Мне сложно понять, как руководящий орган назначает IP-адреса, компании используют BGP для рекламы этих IP-адресов и как работает Интернет. Тогда где же тут DNS?
Может ли кто-нибудь подсказать, как это работает на самом деле? Полагаю, у меня есть несколько вопросов. Во-первых, действительно ли имеет значение ARIN (или любой другой руководящий орган)? Если бы их не было, был бы хаос? Когда они назначают блок, они БУКВАЛЬНО не назначают его? Вы должны использовать BGP для рекламы, верно? Я всегда привык к закрытой среде хостинга (выделенной / совместно используемой), где вы маршрутизируете IP-адреса.
Тогда как же в игру вступает DNS? С помощью моего регистратора я могу зарегистрировать DNS-сервер (eNom) - что это на самом деле означает? Я установил Bind и все это сделал, и у меня есть собственные DNS-серверы, но у кого они регистрируют этот DNS-сервер? Я просто не понимаю.
Я чувствую, что это то, что я должен знать, а я нет, и я действительно расстраиваюсь. Это вроде .. просто .. как интернет работает? От назначения IP-адресов до компаний, которые их маршрутизируют, и DNS.
Думаю, у меня есть пример - у меня есть IP-пространство, скажем, 158.124.0.0/16 (пример). Компания имеет выход в Интернет 158.124.0.0/17. (Прежде всего, почему компании получают блоки назначенных IP-адресов, а затем не используют их? Почему они не используют зарезервированное внутреннее пространство 10.x и 192.x?). Итак, вот где я нахожусь. Что бы я сделал, чтобы эти IP-адреса были доступны в Интернете? Допустим, у меня есть дата-центр в Чикаго и один в Нью-Йорке. Я не могу загрузить изображение, но могу связать его здесь: http://begolli.com/wp-content/gallery/tech/internetworkings.png
Я просто пытаюсь понять, как с момента назначения блока IP до компании, использующей BGP (получение общедоступного AS #?), А затем как DNS вступает в игру?
Как будет выглядеть моя фотография? Я попытался составить сценарий, не уверен, что хорошо поработал.
IP-адреса назначаются IANA в блоках региональным интернет-регистратурам (RIR). Посмотри это (список и карта) RIR. Затем RIR сдают в аренду IP-адреса меньшего размера отдельным компаниям (обычно ISP). Существуют требования (включая сборы и подтверждение использования) для получения распределения, и невыполнение этих требований означает потерю аренды.
После того, как компания арендует один или несколько блоков у RIR, ей нужен способ сообщить остальному миру, где найти конкретный IP-адрес (или его набор: подсети). Здесь в игру вступает BGP. BGP использует большая сеть концепция называется автономной системой (AS). AS знает, как маршрутизировать внутри себя. При маршрутизации в другую сеть он знает только о шлюзах AS и о том, где «следующий переход» к этим внешним адресам. Номера AS под управлением IANA также.
Внутри AS, даже такой большой, как ISP, они могут использовать несколько протоколов маршрутизации (на ум приходят RIP, OSPF, BGP, EIGRP и ISIS) для внутренней маршрутизации трафика. Также можно использовать статические таблицы маршрутизации, но это совершенно непрактично в большинстве приложений. Протоколы внутренней маршрутизации - огромная тема, поэтому я упрощу, сказав, что есть другие вопросы по сбоям сервера, которые могут объяснить эти темы лучше, чем я могу здесь.
Люди плохо запоминают числа, поэтому мы придумали имена хостов. Пропуская историю, мы используем систему именования доменов (DNS), чтобы отслеживать, какое имя хоста указывает на какой IP-адрес. Для них существует центральный реестр, который также управляется IANA, и они определяют, какие домены верхнего уровня (TLD) (например, «.com» или «.net») входят в корневую зону, которая обслуживается корневыми серверами. IANA делегирует администрирование «корневой зоны», этот администратор принимает обновления только от квалифицированных регистраторов.
Вы можете использовать Регистратора для «покупки» доменного имени, которое является поддоменом TLD. Эта регистрация по сути создает этот субдомен и дает вам контроль над его записями Name Server (NS) и Glue (A). Вы указываете их на DNS-сервер, на котором размещен ваш домен.. Когда клиент хочет разрешить ваш IP-адрес из доменного имени, он обращается к своему DNS-серверу, который выполняет рекурсивный поиск, начиная с корневого сервера, находя ваш DNS-сервер и в конечном итоге получая соответствующую информацию.
Что касается «органов управления»: все соглашаются их использовать. Нет (или очень мало) законов, требующих от кого-либо вообще сотрудничать. Интернет работает, потому что люди предпочитают сотрудничать. Руководящие органы обеспечивают удобное сотрудничество. Все различные RFC, «Стандарты» и тому подобное - никого не заставляют их использовать. Но мы понимаем, что общество построено на сотрудничестве, и это в наших собственных интересах.
Эффективность, порожденная сотрудничеством, - это та же причина популярности BGP, все в основном соглашаются использовать его. Во времена ArpaNet они начали с вручную настроенных таблиц маршрутов; затем постепенно перешла к более всеобъемлющей системе по мере того, как Интернет становился все более сложным, но все просто «соглашались» использовать любой новый стандарт. Точно так же разрешение имен заявлено с файлами хостов, которые будут распространяться сетями, и в конечном итоге превратилось в систему DNS, которую мы знаем сегодня. («Согласовано» в кавычках, потому что много раз меньшинство выдвигало требование о новом стандарте, и ни у кого не было лучшей альтернативы, поэтому он был принят).
Такой уровень сотрудничества требует большого доверия к IANA. Как вы видели, они управляют большинством ядер различных систем. В настоящее время IANA является некоммерческой корпорацией, спонсируемой правительством США (по аналогии с почтовым отделением США), она не входит в состав правительства, хотя и едва удалена. В прошлые годы существовало опасение, что правительство США может осуществлять определенный контроль над IANA как «оружием» против правительств других стран или гражданского населения (в частности, посредством таких законов, как SOPA и PIPA, которые не были приняты, но могут стать основой для будущих законов) .
В настоящее время IANA взяла на себя ответственность по привлечению финансирования (несмотря на то, что некоммерческий company) путем создания новых TLD. Некоторые рассматривали TLD «xxx» как кампанию по сбору средств в стиле вымогателей, поскольку значительный процент регистрантов «защищал» свое имя. IANA также принимала заявки на ДВУ, находящиеся в частной собственности (по цене 180 000 долларов США каждый; они приостановили процесс подачи заявок после того, как их завалили приложениями, почти половина которых поступила только от Amazon. Многие из этих приложений привели к новые gTLD.
Вся реклама в общедоступном Интернете, DFZ (зона, свободная по умолчанию), осуществляется через BGP (протокол пограничного шлюза), а способы внутренней маршрутизации интернет-провайдеров сильно различаются. Большинство из них будут использовать BGP внутри как между своими собственными маршрутизаторами (BGP часто используется в сочетании с IGP, например OSPF), так и с клиентами, если у вас нет собственного номера AS, вы можете использовать частную AS для однорангового взаимодействия. вашего интернет-провайдера, и когда они объявляют ваше адресное пространство в DFZ, они просто удаляют частную AS из as-path. Для меньших по размеру нерезервированных каналов вы также можете использовать статическую маршрутизацию на PE. Фактическое «назначение» находится только в базе данных вашего регистратора, база данных whois, RIPE / ARIN и т. Д. Запускают свои собственные базы данных для этой цели.
Попробуйте запустить команду whois 158.124.0.0/16 в ящике Linux.
То же самое и с DNS, обратный DNS-сервер указан в записях whois.
Это очень старый вопрос, но при выяснении того, как Интернет работает. Как и другие ответы, сетевые книги дают обзор BGP и DNS, но все же меня смущают. Например, от a.root-servers.net до m.root-servers.net указаны как корневые серверы, но как служба DNS знает, где найти эти серверы, если они не могут использовать DNS сами.
Предполагается, что из этого ответа известны основы IP, подсетей, DNS и т. Д. Я обращаюсь к "пробелам", которые есть у меня и, вероятно, у спрашивающего, в том, как работает Интернет. Я ни в коем случае не эксперт, но это мое понимание пробелов.
IP-адреса
Прежде всего следует отметить, что когда Интернет начинался как ARPANET, все знали всех, и таблицы маршрутизации для IP-адресов были вручную закодированы. Я предполагаю, что процесс присвоения IP-адресов производился по телефону. Поскольку Интернет стал слишком большим, BGP использовался множеством сетей (AS), чтобы объявить, что у них есть общедоступные IP-адреса или они могут получить доступ к общедоступному IP-адресу через свою AS в другую AS. Была уверенность, что AS не будет рекламировать IP-адрес, которого у них нет.
Сегодня доверия не так много. Вместо этого интернет-провайдеры могут загружать и аутентифицировать выделение IP для каждой AS от IANA и региональных властей. Эти загрузки теперь проверяются с помощью криптографии с открытым ключом. Поэтому, когда IANA «назначает IP-адрес», они меняют свою запись (или, в действительности, региональный орган меняет свою запись). Все остальные AS могут загружать и аутентифицировать свои записи.
Эти записи важны, потому что интернет-провайдеры не могут поверить другим провайдерам в том, что у них есть IP-адреса. Интернет-провайдеры могут сравнивать рекламу BGP с аутентифицированными записями IP. Если какое-либо объявление BGP показывает последнюю AS как AS, отличную от той, которая содержится в аутентифицированной записи IANA и RIR, объявление BGP не изменяет их собственную маршрутизацию.
Чаще всего мошеннический интернет-провайдер или автономная система могут объявить, что у них есть маршрут. через их AS у них нет. AS1 имеет зарегистрированный IP, а AS5 в настоящее время использует AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 объявляет AS5 маршрут AS5 -> AS2 -> AS1 -> IP. За исключением того, что AS2 фактически не имеет связи с AS1. Он может просто потерять пакеты, возможно, чтобы расстроить клиентов хостинга AS1. Или AS2 может быть сетью небольшой компании с многосетевым расположением с AS5 и AS1. Их маршрутизатор неправильно настроен и объявляет путь через сеть небольшой компании. Почти все интернет-провайдеры выбрасывают такую рекламу своих клиентов BGP и передают только объявления о прекращении связи с BGP.
Более вероятно, что у вас есть случай, когда Пакистан пытается отключить Youtube в Пакистане с помощью такого перехвата IP, а также отключение Youtube за пределами Пакистана, поскольку AS за пределами Пакистана предположили, что их реклама BGP была правильной.
В конце концов, не существует идеальной защиты от такого захвата IP. В большинстве стран, таких как США, такое злоупотребление BGP может быть наказано как нарушение контракта, и другие интернет-провайдеры отключат пиринговые соединения с этой AS, если им потребуется. Интернет-провайдер мог также игнорировать весь аппарат IANA и RIR и перенаправлять IP-адреса на свои собственные серверы. Однако это не сработает для любых сайтов https, если у интернет-провайдера нет закрытых ключей для какого-либо центра сертификации. Экономической выгоды от этого очень мало. Это происходит только с авторитарными правительствами, такими как Египет, недавно отключивший всю рекламу BGP своим интернет-провайдерам из-за пределов страны.
DNS-серверы
DNS несколько проще, если таблицы IP-адресов верны. Все корневые серверы - это жестко записанные IP-адреса в коде DNS-сервера. a.root-servers.net - 198.41.0.4, а IP-адрес является произвольным в пределах одной AS. В случае a.root-servers.net AS - это Verisign, и существует пять различных сайтов. В США это два сайта: Нью-Йорк и Лос-Анджелес. Anycasting - это как если бы у вас был адрес 123 Main Street и вы сказали: «Неважно, в каком вы городе, идите на 123 Main Street, и вы найдете один из моих предприятий». И 123 Main Street в Нью-Йорке, и в Лос-Анджелесе дадут одинаковый ответ для всех доменов верхнего уровня. AS, в данном случае Verisign, определяет внутренне, какой сервер имеет наименьшее количество переходов через OSPF, внутренний BGP и другие протоколы маршрутизации. Таким образом, маршрутизатор в Денвере может идти в Лос-Анджелес, а маршрутизатор из Чикаго - в Нью-Йорк. Тот же процесс маршрутизации может использоваться для хостов Anycast, поскольку хосты не предлагают маршрутизацию трафика.
Один из корневых серверов дает IP-адрес для домена верхнего уровня com. Затем этот домен предоставляет домен для yoursite.com. У регистраторов действительно есть контракт с тем, кто управляет доменом верхнего уровня. Поэтому, если домен верхнего уровня в настоящее время не имеет записи для yoursite.com, у него есть доступ для добавления записи со своим сервером who-is. Затем, получив доступ, который регистратор предоставил вам к записям DNS yoursite.com, вы измените записи на их сервере DNS, чтобы перейти на свой IP-адрес.
Поскольку все DNS зависит от нескольких IP-адресов, идущих в нужное место, у вас есть та же проблема, что и раньше, с аутентификацией AS в реестре IP, а затем с назначениями BGP. Это ключевой элемент для веб-сайта http. Https имеет дополнительную защиту сертификатов. Таким образом, интернет-провайдер не может перенаправлять запросы для своих собственных корневых серверов и серверов доменов верхнего уровня, чтобы предоставить свой собственный IP-адрес, например, для citibank.com. В противном случае IP-адрес, предоставленный пользователю, будет другим IP-адресом, но на их сервере не будет закрытого ключа Ситибанка.
и нет, я не шучу (я начал с этой книги 15 лет назад, но она до сих пор очень актуальна): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749
Тогда возвращайтесь сюда с вопросами BGP =)
