Какие ip адреса не маршрутизируются в сети интернет
Перейти к содержимому

Какие ip адреса не маршрутизируются в сети интернет

  • автор:

Немаршрутизируемые в Интернет адреса (bogon networks) и безопасность

После прочтения заметки о даркнетах , у многих, наверное, возник вопрос: а какие именно IP-адреса не должны маршрутизироваться в Интернет и почему? И немалая часть публики, естественно, может ответить на этот вопрос, не задумываясь, но я, на всякий случай, перечислю список наиболее статичных диапазонов, которые IETF предписывает не использовать в глобальной сети Интернет. Зарезервированные диапазоны также называются Bogon/bogus networks. Официальный перечень описан в RFC6890 , RFC5735 и некоторых других. Также по ссылкам (english) доступны описание и перечень bogon подсетей от Team Cymru.

0.0.0.0/8
Диапазон описан в RFC1122 , RFC3330 и RFC1700 как “Этот хост в этой сети” (this host on this network), хотя, учитывая варианты применения, правильнее было бы назвать его как “любой адрес”. В частности, IP-адрес 0.0.0.0 используется для:- обозначения в конфигурационных файлах серверов и выводе netstat информации о том, что определенный сервис “слушает” запросы на всех IP-адресах данного сервера;- конфигурации маршрута по умолчанию на активном сетевом оборудовании;- использования в качестве src address в запросах на получение IP-адреса (DHCPDISCOVER);- обозначения IP-адреса в суммаризованных событиях безопасности IDS/IPS/WAF/etc (например, TCP Host Sweep – обозначение dst host в случае инициации коннектов к большому количеству IP-адресов).

10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
Три вышеописанных диапазона не маршрутизируются в Интернет, поскольку зарезервированы под организацию локальных сетей ИТ-инфраструктуры компаний. Описаны изначально в RFC1918 . При этом любая организация вправе использовать любой из вышеописанных диапазонов для IP-адресного плана либо все вместе на свое усмотрение. Для взаимодействия с внешними ресурсами и партнерами во избежание пересечения адресного пространства должен использоваться NAT.

100.64.0.0/10
В соответствии с RFC6598 , используется как транслируемый блок адресов для межпровайдерских взаимодействий и Carrier Grade NAT. Особенно полезен как общее свободное адресное IPv4-пространство RFC1918, необходимое для интеграции ресурсов провайдеров, а также для выделения немаршрутизируемых адресов абонентам. Конечно, в последнем случае никто не мешает использовать RFC1918 – на откуп сетевым архитекторам.

127.0.0.0/8
В случае, если сервису необходим для работы функционирующий сетевой стек, который не будет давать сбоев при отключении от сети, используются loopback-адреса. Выделение 127.0.0.0/8 под внутренние loopback-адреса определено в RFC1122 . В отличие от адресов RFC1918 и RFC6598, адреса для loopback не должны присутствовать и обрабатываться ни в одной сети, только во внутренней таблице маршрутизации хоста.

169.254.0.0/16
В соответствии с RFC3927 , определен как Link-Local для автоматической конфигурации. Думаю, каждый человек хоть раз в жизни, но успел столкнуться с ситуацией, когда ПК, не получив IP-адрес от DHCP-сервера, присваивает сам себе непонятный и нигде не прописанный ранее IP, начинающийся на 169.254… Это и есть реализация рекомендаций из RFC3927.

192.0.0.0/24
Блок не встречается в повседневной жизни, поскольку зарезервирован под IANA для нужд IETF в соответствии с RFC6890 .

192.0.2.0/24 198.51.100.0/24 203.0.113.0/24
Эти три подсети, в соответствии с RFC5737 , зарезервированы для описания в документах. Многие, думаю, сталкивались с ситуацией, когда для статьи в журнале либо презентации на конференции нужно показать некоторое адресное пространство, которое, с одной стороны, не должно ассоциироваться с локальными RFC1918-адресами и как бы показывать Интернет, но, в то же время, и не принадлежать никому, чтобы не было лишних вопросов со стороны владельца адресов. Для этого и были выделены три подсети /24 по принципу “дарю, пользуйтесь”.

192.88.99.0/24
Частный случай из подсети 192.0.0.0/24, описанной выше, но заслуживает отдельного описания из технологического интереса. В связи с необходимостью взаимодействия новых IPv6-облаков между собой в преобладающем IPv4-транзите необходим NAT 6to4. При этом некоторые межконтинентальные сервисы, наиболее критичные из которых – корневые сервера DNS, используют технологию anycast. Наверное, это тема для отдельной заметки, но вкратце: подсеть, выделенная под anycast, может терминироваться в любой автономной системе для обеспечения отказоустойчивости. В RFC3068 был выделен пул адресов 192.88.99.0/24 для NAT 6to4 сервисов, использующих anycast. Как видим, выделен был этот пул еще в 2001 году, после чего, нахлебавшись проблем на практике, в 2015 году издаетсяRFC7526 , отменяющий RFC3068, но при этом подсеть 192.88.99.0/24 остается зарезервированной под нужды IETF.

198.18.0.0/15
Диапазон выделен под лаборатории нагрузочного тестирования (Benchmarking) в соответствии с RFC2544 и уточнением в RFC6815 , что данный диапазон не должен быть досутпен в Интернет во избежание конфликтов. Опять же, никто при этом не отменяет использование RFC1918, но для больших сетей с крупными лабораториями лишний блок /15 явно не помешает.

224.0.0.0/4
Этот диапазон в исторической классификации еще называется как Class D. Выделен под Multicast, уточнение специфики работы которого тоже вроде как отдельная заметка. ВRFC5771 подробно расписано использование подсетей внутри блока, но суть остается той же: эти адреса не закреплены ни за каким провайдером, и, соответственно, через Интернет не должны светиться.

240.0.0.0/4
В соответствии с RFC1122 , данный диапазон IP-адресов, исторически также известный как Class E, зарезервирован под использование в будущем. Юмор ситуации в том, что RFC1122 издавался еще в августе 1989 года, сейчас 2016 год, IPv4-адреса закончились, но для IETF будущее еще не наступило, потому что из всей большой подсети /4 до сих пор используется только один адрес. Но, наверное, если посчитать статистику по всем подсетям всех организаций мира, этот адрес окажется в лидерах, потому что сервисы, использующие broadcast, обращаются к адресу 255.255.255.255, который и принадлежит описанному диапазону.

Если собрать воедино описанный перечень, чем он будет полезен для безопасности сети? Рассматриваем только голый Интернет, а не локальные сегменты корпоративной сети. В корпоративных сетях, построенных на адресах RFC1918 и выходящих в Интернет через firewall, правила определения нелегитимности трафика будут несколько иными.
Итак, что делать с замеченными провайдером в “своем интернете” пакетами, в которых фигурируют bogon ip:

Немаршрутизируемые в Интернет адреса (bogon networks) и безопасность

192.88.99.0/24
Частный случай из подсети 192.0.0.0/24, описанной выше, но заслуживает отдельного описания из технологического интереса. В связи с необходимостью взаимодействия новых IPv6-облаков между собой в преобладающем IPv4-транзите необходим NAT 6to4. При этом некоторые межконтинентальные сервисы, наиболее критичные из которых — корневые сервера DNS, используют технологию anycast. Наверное, это тема для отдельной заметки, но вкратце: подсеть, выделенная под anycast, может терминироваться в любой автономной системе для обеспечения отказоустойчивости. В RFC3068 был выделен пул адресов 192.88.99.0/24 для NAT 6to4 сервисов, использующих anycast. Как видим, выделен был этот пул еще в 2001 году, после чего, нахлебавшись проблем на практике, в 2015 году издается RFC7526 , отменяющий RFC3068, но при этом подсеть 192.88.99.0/24 остается зарезервированной под нужды IETF.

198.18.0.0/15
Диапазон выделен под лаборатории нагрузочного тестирования (Benchmarking) в соответствии с RFC2544 и уточнением в RFC6815 , что данный диапазон не должен быть досутпен в Интернет во избежание конфликтов. Опять же, никто при этом не отменяет использование RFC1918, но для больших сетей с крупными лабораториями лишний блок /15 явно не помешает.

224.0.0.0/4
Этот диапазон в исторической классификации еще называется как Class D. Выделен под Multicast, уточнение специфики работы которого тоже вроде как отдельная заметка. В RFC5771 подробно расписано использование подсетей внутри блока, но суть остается той же: эти адреса не закреплены ни за каким провайдером, и, соответственно, через Интернет не должны светиться.

240.0.0.0/4
В соответствии с RFC1122 , данный диапазон IP-адресов, исторически также известный как Class E, зарезервирован под использование в будущем. Юмор ситуации в том, что RFC1122 издавался еще в августе 1989 года, сейчас 2016 год, IPv4-адреса закончились, но для IETF будущее еще не наступило, потому что из всей большой подсети /4 до сих пор используется только один адрес. Но, наверное, если посчитать статистику по всем подсетям всех организаций мира, этот адрес окажется в лидерах, потому что сервисы, использующие broadcast, обращаются к адресу 255.255.255.255, который и принадлежит описанному диапазону.

Всё об IP адресах и о том, как с ними работать

Не так давно я написал свою первую статью на Хабр. В моей статье была одна неприятная шероховатость, которую моментально обнаружили, понимающие в сетевом администрировании, пользователи. Шероховатость заключается в том, что я указал неверные IP адреса в лабораторной работе. Сделал это я умышленно, так как посчитал что неопытному пользователю будет легче понять тему VLAN на более простом примере IP, но, как было, совершенно справедливо, замечено пользователями, нельзя выкладывать материал с ключевой ошибкой.

В самой статье я не стал править эту ошибку, так как убрав её будет бессмысленна вся наша дискуссия в 2 дня, но решил исправить её в отдельной статье с указание проблем и пояснением всей темы.

Для начала, стоит сказать о том, что такое IP адрес.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной на основе стека протоколов TCP/IP (TCP/IP – это набор интернет-протоколов, о котором мы поговорим в дальнейших статьях). IP-адрес представляет собой серию из 32 двоичных бит (единиц и нулей). Так как человек невосприимчив к большому однородному ряду чисел, такому как этот 11100010101000100010101110011110 (здесь, к слову, 32 бита информации, так как 32 числа в двоичной системе), было решено разделить ряд на четыре 8-битных байта и получилась следующая последовательность: 11100010.10100010.00101011.10011110. Это не сильно облегчило жизнь и было решение перевести данную последовательность в, привычную нам, последовательность из четырёх чисел в десятичной системе, то есть 226.162.43.158. 4 разряда также называются октетами. Данный IP адрес определяется протоколом IPv4. По такой схеме адресации можно создать более 4 миллиардов IP-адресов.

Максимальным возможным числом в любом октете будет 255 (так как в двоичной системе это 8 единиц), а минимальным – 0.

Далее давайте разберёмся с тем, что называется классом IP (именно в этом моменте в лабораторной работе была неточность).

IP-адреса делятся на 5 классов (A, B, C, D, E). A, B и C — это классы коммерческой адресации. D – для многоадресных рассылок, а класс E – для экспериментов.

Теперь о «цвете» IP. IP бывают белые и серые (или публичные и частные). Публичным IP адресом называется IP адрес, который используется для выхода в Интернет. Адреса, используемые в локальных сетях, относят к частным. Частные IP не маршрутизируются в Интернете.

Публичные адреса назначаются публичным веб-серверам для того, чтобы человек смог попасть на этот сервер, вне зависимости от его местоположения, то есть через Интернет. Например, игровые сервера являются публичными, как и сервера Хабра и многих других веб-ресурсов.
Большое отличие частных и публичных IP адресов заключается в том, что используя частный IP адрес мы можем назначить компьютеру любой номер (главное, чтобы не было совпадающих номеров), а с публичными адресами всё не так просто. Выдача публичных адресов контролируется различными организациями.

Допустим, Вы молодой сетевой инженер и хотите дать доступ к своему серверу всем пользователям Интернета. Для этого Вам нужно получить публичный IP адрес. Чтобы его получить Вы обращаетесь к своему интернет провайдеру, и он выдаёт Вам публичный IP адрес, но из рукава он его взять не может, поэтому он обращается к локальному Интернет регистратору (LIR – Local Internet Registry), который выдаёт пачку IP адресов Вашему провайдеру, а провайдер из этой пачки выдаёт Вам один адрес. Локальный Интернет регистратор не может выдать пачку адресов из неоткуда, поэтому он обращается к региональному Интернет регистратору (RIR – Regional Internet Registry). В свою очередь региональный Интернет регистратор обращается к международной некоммерческой организации IANA (Internet Assigned Numbers Authority). Контролирует действие организации IANA компания ICANN (Internet Corporation for Assigned Names and Numbers). Такой сложный процесс необходим для того, чтобы не было путаницы в публичных IP адресах.

Поскольку мы занимаемся созданием локальных вычислительных сетей (LAN — Local Area Network), мы будем пользоваться именно частными IP адресами. Для работы с ними необходимо понимать какие адреса частные, а какие нет. В таблице ниже приведены частные IP адреса, которыми мы и будем пользоваться при построении сетей.

Из вышесказанного делаем вывод, что пользоваться при создании локальной сеть следует адресами из диапазона в таблице. При использовании любых других адресов сетей, как например, 20.*.*.* или 30.*.*.* (для примера взял именно эти адреса, так как они использовались в лабе), будут большие проблемы с настройкой реальной сети.

Из таблицы частных IP адресов вы можете увидеть третий столбец, в котором написана маска подсети. Маска подсети — битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая — к адресу самого узла в этой сети.

У всех IP адресов есть две части сеть и узел.
Сеть – это та часть IP, которая не меняется во всей сети и все адреса устройств начинаются именно с номера сети.
Узел – это изменяющаяся часть IP. Каждое устройство имеет свой уникальный адрес в сети, он называется узлом.

Маску принято записывать двумя способами: префиксным и десятичным. Например, маска частной подсети A выглядит в десятичной записи как 255.0.0.0, но не всегда удобно пользоваться десятичной записью при составлении схемы сети. Легче записать маску как префикс, то есть /8.

Так как маска формируется добавлением слева единицы с первого октета и никак иначе, но для распознания маски нам достаточно знать количество выставленных единиц.

Таблица масок подсети

Высчитаем сколько устройств (в IP адресах — узлов) может быть в сети, где у одного компьютера адрес 172.16.13.98 /24.

Итого 254 устройства в сети

Теперь вычислим сколько устройств может быть в сети, где у одного компьютера адрес 172.16.13.98 /16.

Итого 65534 устройства в сети

В первом случае у нас получилось 254 устройства, во втором 65534, а мы заменили только номер маски.

Посмотреть различные варианты работы с масками вы можете в любом калькуляторе IP. Я рекомендую этот.

До того, как была придумана технология масок подсетей (VLSM – Variable Langhe Subnet Mask), использовались классовые сети, о которых мы говорили ранее.

Теперь стоит сказать о таких IP адресах, которые задействованы под определённые нужды.

Адрес 127.0.0.0 – 127.255.255.255 (loopback – петля на себя). Данная сеть нужна для диагностики.
169.254.0.0 – 169.254.255.255 (APIPA – Automatic Private IP Addressing). Механизм «придумывания» IP адреса. Служба APIPA генерирует IP адреса для начала работы с сетью.

Теперь, когда я объяснил тему IP, становиться ясно почему сеть, представленная в лабе, не будет работать без проблем. Этого стоит избежать, поэтому исправьте ошибки исходя из информации в этой статье.

Адресация в сети интернет: какие способы используются

При выходе в интернет компьютеру присваивается уникальный идентификационный номер, по которому можно определить его местонахождение, узнать прочую информацию. В данной статье речь пойдет об особенностях адресации в интернете.

Разновидности адресации в сети.

Определение адресации в сети интернет

Это название устройства, которое ему присваивается в интернете, то есть его IP-адрес, состоящий из определенного набора символов, цифр.

Адресация может быть цифровой, символьной, а также уникальной с заданным номером.

Адресация нужна в целях соблюдения безопасности пользования ресурсами интернета, для снижения мошеннических действий со стороны пользователей, а также для поиска системой нужных файлов. Далее будет более подробно рассказано о типах адресации.

Структура IP.

Основные виды адресации

Подтипов адресации достаточно много. Однако есть две главных группы, о которых пойдет речь далее.

Полная

Это абсолютная адресация в сети интернет, отображающая полный путь до исходного файла, и не зависящая от действующего IP.

В свою очередь, данный тип адресации состоит из следующих компонентов:

  • идентификатор протокола, по которому происходит обращение к имени файла;
  • точное название сервера с расположением данного файла;
  • расположение файла и его название (как он должен называться).

Адресация в интернете.

В интернете приняты следующие системы адресации:

  • IP-адрес;
  • MAC-адрес;
  • адрес домена;
  • URL.

Для полного понимания темы необходимо рассмотреть определение каждого пункта:

  • IP-адрес — это индивидуальный номер каждого устройства в интернете.
  • MAC-адрес. Это номер, присваиваемый сетевому интерфейсу персонального компьютера. У ПК может быть большое количество таких интерфейсов, и каждый из них будет идентифицироваться собственным номером.
  • Доменная система. Домен — это имя, предназначенное для перевода, размещения других имен, назначенных для компьютера, в IP.
  • URL — уникальное имя компьютерных сайтов и других элементов в глобальной сети.

Относительная адресация

Это процедура поиска элемента по его текущему местоположению. Протокол, по которому происходит поиск файла, в дальнейшем будет сохранен. Причем файл обращения должен располагаться на этом же сервере.

В свою очередь, данный тип подразделяется на классовую и бесклассовую адресацию:

  • Классовая. Представляет собой один из способов рационального применения ресурсов, получаемых от IP-адресов и не предполагает совместное применение нескольких масок подсетей. Маска должна быть фиксированной.
  • Бесклассовая. Это также способ проявления IP-адресации, задача которого заключается в рациональном разделении пространства адреса.

Зачем нужна маска подсети

В состав IP-адреса входит сетевая часть и характеристики узла, а маска подсети предназначена для определения местонахождения каждой из этих частей.

Компьютеру или другому устройству, выходящему в интернет, помимо IP-адреса, присваивается маска подсети, а сам ПК именуется в глобальной сети как узел.

Маска имеет разрядность 32 бита и разграничивает части IP-адреса между сетью и узлом, то есть рассматриваемым устройством.

Маска подсети и IP сравниваются между собой по каждому биту в направлении слева направо. В свою очередь, маска состоит из единиц, определяющих сетевую часть и нулей, осуществляющих поиск устройства.

Значение маски подсети в настройках роутера.

Компьютер, с которого отправляется размещенный пакет информации, производит сравнение собственного IP с идентификационным номером маски. Доставка пакета производится, когда биты сетевой части IP-адреса совпадают с номером узла. Если этого не происходит, то устройство доставляет пакет маршрутизатору, чтобы передать его в другую сеть.

Главные типы адресов для отправления конкретного пакета информации

Таких типов несколько, и каждый из них задает собственный номер для узла. Рассмотрим каждый класс IP-адреса подробно.

Клиентские

Тарифный план на предоставление интернета, заключенный с тем или иным провайдером, может быть как общедоступным, так и частным. Эти определения характеризуют порядок сетевого расположения. При этом частный номер применяется внутри сети, а общедоступный за ее границами.

Частные

Все устройства, которые, например, синхронизируются с точной доступа Wi-Fi, обладают частным IP. Здесь речь идет о множестве приборов: ноутбуках, смартфонах, планшетах, телевизорах, модемах, принтерах.

Роутер производит идентификацию всех устройств, подключенных к нему, а некоторые приборы, определяют друг друга. Благодаря этому каждое устройство на главном компьютере можно разграничить и назвать.

Общедоступные

Это главный адрес сети. Он совмещает в себе идентификационные номера всех устройств, находящихся в одной сети. Общедоступный адрес направляется непосредственно провайдеру интернета, с которым у пользователя заключен договор на оказание услуг. Общедоступные адреса, в свою очередь, делятся на динамические и статические.

Динамические

Это номера, которые автоматически изменяются с заметной регулярностью провайдером интернета. Дело в том, что провайдеры самостоятельно присваивают каждому клиенту собственный индивидуальный адрес, который впоследствии сменяется адресом, полученным от клиента, отказавшегося от предоставления услуг и расторгшего договор.

Это было придумано в целях экономии денег провайдера, которому также не придется заменять динамический адрес, когда клиент переедет на другое место жительства.

Статическая и динамическая адресация.

Статические

Данный тип IP никогда не меняется в отличие от рассмотренного выше. Статический адрес назначается сетью и остается неизменным на протяжении всего периода использования данного устройства.

Статические адреса в частности актуальны для людей и организаций, которые хотят иметь собственный сервер, а обычный пользователь может обойтись и без них.

Типы адресов веб-сайтов

Люди, которые планируют создать собственный сайт в интернете, должны знать, что у них есть две группы адресации. В целях раскрытия данной темы необходимо изучить каждый тип отдельно.

Общие

Это сайты, которые работают на основе хостинговых планов, предоставляемых тем или иным провайдером. Общие адреса характерны для сайтов с ограниченным количеством страниц и переходов, которые в данный момент актуальны только для физических лиц и представителей малого бизнеса.

Выделенные

Тарифный план веб-хостинга также предполагает покупку выделенного IP-адреса. Он актуален в случаях, когда у пользователя интернета есть необходимость в разработке собственного FTP-сервера.

Многие компании покупают такой тип адресации для того, чтобы была возможность применять анонимный FTP-доступ. Помимо этого, с помощью выделенных адресов можно переходить на различные интернет -ресурсы с применением только одного IP и без использования домена. Таким образом, регистрировать доменный номер можно только после тестирования IP.

Структура URL адреса.

Как узнать IP адрес устройства

Идентификационный номер можно узнать на каждом используемом устройстве. Однако, методы будут разные.

На компьютере процесс определения IP выполняется по алгоритму:

  • запустить «Командную строку», прописав поиске «Пуска» фразу «CMD»;
  • ввести с клавиатуры фразу «ipconfig»;
  • проверить результат (должна отобразиться информация об IP компьютера).

Открыть «Командную строку» на операционной системе Windows также можно через окно «Выполнить».

На ПК, работающем на операционной системе MAC, получить подобные сведения можно следующим образом:

  • зайти в настройки;
  • переключиться в раздел, отвечающий за работу сети;
  • проверить результат — обычно информация об IP отображается внизу списка параметров.

На устройствах Apple iPhone нужно проделать следующие шаги:

  • зайти в параметры телефона;
  • переключиться на раздел Wi-Fi;
  • войти в свойства нужной сети и посмотреть информацию.

На Андроид посмотреть подобную информацию нельзя.

Адреса, которые не маршрутизируются в сети интернет

Есть адреса, которые не попадают в глобальную сеть. Это частная внутренняя адресация. Данные адреса могут функционировать исключительно в границах локальной сети, и на них невозможно отправить трафик извне.

Подобная адресация зарезервирована и применяется в закрытых сетях. При этом провайдер не может осуществлять контроль за данными адресами.

Частные внутренние.

Таким образом, в данной статье были рассмотрены основные типы адресации в сети интернет, их особенности и назначение. Эта информация может быть полезна для людей, планирующих открыть собственный сервер, а также для ряда пользователей. Также были представлены способы просмотра IP на различных устройствах. Теперь читатель сможет выбрать типы адресации в интернете.

Автор Сергей Эльбакидзе

Сергей, 24 полных года. После окончания 9 классов школы, поступил в политехнический колледж на очное отделение, по специальности прикладная информатика. После окончания колледжа поступил в лесотехнический институт на заочное отделение, по той же специальности прикладная информатика, в данный момент на третьем курсе. Работал в компании специалистом по рекламе и сбыту, далее начал выполнять заказы по созданию и продвижению сайтов. В данный момент развиваю три своих информационных сайта.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *