Pouvez-vous saisir une adresse IP sur Internet?

82

Sur un réseau personnel (LAN), on peut simplement saisir une adresse IP . Si vous choisissez la même adresse IP qu'un client existant, vous rencontrez des problèmes. Il existe des sociétés telles que l'IANA et l'ICANN qui sont chargées de la vente des adresses IP en vrac. Mais qu'est-ce qui vous empêche de simplement saisir une adresse IP aléatoire? Est-ce construit sur la confiance? Et si quelqu'un devait saisir une adresse IP et qu'un conflit se produirait? Est-il possible de suivre cette adresse IP jusqu'à l'emplacement du serveur qui l'utilise?

Les entreprises qui gèrent effectivement les câbles Internet physiques vérifient-elles si les clients qui se connectent utilisent ou non des blocs d'adresses IP achetés?

Ami de Kim
la source

Réponses:

114

Rien ne vous empêche de connecter à Internet un boîtier configuré avec l'adresse IP de quelqu'un d'autre. Cependant, cela ne causera pas nécessairement de problèmes à quelqu'un d'autre que vous-même.

Si vous volez l'adresse IP d'une autre personne en dehors du sous-réseau auquel vous êtes physiquement connecté, la seule chose que vous accomplirez est de ne pouvoir recevoir aucun trafic, car tout routeur, se comportant correctement, va acheminer le trafic vers le véritable propriétaire de celui-ci. Adresse IP. Vous pourrez peut-être annoncer de fausses routes vers le routeur de périphérie situé en amont de vous, dans l’espoir de les propager davantage dans l’espoir de vous faire acheminer le trafic en fonction de votre adresse IP volée, mais tout fournisseur de services Internet / fournisseur en amont légèrement compétent n'acceptez jamais les itinéraires de consommateurs non-entreprises. En ce qui concerne les entreprises / autres fournisseurs d'accès à Internet, ils sont liés par des règles spécifiques sur les itinéraires qu'ils peuvent annoncer et utiliser avec leur fournisseur de transit ou leurs homologues, lesquels sont surveillés 24h / 24 et 7j / 7 par les équipes d'exploitation et de contrôle du réseau. La plupart ont également des règles sur les itinéraires qu’elles accepteront comme valides en fonction de la personne qui les a annoncées. En bref, voler l'adresse IP d'une personne en dehors du sous-réseau auquel vous êtes connecté ne fait rien à moins que vous ne puissiez également manipuler les tables de routage en amont.

À part cela, si vous voliez l'adresse IP d'une personne de votre même sous-réseau, vous perturberiez le trafic de la personne à qui elle appartient et de vous-même. Avec tout commutateur ou routeur géré, cela déclenchera des alarmes car il existe une adresse dupliquée sur le réseau et entraînera probablement le blocage de votre connexion.

Fred Thomsen
la source
Une chose à laquelle vous avez fait allusion, mais que vous n'avez pas explicitement mentionnée, est que vous ne pouvez pas communiquer avec le véritable propriétaire de l'adresse IP, ou peut-être avec le propriétaire réel de l'ensemble du sous-réseau.
Michael Hampton
3
Je précise "ne pas pouvoir recevoir de trafic d'Internet " au lieu de "pas de trafic" (du tout). [Exemple pas dans l’idée de OP:] Il y a (était?) Des entreprises qui ont jugé correct d’utiliser des adresses Internet comme adresses IP internes, sur leur (s) réseau (s) local (s) ... Et cela "en quelque sorte" fonctionne (mais idée, et à ne pas reproduire). Mais ils se demandent ensuite pourquoi ils ne peuvent pas accéder à certains sites (même en utilisant le NATing sur leur passerelle Internet: tous les paquets destinés à un hôte de la même plage que leur plage "interne" seront envoyés par leurs machines de réseau local sur leur réseau local, au lieu de la passerelle pour être envoyé ...)
Olivier Dulac
@OlivierDulac Ce n'est pas nécessairement un problème, tant que vous ne routez pas / NAT vers Internet, mais utilisez des proxies. Prend un peu de configuration très soignée mais c'est certainement possible. (En fait, je travaille pour une entreprise qui fonctionne de la sorte. Multinationale avec environ 500 000 appareils ip.)
Tonny
Les FAI refusent-ils le trafic des clients qui (excusez-moi de la terminologie si elle est incorrecte) réclament une adresse IP statique au lieu de la recevoir par DHCP?
Dean MacGregor
@ Tonny: Je limitais un peu plus le "n'importe quel trafic". Et je sais que des solutions / solutions de contournement existent, mais il est toujours préférable d’utiliser une classe réservée A (10.x / 8, donc plus de 16 millions d’adresses, ou un sous-réseau de celle-ci si vous avez besoin de moins ) que d'utiliser une plage non réservée [où chaque table de routage de votre routeur local devra être soigneusement conçue pour distinguer le trafic local du trafic Internet. Une configuration soignée le rend "facile", la plupart ne le font pas]
Olivier Dulac
120

Semblable à la réponse de mpez0, mais j'aime bien une bonne analogie avec une voiture ...

Je choisis le Royaume-Uni pour cela, car c'est là que je vis. Imaginez que vous vivez dans un monde où les gens suivent les panneaux routiers sans l'ombre d'un doute, et que vous vivez directement dans le nord de l'Écosse, à peu près aussi loin que possible de Londres sans passer par l'eau. Vous vivez dans une petite ville et un jour, vous décidez de renommer votre ville «Londres» car cela aura évidemment pour effet de générer davantage de commerce et de tourisme dans votre ville, n'est-ce pas? Vous prenez même la peine de mettre à jour les panneaux de signalisation locaux pour refléter le nouveau nom de votre ville.

Qu'est-ce qui se passe réellement? Eh bien, beaucoup de gens des villages environnants visitent votre ville en suivant les panneaux et en se demandant pourquoi ils ne sont pas à Londres. Mais à part ça, rien ne change. Pourquoi?

Considérez quelqu'un qui vit au centre de l'Angleterre. Ils savent que Londres se trouve au sud. Ainsi, lorsqu'ils se rendent sur la route pour aller à Londres, ils suivent les panneaux indiquant «LE SUD» et continuent jusqu'à ce que les panneaux deviennent plus précis. En d'autres termes, leurs panneaux de signalisation indiquent toujours le vrai Londres. Leurs "tables de routage" n'ont pas changé. Le fait que votre ville ait décidé de changer son nom pour Londres leur est sans importance. Leurs itinéraires locaux ne sont pas assez spécifiques pour remarquer le changement.

Si vous décidez de changer votre adresse IP, les routeurs ailleurs ne s'en rendront pas soudainement compte. Les panneaux de signalisation ne changeront pas.

Chris McKeown
la source
13
C'est une très bonne comparaison.
Ami de Kim
En parlant de panneaux confus, je ne sais pas si le Royaume-Uni est pareil, mais aux États-Unis, il n’est pas rare d’avoir un panneau avant de tourner sur une autoroute faisant la publicité d’une ville située à des centaines de kilomètres de là. Quand j'étais enfant, je trouvais cela déroutant, car on pourrait être en Écosse et monter sur l'autoroute en espérant que Londres sera la prochaine ville surplombée ...
Michael, le
14
@Michael Au Royaume-Uni, par contre, il n'est pas rare de voir des signes qui disent réellement, simplement, "The South" .
EP
2
Il existe également la notion d'itinéraire par défaut sur les panneaux de signalisation: "Toutes directions" ou "Autres directions". Une fois en France, nous avons trouvé un passage qui avait les deux panneaux, mais pointant dans des directions différentes;)
MSalters
21

Considérons l'analogie de l'adresse de votre maison. Un jour, vous décidez de changer votre adresse de "123 First Street" à "1600 Pennsylvania Avenue". Quelle différence cela fait-il en dehors de vos propres limites de propriété? Aucune - car le reste du monde se comporte toujours comme si l'emplacement de votre maison n'avait pas changé, le nom de votre rue ne changeait pas, le nom de la ville ne changeait pas, le code postal ne changeait pas. . vous avez eu l'idée.

Le courrier, les colis, etc., seront "acheminés" vers votre domicile en fonction de son emplacement dans le réseau d'adresses de votre communauté. Le numéro de votre maison (ordinateur), par lui-même, n'est que le dernier et dernier arrêt (saut de réseau). Tout le long du chemin doit être en accord, doit être synchronisé et vous ne contrôlez que la fin du chemin.

Vous pouvez numéroter votre domicile (ou votre ordinateur) comme vous le souhaitez, mais pour que le trafic de votre réseau continue de circuler, vous devez le faire en synchronisation avec votre environnement. Pour changer l'adresse de votre maison, vous devez changer son numéro ET demander à la bureaucratie de changer le nom de votre rue ET changer le nom de votre ville ET votre code postal. De même, pour changer votre adresse IP en quelque chose en dehors de votre bloc alloué, vous devrez changer son numéro ET demander à votre fournisseur en amont de changer votre bloc alloué ET changer ses routeurs pour vous acheminer ce bloc ET annoncer ce via BGP vers leurs pairs de routage.

Dans les deux cas, vous synchronisez votre changement avec le monde extérieur pour que le monde extérieur sache vous trouver. Sinon, le trafic réseau ne peut plus vous retrouver - et la seule entité concernée par votre changement d'adresse est vous. Ce qui, sur le plan architectural, est une bonne chose!

AndroidNewbie
la source
10

Un FAI donné pourrait attribuer n’importe quelle adresse à n’importe quel client. Cependant, les adresses ne sont utiles que dans la mesure où elles peuvent acheminer des paquets entre elles et d'autres adresses. Un fournisseur de services Internet qui attribue des adresses en dehors de la plage attribuée par l'ICANN ne recevra pas les paquets acheminés vers / depuis cette adresse ou provoquera des erreurs de routage ailleurs sur Internet. C’est le genre de problème qui se produit lorsque certains des censeurs ou des filtres Internet nationaux tournent mal, ou parfois lorsque les FAI de haut niveau configurent mal leurs informations de routage.

Donc, oui, vous pouvez configurer un serveur interne avec les mêmes adresses que Google.com, army.mod.uk, etc. Mais vous n'obtiendrez probablement pas les paquets destinés à ces hôtes, du moins pas en dehors de votre routage. schème.

mpez0
la source
6

Si vous êtes un FAI, vous pouvez voler des plages IP entières. Les fournisseurs et les grandes entreprises, entre autres, ont ce qu’on appelle des systèmes autonomes identifiés par "AS" et une valeur entière sur 16 bits. Ces systèmes communiquent avec d'autres systèmes. Ils ont besoin d'un protocole pour indiquer aux autres systèmes quelles IP ils possèdent et à quel autre AS ils sont connectés, ainsi que des "coûts" pour la connexion. Entre AS, c'est généralement BGP .

Le problème, c'est que cela repose encore principalement sur la confiance. Si un fournisseur annonce qu'il possède désormais l'IP-Space de Google et que son coût est très bas, tous les autres systèmes envoient du trafic pour Google à ce fournisseur. Cela a été fait, par exemple avec Youtube lors d'une tentative de blocage par des responsables pakistanais au Pakistan. Il n'y a toujours pas de vraie solution technique. Cela fonctionne toujours fondamentalement. La plupart des fournisseurs sont passés d'un processus automatique à un processus semi-automatique, où ils définissent certains critères pour les modifications d'itinéraire annoncées par d'autres fournisseurs lorsqu'elles doivent être vérifiées par un humain. Mais Internet est trop gros pour tout vérifier. Ils ont donc des règles du type "si le SA a déjà fait quelque chose de mal auparavant, vérifiez manuellement".

Donc non, en tant que personne normale, vous ne pouvez pas voler une adresse IP. Mais si vous êtes un fournisseur suffisamment important, vous pouvez voler des plages IP complètes pendant au moins plusieurs heures, voire plusieurs jours. Si vous ne faites que cela pour de très petits sous-réseaux et essayez de rediriger le trafic vers la cible réelle, vous pourriez même vous en sortir avec un homme en pleine attaque sans que personne ne s'en aperçoive.

Il y a bien sûr aussi un article sur wikipedia !

Si vous voulez vous amuser , un bon début est l' outil d'information bgp de ouragan électrique. Il existe également un outil graphique. Vous pouvez entrer le numéro AS de votre fournisseur que le site vous indique et consulter les peerings utilisés par votre fournisseur.

Josef
la source
5

"Est-ce que le FAI peut gérer les FAI qu'il n'a pas achetés?"

La communication se passe essentiellement de la manière suivante: PC à la machine cible (soit un routeur, soit directement à la cible - déterminé par la machine émettrice via une comparaison de son adresse IP et de son masque de sous-réseau; si la cible ne se trouve pas sur le même sous-réseau, elle est envoyée à le routeur pour le routage).

Si un routeur reçoit un paquet à acheminer, il prend une décision similaire pour tous les sous-réseaux, il est également connecté directement. Il choisit le sous-réseau dans lequel envoyer le paquet via sa "table de routage". Remarque: La table de routage sur la machine cliente a été utilisée dans la première étape - essayez CMD: "Route Print" sous Windows.

Sur le dernier routeur du processus, celui avec l'adresse IP cible sur l'un de ses sous-réseaux connectés, le routeur envoie directement à l'hôte via son adresse MAC (éventuellement après utilisation de RARP).

Ainsi, les adresses IP sont utilisées pour acheminer les routeurs et ceux-ci savent comment acheminer leurs itinéraires en fonction d'un nombre limité d'informations. Les routeurs partagent des informations de manière dynamique sur les modifications d'itinéraire (disponibilité du sous-réseau du réseau), mais "ils peuvent le faire de manière authentifiée". Je ne peux pas commenter si l'authentification est imposée.

Si un fournisseur d'accès Internet «communique» les adresses IP aux hôtes via DHCP ou tout autre moyen, les données de la table de routage doivent exister pour que la communication bilatérale aboutisse. Il serait trivial d'identifier un FAI non autorisé. Même s'il existait une approche de confiance à différents niveaux, la censure des mises à jour de routage provenant du fournisseur de services Internet serait toujours triviale.

Martin O'Keefe
la source
4

L'enregistrement des adresses IP est régulé sur un réseau local par un type de routeur. Avec DHCP, un ordinateur demande si une adresse IP du routeur est attribuée et une adresse lui est attribuée. Mais une fois que vous souhaitez quitter votre réseau local, votre adresse IP est attribuée par votre FAI. Il existe des moyens d'usurper l'adresse IP dont provient un paquet, mais dès qu'il atteint l'un des routeurs du fournisseur de services Internet, l'adresse IP est remplacée par la sienne. La seule chose qui reste identique est l’adresse MAC, qui peut aussi être usurpée. Mais puisque votre adresse IP est remplacée sur le premier routeur, cela limite ce que vous pouvez faire.

Pour vous donner une réponse brève, le fournisseur de services Internet désigne tout ce qui se trouve sur un canal à associer à son adresse IP enregistrée. C'est un peu comme si je vous disais de choisir une carte et qu'il n'y en a qu'une. Les adresses IP locale et publique sont complètement séparées.

Pour plus d'informations, vous pouvez vérifier ceci http://en.wikipedia.org/wiki/IP_address_spoofing

Déchue
la source
1
Merci pour une bonne réponse. Cependant, je ne songe pas à ce que je change d'adresse IP sur mon réseau privé. Je parle d'entreprises connectées directement à Internet, comme par exemple des sociétés de serveurs Internet. Pour continuer votre exemple. Le fournisseur de services Internet peut-il commencer à distribuer des adresses IP qu'il n'a pas encore achetées?
Ami de Kim
1
Je crois que, au plus haut niveau des FAI, ce système repose sur la confiance. Mais je ne suis pas sur. Voici quelques informations supplémentaires: en.wikipedia.org/wiki/Tier_1_network , en.wikipedia.org/wiki/…
Fallen
5
Cette réponse est fausse sur quelques points. C'est en supposant que tout le monde utilise NAT, ce qui n'est pas le cas. C'est confondre NAT et routage. Et l’affirmation de conserver l’adresse MAC tout en ignorant l’adresse IP source est à l’inverse de ce qui se produit lorsqu’un paquet traverse une passerelle.
JdeBP
NAT est impliqué dans ma réponse, mais même sans NAT, cela ne changerait pas le fait que l'adresse IP attribuée par le FAI remplacerait l'adresse IP dans les paquets. À moins que les FAI ne considèrent de bonne foi que les adresses IP sont correctes et ne les modifient pas.
Décédé le
@Fallen: Mine vérifie les adresses IP, mais ne les touche pas du tout. Soit l'adresse IP est incorrecte et le paquet est abandonné , soit il est transmis. Personnellement, je ne connais pas beaucoup de FAI qui réécrivent les adresses IP, mais je crois comprendre que c'est plus courant en Asie (manque d'adresses IPv4)
MSalters
4

Vous pouvez "utiliser" n'importe quelle adresse IP pour les paquets que vous envoyez, mais la limitation concerne en fait les paquets que vous recevrez.

"Acheter" une plage d'adresses IP signifie qu'un groupe de personnes va configurer leurs routeurs de manière à ce que les paquets envoyés à cette plage d'adresses IP soient transférés plus près de vous, pour atteindre éventuellement un périphérique que vous contrôlez vous-même. Il est tout au sujet de maintenir beaucoup de tableaux de routage avec des listes en disant (un peu simplifié) « xxx.yyy. . Obtenir envoyé à gauche, xxx.zzz. . Obtenir envoyé à droite ».

"Il vous suffit de saisir" une adresse arbitraire si vous souhaitez contacter www.google.com, vous leur enverrez un paquet initial, mais le paquet de réponse sera transféré au propriétaire prévu, correctement configuré, et vous gagnerez. 'vois pas. Si vous avez saisi une adresse appartenant à votre voisin chez le même fournisseur de services Internet, le routeur du fournisseur de services Internet le plus proche de vous sera configuré pour envoyer tous ces messages à votre voisin, et non à vous. Si vous saisissiez une adresse au hasard, celle-ci serait probablement envoyée dans un autre coin du monde et la réponse ne serait même pas proche de votre fournisseur d'accès.

Comme pour le courrier postal, si vous habitez à Pyongyang mais souhaitez recevoir du courrier adressé à "1600 Pennsylvania Ave NW, Washington, DC 20500, États-Unis", il vous faudra convaincre (au moins un des services postaux) entre l'expéditeur et le propriétaire de l'adresse pour envoyer ces messages à votre guise. Cela est possible si tous les expéditeurs sont dans un réseau interne à l'entreprise. mais ce n'était probablement pas la question.

Peter est
la source
2

La fonction DHCP (Dynamic Host Configuration Protocol) du routeur auquel une personne est connectée attribue une adresse IP dans une plage spécifique. Vous ne pouvez pas simplement demander une adresse IP spécifique. Pour autant que je sache, une personne ne peut pas "usurper" une adresse IP.

Peter Fowler
la source
1
Merci pour une bonne réponse. Cependant, je ne songe pas à ce que je change d'adresse IP sur mon réseau privé. Je parle d'entreprises connectées directement à Internet, comme par exemple des sociétés de serveurs Internet. Pour continuer votre exemple. Le fournisseur de services Internet peut-il commencer à distribuer des adresses IP qu'il n'a pas encore achetées?
Ami de Kim
1
en fait, vous pouvez demander une adresse spécifique via DHCP. Le serveur peut décider s’il accepte votre demande, cependant.
BRPocock
@ Peter, il demande ce que vous êtes si vous êtes le DHCP.
Pacerier