl+alt+t) и введите:

На приведенном выше рисунке видно, что метка 1 соответствует локальному хосту IPv4, а метка 2 соответствует локальному хосту IPv6.

Заключение

В этом руководстве мы рассмотрели различные функции и варианты использования IP-адресов localhost или loopback. Это действительно большое преимущество для разработки приложений, поскольку оно обеспечивает большую гибкость и множество возможностей.

Об авторе

Али Имран Нагори

Али Имран — технический писатель и энтузиаст Linux, который любит писать о системном администрировании Linux и связанных с ним технологиях. Вы можете связаться с ним в LinkedIn
.

Мы получаем много сообщений о спаме, очевидной хакерской деятельности и других формах злоупотреблений. Чаще всего люди делают такие отчеты, потому что они нашли интернет-адрес, связанный со злоупотреблениями, и после небольшого исследования они обнаруживают, что имя IANA каким-то образом связано с этим адресом.

Этот документ был написан, чтобы объяснить нашу роль и предоставить некоторые подсказки, которые могут быть полезны при реальном разрешении случаев нарушения.

Роль IANA в Интернете

Слово «авторитет» в названии IANA, возможно, немного вводит в заблуждение: оно означает, что служба IANA ведет авторитетные записи, касающиеся различных номеров для других организаций; выбор того, что входит в эти записи, определяется множеством инженерных и других соображений. Мы выступаем в качестве бухгалтера в регистрации выполненных заданий. В терминологии Интернета выполняемая нами служба учета называется службой регистрации , а мы выступаем в роли реестра .

Важно понимать, что мы никоим образом не являемся интернет-провайдером и не предоставляем никаких сетевых услуг каким-либо конечным пользователям или организациям. Мы не контролируем использование любых записываемых им чисел и, как правило, не имеем права изменять записываемые нами значения.

Структура IP-адресов

IP-адреса — это числа. В настоящее время активно используются два типа IP-адресов: IP версии 4 (IPv4) и IP версии 6 (IPv6). IPv4 был впервые развернут 1 января 1983 года и до сих пор остается наиболее часто используемой версией.

Адреса IPv4 — это 32-битные числа в диапазоне от 0 до 4 294 967 295, но они почти никогда не используются и не встречаются в таком виде. Вместо этого они обычно представлены знакомой «десятичной точкой с точками» с четырьмя десятичными числами, разделенными точками, например, 192.0.2.80 или 203.0.13.25. Каждое отдельное число в десятичном формате с точками находится в диапазоне значений от 0 до 255, и, таким образом, в десятичном формате с точками IP-адреса находятся в диапазоне от 0.0.0.0 до 255.255.255.255.

Учитывая, что существует более 4 миллиардов отдельных IPv4-адресов, во многих случаях нецелесообразно работать с ними по отдельности, и вместо этого приходится иметь дело с диапазонами (или «блоками») IPv4-адресов. Например, вас может заинтересовать диапазон из 256 адресов IPv4 от 192.168.51.0 до 192.168.51.255.

Распределение IP-адресов

Мы поддерживаем реестр IP-адресов высокого уровня. Он работает с региональными интернет-регистратурами (RIR) для распределения больших блоков IP-адресов между RIR. В настоящее время существует пять RIR, распределенных по всему миру:

  • AfriNIC (Африка и части Индийского океана)
  • APNIC (Азиатско-Тихоокеанский регион)
  • ARIN (Северная Америка и части Карибского бассейна)
  • LACNIC (Латинская Америка и части Карибского бассейна)
  • RIPE NCC (Европа, Ближний Восток и Центральная Азия)

RIR — это организации, которые фактически выделяют IP-адреса интернет-провайдерам. Эти распределения находятся в меньших блоках адресов. На веб-странице «Адресное пространство Интернет-протокола v4» описано, как адресное пространство IPv4 распределяется между RIR.

Многие блоки IP-адресов в нашем реестре выделены RIR. Например, рассмотрим следующую строку со страницы, указанной выше:

Это означает, что блок IP-адресов 123.0.0.0-123.255.255.255 был выделен APNIC в январе 2006 г. Если у вас возникли проблемы с IP-адресом, который является частью этого блока, вам следует обратиться к службе WHOIS APNIC по адресу "whois.apnic.net" (подробности см. ниже), чтобы узнать, кому был присвоен этот адрес.

Мы сохраняем этот список верхнего уровня для всех адресов IPv4. Сюда входят:

  • IP-адреса, выделенные RIR или другому пользователю
  • те, которые зарезервированы для специального использования, и
  • те, которые еще не были выделены нами и зарезервированы для будущего распределения и использования.

Специальные IP-адреса помечаются как зарегистрированные в IANA, поэтому они зарезервированы для специального использования от имени интернет-сообщества. Это не означает, что адреса специального назначения «используются» нами (см. дальнейшее пояснение ниже). Только очень небольшой блок адресов IPv4 (от 192.0.32.0 до 192.0.47.255) был «назначен» нам для наших операций. Только интернет-трафик из этого диапазона исходит из нашей сети.

Специальные адреса

Несколько диапазонов адресов зарезервированы для «специального использования».Все эти адреса имеют какие-то ограничения на их использование и, как правило, не должны появляться при обычном использовании в общедоступном Интернете. В приведенном ниже обзоре кратко объясняется назначение этих адресов — обычно они используются в специализированных технических контекстах. Более подробно они описаны в RFC 6890.

    IP-адреса для частного использования:

Эти блоки адресов зарезервированы для использования в частных сетях и никогда не должны появляться в общедоступном Интернете. Существуют миллионы частных сетей (например, их часто используют домашние брандмауэры). Люди могут использовать эти блоки адресов, не сообщая нам об этом, поэтому у нас нет сведений о том, кто какой из этих адресов использует.

Суть частного адресного пространства в том, чтобы позволить многим организациям в разных местах использовать одни и те же адреса, и пока эти разрозненные или автономные островки компьютеров, говорящих по IP (частные сети), не соединены, не существует проблема. Если вы видите очевидную атаку или спам, исходящие из одного из этих диапазонов адресов, то либо они исходят из вашей локальной среды, вашего интернет-провайдера, либо адрес был «подделан».

Частные адреса задокументированы в RFC 1918. Если у вас есть дополнительные вопросы об использовании RFC 1918, обратитесь к своему интернет-провайдеру.

Адреса в диапазоне от 169.254.0.0 до 169.254.255.255 автоматически используются большинством сетевых устройств, если они настроены на использование IP, не имеют назначенного статического IP-адреса и не могут получить IP-адрес с помощью DHCP.

Этот трафик предназначен для ограничения локальной сети, поэтому администратор локальной сети должен искать неправильно настроенные хосты. Некоторые интернет-провайдеры непреднамеренно также разрешают этот трафик, поэтому вы также можете связаться со своим интернет-провайдером. Это задокументировано в RFC 6890.

Каждый компьютер в Интернете использует адрес 127.0.0.0/8 для идентификации самого себя. 127.0.0.0 — 127.255.255.255 предназначен для так называемой «петли». Эта конструкция позволяет компьютеру подтвердить, что он может использовать IP, а различные программы, работающие на одном компьютере, могут взаимодействовать друг с другом с использованием IP. Большинство программ использует только 127.0.0.1 для обратной связи (другие адреса в этом диапазоне используются редко). Все адреса в адресе обратной связи обрабатываются с одинаковыми уровнями ограничений в интернет-маршрутизации, поэтому трудно использовать любые другие адреса в этом блоке для чего-либо, кроме приложений, специфичных для узла, обычно для начальной загрузки. Это задокументировано в RFC 6890.

Реестр адресов IPv4 и служба Whois используют слово «нераспределенный» (иногда «зарезервированный») для обозначения того, что адреса зарезервированы для будущего выделения. Теперь никто не должен использовать эти адреса. Эти адреса будут выделены для использования в общедоступном Интернете в будущем. Если адреса необходимы для частных сетей, следует использовать упомянутые выше адреса для частного использования.

Адреса в диапазоне от 224.0.0.0 до 239.255.255.255 зарезервированы специально для предоставления услуг многоадресной рассылки в Интернете. Службы многоадресной рассылки позволяют компьютеру отправлять одно сообщение многим адресатам. Примеры включают программное обеспечение, которое синхронизирует часы компьютеров, и телевизионные услуги, доставляемые по IP, как правило, кабельными интернет-провайдерами. Различные адреса в этом диапазоне используются маршрутизаторами, а другие — хостами, прослушивающими многоадресные сеансы.

Эти адреса доступны для любого хоста, который хочет участвовать в многоадресной рассылке, и обычно назначаются динамически. Адрес источника не должен быть многоадресным (без предварительного согласования). Адрес назначения может быть многоадресным. Техническую справочную информацию см. в RFC 1112 и RFC 2236.

Советы по поиску ответственного за IPv4-адрес

Если вы столкнулись с IPv4-адресом, который не соответствует ни одной из вышеперечисленных категорий, изучение различных источников информации для поиска лица, ответственного за IP-адрес, может оказаться сложной задачей. Более того, даже если такой человек и найдется, он вполне может находиться на другом конце света и не разделять ни ваш язык, ни вашу правовую систему. Тем не менее, вы должны решить, стоит ли пытаться. В этом разделе описывается процедура, которой следует следовать при поиске контактной информации ответственного лица.

Шаг 1. Найдите IP-адрес на серверах whois региональных интернет-реестров (RIR).

С помощью службы Whois найдите IP-адрес во всех пяти региональных интернет-регистраторах или RIR.

  • AfriNIC (Информационный центр Африканской сети) — Африка и части Индийского океана
    Нажмите здесь, чтобы перейти к серверу WHOIS AfriNIC.
  • APNIC (Азиатско-Тихоокеанский сетевой информационный центр) — Азиатско-Тихоокеанский регион
    Нажмите здесь, чтобы перейти к серверу WHOIS APNIC.
  • ARIN (Американский реестр интернет-номеров) — Канада, США и несколько островов в Карибском море и северной части Атлантического океана.
    Нажмите здесь, чтобы перейти к серверу WHOIS ARIN.
  • LACNIC (Региональный реестр IP-адресов в Латинской Америке и Карибском бассейне) — Латинская Америка и некоторые острова Карибского бассейна
    Нажмите здесь, чтобы перейти к серверу WHOIS LACNIC.
  • RIPE NCC (Réseaux IP Européens) — Европа, Ближний Восток и Центральная Азия
    Нажмите здесь, чтобы перейти к серверу WHOIS RIPE NCC.

Если на одном из серверов Whois RIR нет информации об IP-адресе, который вы запрашиваете, попробуйте другие.

Если в базе данных RIR WHOIS указано, что IP-адрес зарегистрирован в IANA, обязательно попробуйте другие RIR, чтобы убедиться, что они также говорят, что IP-адреса зарегистрированы в IANA, поскольку базы данных некоторых RIR могли не обнаружить последние делегирования. другим RIR.

Шаг 2. Если во всех RIR указан адрес, назначенный IANA, вам следует проверить, предназначен ли этот адрес для «специального использования» или он «нераспределен» («зарезервирован»).

Дополнительную информацию о сфабрикованных IP-адресах и серверах blackhole см. ниже.

Сфабрикованные (или "поддельные") IP-адреса

Вполне возможно, что IP-адрес в заголовке электронного письма может быть сфабрикован.

Протоколы электронной почты небезопасны, и любой человек, обладающий минимальными необходимыми техническими навыками, может подделать любую часть электронного письма. Подделки, как правило, легко идентифицировать. Мы не можем найти лиц, которые подделывают заголовки электронной почты. Фактически, обратные адреса могут быть подделаны вплоть до уровня пакетов. (Как и в обычной почте, в качестве обратного адреса можно указать что угодно, но если есть проблема с адресом «кому», письмо не может быть доставлено.) IP-адреса могут быть подделаны в протоколах, отличных от e. -почта, а также.

Информация о серверах "Blackhole"

Пожалуйста, ознакомьтесь со следующими 8 вопросами/ответами для получения информации о серверах "blackhole":

Вопрос 1. Что такое серверы blackhole?

A1: Серверы "blackhole", "blackhole-1.iana.org" и "blackhole-2.iana.org", являются малоизвестной частью интернет-инфраструктуры. Люди иногда озадачены или встревожены, обнаружив необъяснимые ссылки на них в файлах журналов или в других местах. Этот FAQ пытается объяснить, что делают эти серверы и почему вы можете их видеть. В частности, эти серверы являются частью системы доменных имен (DNS) и отвечают на обратные запросы к адресам из зарезервированных диапазонов адресов RFC 1918:

См.: RFC 1918

Эти адреса зарезервированы для использования в частных интрасетях и никогда не должны появляться в общедоступном Интернете. Адреса 192.168.0.0 особенно распространены, они часто используются в небольших офисных или домашних сетевых продуктах, таких как маршрутизаторы, шлюзы или брандмауэры.

Вопрос 2. Что такое "узник"

Вопрос 3. Что такое «обратные запросы»?

A3: При обычных («прямых») запросах система доменных имен отвечает адресом (например, «192.0.34.162»), когда дается имя (например, «www.iana.org») . Обратные («обратные») запросы делают обратное — система доменных имен возвращает имя («www.iana.org») при задании адреса («192.0.34.162»). Хотя с точки зрения человека обратные запросы встречаются редко, некоторые сетевые службы автоматически выполняют обратный поиск всякий раз, когда обрабатывают запрос с определенного IP-адреса, и, следовательно, они составляют значительную часть сетевого трафика DNS.

Q4: Зачем нам нужны серверы blackhole?

A4: Строго говоря, нам не нужны серверы blackhole. Однако DNS-клиенты иногда запоминают результаты предыдущих запросов (то есть «хорошие» ответы на запросы кэшируются), а серверы «черной дыры» настроены на возврат ответов, которые DNS-клиенты могут кэшировать. Это позволяет клиентам полагаться на свои кэшированные ответы вместо отправки другого запроса, что, в свою очередь, снижает общий объем трафика в Интернете. Поскольку адреса RFC 1918 никогда не должны использоваться в общедоступном Интернете, в общедоступном DNS не должно быть имен, которые ссылаются на них. Следовательно, обратный поиск по одному из этих адресов никогда не должен работать. Серверы черной дыры отвечают на эти обратные запросы и всегда возвращают ответ, в котором авторитетно говорится, что «этот адрес не существует». Из-за упомянутого выше кэширования это намного лучше, чем просто не отвечать вообще, поэтому серверы blackhole предоставляются как общедоступная служба.

В5. Насколько загружены серверы blackhole?

A5: Хотя скорости варьируются, серверы blackhole обычно отвечают на тысячи запросов в секунду. За последние пару лет количество запросов к серверам Blackhole резко возросло. Считается, что подавляющее большинство этих запросов происходит из-за «утечки» из интрасетей, использующих частные адреса RFC 1918. Это может произойти, если в частной интрасети внутри используются службы, которые автоматически выполняют обратные запросы, и локальному преобразователю DNS необходимо выйти за пределы интрасети для разрешения этих имен. Для хорошо настроенных интрасетей этого не должно происходить.У пользователей частного адресного пространства должен быть настроен локальный DNS для предоставления ответов на обратный поиск в частном адресном пространстве.

В6: Но похоже, что серверы blackhole атакуют мою сеть/хост. Может быть, хакер захватил серверы и атакует другие системы?

A6: Ни одна система не может быть полностью защищена от хакеров, и серверы blackhole не являются исключением. Однако эффект, который вы видите, скорее всего, имеет другую причину. Из-за их особой функции существует ряд причин, по которым серверы blackhole могут появляться в ваших журналах или где-либо еще, которые не имеют ничего общего со взломом. Конфигурация DNS, особенно в среде, где используются адреса RFC 1918, может быть сложной. Конфигурации брандмауэра могут еще больше усложнить ситуацию. Если, например, ваша система настроена на разрешение всех исходящих пакетов, но на блокировку большинства входящих пакетов, возможно, ваш DNS-клиент на самом деле отправляет обратные запросы на серверы черной дыры, но блокирует (и регистрирует) возвращаемые ответы. .

Также верно, что другие действия хакеров могут привести к тому, что серверы blackhole появятся в ваших журналах. Можно создать сетевые пакеты с поддельными адресами источника, которые находятся в диапазонах RFC 1918. Хакер, например, может создать пакет, который выглядит как адрес 192.168.35.35, и отправить его в вашу сеть. Иногда происходят крупномасштабные атаки типа «отказ в обслуживании», в которых используется поток таких «поддельных» пакетов. Результатом может быть большое количество запросов, поступающих на серверы blackhole, которые сами могут быть перегружены трафиком запросов. В условиях большой нагрузки серверы могут отбрасывать пакеты и некорректно отвечать на некоторые запросы. Это может привести к появлению странных сообщений в журналах ошибок атакующего или атакуемого хоста. (В крупномасштабных атаках типа «распределенный отказ в обслуживании» многие системы захватываются хакерами, и эти системы используются для атаки какой-либо жертвы. Владельцы атакующих систем могут даже не знать, что они были захвачены хакером. .)

Q7: Хорошо, возможно, вы не нападаете на меня. Что я могу сделать с сообщениями в моих журналах?

Вопрос 8. Есть ли проблема помимо журналов?

A8: Возможно. Но вы должны приложить все усилия, чтобы решить проблему со своей стороны, потому что случаи перегрузки серверов blackhole становятся все более частыми, и это может иметь более серьезные последствия.

Функции IANA координируют глобальные уникальные идентификаторы Интернета и предоставляются компанией Public Technical Identifiers, дочерней компанией ICANN.

Использование частного адресного пространства во внутренней сети UCL

Введение

В этом примечании описывается концепция "частных" IP-адресов и их использование во внутренней сети UCL.

Любому сетевому администратору UCL, рассматривающему возможность использования частной адресации в Интернете, настоятельно рекомендуется прочитать этот документ, чтобы понять, как такие адреса используются в сети колледжа, а также во избежание дублирования такой адресации и возможных коммуникационных ловушек. Администратора также предупреждают об уместности такого выбора. Если есть какие-либо среднесрочные или долгосрочные потребности в доступе в Интернет для устройств, использующих частную адресацию, например. для обновлений программного обеспечения или сторонней поддержки использование частной IP-адресации может оказаться нецелесообразным.

RFC 1918 и частная IP-адресация

RFC 1918 описывает использование пространства IP-адресов, которое IANA, Управление по присвоению номеров в Интернете, считает частным (подробности см., например, в RFC1918 — Распределение адресов для частного Интернета). Частное адресное пространство доступно для использования любой организацией и гарантированно не маршрутизируется в общедоступной сети Интернет. На практике это означает, что любой хост-компьютер, которому назначен частный адрес, определенный в RFC 1918, не может быть доступен «напрямую» с любого другого компьютера, не входящего в локальную сеть хост-организации. Частные адреса могут использоваться по ряду причин, некоторые из которых включают:

  • Те случаи, когда по какой-либо причине хост должен быть гарантированно изолирован от общедоступного Интернета.
  • Для устранения нехватки пространства общедоступных IP-адресов. По мере того, как все больше и больше машин подключаются к Интернету, доступность общедоступных IP-адресов становится все более и более ограниченной. Если организация не может увеличить пространство общедоступных адресов, которым она владеет, одним из методов, используемых для смягчения последствий, является внутреннее выделение частных IP-адресов и использование метода, называемого NAT (преобразование сетевых адресов), чтобы позволить машине с частным адресом обмениваться данными. с системами, находящимися вне юрисдикции организации.Что делает NAT, так это преобразовывает исходный IP-адрес в исходящих пакетах в законный общедоступный адрес (или диапазон адресов) и управляет служебными операциями, чтобы возвращаемые пакеты соответствующим образом преобразовывались обратно в правильные внутренние адреса. Этот метод обеспечивает процесс «многие к одному», в котором несколько внутренних адресов могут быть преобразованы в гораздо меньший блок общедоступных адресов, тем самым сохраняя ценные ресурсы общедоступной адресации PAT или преобразование адресов портов — это родственный метод, используемый в основном для тех же целей. , т.е. скрытие и сохранение адресов. За исключением того, что PAT может использоваться там, где упоминается NAT, в этом примечании нет необходимости рассматривать его далее.
  • Вариант предыдущего случая, в котором, несмотря на то, что организация может иметь достаточно общедоступных адресов, она, тем не менее, решает использовать описанную выше методологию, чтобы повысить уровень своей общественной безопасности по отношению к общедоступной сети. В этом случае защищенные системы обычно подключаются за корпоративным брандмауэром, который выполняет функцию NAT от имени внутренних систем.

RFC 1918 определяет следующие диапазоны адресов как частные,

  • 10.0.0.0/8 (адреса с 10.0.0.0 по 10.255.255.255 включительно)
  • 172.16.0.0/12 (адреса с 172.16.0.0 по 172.31.255.255 включительно)
  • 192.168.0.0/16 (адреса с 192.168.0.0 по 192.168.255.255 включительно) Адреса в этих диапазонах не маршрутизируются в Интернете и могут свободно использоваться любой организацией только для локальных целей.

Обратите внимание, что диапазоны адресов представлены в нотации бесклассовой IP-адресации. Описание этой нотации см., например:

Использование частной IP-адресации в сети UCL

Маршрутизаторы UCL MAN, т.е. те, которые соединяют учреждение с лондонской сетью MAN, настроены на отбрасывание любого полученного ими пакета, в котором адрес RFC 1918 указан либо как источник, либо как пункт назначения. Однако в UCL есть некоторые требования по внутренней маршрутизации частных адресов, т.е. между разными подсетями UCL, выделенными частными адресами, или между общедоступным адресом UCL и частным внутренним адресом. При наличии этого требования используемая частная адресация должна выделяться сетевой группой IS, чтобы гарантировать как маршрутизацию, так и уникальность адресации. Выделение адресов — это одна из функций, выполняемых ролью hostadmin.

Следующие адреса выделяются сетевой группой IS (через ее роль hostadmin). Их следует использовать только после официального выделения hostadmin. Эти адреса предназначены для использования администраторами узлов, которым требуется подключение между системами, настроенными с использованием частных IP-адресов, и другими системами (частными или иными), подключенными к сети колледжа. Для этих диапазонов адресов гарантируется маршрутизация в пределах базовой сети.

  • 10.0.0.0/9 (адреса с 10.0.0.0 по 10.127.255.255 включительно)
  • 172.16.0.0/13 (адреса с 172.16.0.0 по 172.23.255.255 включительно)
  • 192.168.0.0/17 (адреса с 192.168.0.0 по 192.168.127.255 включительно)

На практике адреса в диапазоне 192.168.0.0/21 (т. е. с 192.168.0.0 по 192.168.7.255 включительно) никогда не выделяются. В ряде готовых системных конфигураций используются адреса 192.168.0.0/24 или 192.168.1.0/24. Из соображений осторожности следует избегать публичного выделения этих адресов.

Примечание. Существует исключение. Фармацевтическая школа использовала 192.168.6.0/23, поэтому этот префикс теперь маршрутизируется по магистрали.

Обратите внимание, что каждый префикс представляет собой младшую половину исходного префикса, из которого он получен, например. 10.0.0.0/9 — это нижняя половина диапазона, представленного 10.0.0.0/8. Следующие диапазоны адресов гарантированно будут действительно закрытыми при использовании в сети колледжа, потому что инфраструктура маршрутизации UCL будет отбрасывать пакеты, содержащие любой адрес в этих пределах. диапазоны. Эти адреса могут использоваться любым администратором, но при строгом понимании того, что они никогда не будут маршрутизируемыми в сети UCL.

Читайте также: