IP地址规划,短期可能影响数年,长期可能影响数十年。1990年代初期的地址分配对2021年的互联网产生了巨大的影响。然而谁也没有料到当时互联网的发展如此之快,IPv4地址成为了稀缺资源。4月24日,据《华盛顿邮报》和美联社报道,美国国防部下属部门DefenseDigitalService(DDS)过去三个月在佛罗里达州注册的名称为GlobalResourceSystemsLLC(GRSCo.,Ltd.)名义上,属于美国国防部的地址段使用BGP(边界网关协议)向全球路由表公布。所谓公告地址就是让这些地址在互联网上可以直接访问。既然这些地址是美国国防部的,那么成立一个公司把这些地址公布在互联网上有什么问题呢?对遵循网络协议、正常分配内网地址的网络没有影响。但是,使用公网地址的内部网络可能会遇到两个问题:这种做法打破了互联网运行的规则,可能导致内部网络无法正常访问互联网服务。配置不当和不安全的网络将本应仅供内部使用的数据包发送到Internet。我们先讨论一下为什么内网使用公网地址。大部分读者都知道,国家近两年大力推广IPv6,目的就是要从根本上解决我国IPv4地址短缺的问题。IPv4地址短缺是全世界共同面临的问题,不仅互联网上“公网”IPv4地址短缺,各种NAT机制背后的“私网”IPv4地址也严重短缺。网络上更明显。以下地址仅在1月之前分配给美国国防部,并未使用BGP在全球范围内公布。Theseaddressesinclude:6.0.0.0-6.255.255.2557.0.0.0-7.255.255.255.0.0.0-11.255.25521.0.0.0-21.255.25522.0.0.255.255.0555.055.255.255.255.255.25.055.255.255.255.255.255.055.25555.255.05555.00.0-28.255.255.25529.0.0.0-29.255.255.25530.0.0.0-30.255.255.25533.0.0.0-33.255.255.25555.0.0.0-55.255.255.255214.0.0.0-214.255.255.255215.0.0.0-215.255.255.255如果你管理对于大中型网络,以上地址是内部使用的,请立即在网络边界封锁这些地址的访问。详细步骤见下文。RFC1918规定组织内部可以使用的三个私有网络地址段是:10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255最大的“私有网络”地址段是10.0.0.0-10.255.255.255,这是大中型网络的首选。第一段是10不变,第四段一般用来标识一个网络中的主机地址,第二段和第三段用来标识不同的部门或者地理位置,所以第二段和第三段结合起来确定一个/24易于识别的子网。这样的网络理论上最多可以承载2^16=65536个子网,但现实中的分布相当粗糙。为了便于人为识别,往往将几十个/24子网分配给某个功能块,如10.20.20.0/24、10.200.20.0/24。如果组织结构稍微复杂一点,或者变化频繁,地址很快就会分配不足。这时候,很多网络工程师会提出使用1、2、3、4、5、6、7、8、9、11、20、30、40、50……等看起来比较特殊的IP地址开始净使用。这就是为什么有些网络内部有这些奇怪的地址。现象一:内网无法正常访问Internet服务。上面的地址之前是使用BGP在网上公布的,貌似是没有问题的。但是,一旦这些地址开始在Internet上使用或出售,然后开始通过BGP公布它们,很快这些地址将开始托管各种Internet服务。但是,此时组织网络配置了这些本应属于公网地址的子网,用户会逐渐发现有些网站打不开。这是因为数据包在流经内网路由器时,受到路由表项的影响,在到达Internet出口之前,先被转发到内网对应的网段,而这些网段往往没有用户需要访问的服务.最经典的例子就是Cloudflare在2018年开始使用1.1.1.1提供DNS服务,结果很多用户无法访问。除了一些运营商的配置问题外,很多网络设备操作系统或默认配置都包含1.1.1.1。路由。现象二:只有内部数据包发往Internet。上述情况仅限于内网对应地址在互联网上提供服务,美国国防部在互联网上公布自己的地址的情况。这些地址不提供互联网服务。什么样的影响?很多错误配置的网络,当同时满足以下条件时,本应属于美国的数据包会到达美国国防部控制的GRS网络:使用不属于你的地址段(在这个例子中间是美军的地址)在内网路由表中没有对应的条目。边界网络设备上没有配置相应的ACL或安全策略来阻断这些地址。眼尖的读者一定注意到了,地址是经过特殊处理的。原本发往私有网络的数据包,最终会到达美国国防部控制的网络,存在严重的信息安全风险。GRS可以分析所有进入其网络的数据包:对于TCP会话,服务器可以响应客户端握手以获取泄露的敏感数据;UDP是无连接协议,客户端在发送敏感数据前不需要与服务器建立握手连接;统计单个原始地址发送的数据包的目的地址和端口,构建内网地址对应的服务器和端口列表。据公开资料显示,在中国的一些公有云、私有云和运营商内网中,一些已经分配给外国政府、军队和企业的公网地址被不同程度地使用。可以想象,内网使用公网地址的模式已经运行了很长时间,敏感数据因配置错误而流向互联网是不可避免的,并且正在发生。对于内网已经开始使用公网地址的网络,网络管理员应该如何补救呢?(1)查看自己网络的路由表,不属于RFC1918、RFC3927、RFC6598定义的地址范围,也不属于Internet,是运营商分配的公网地址或者CNNIC和APNIC等区域性NIC。(2)如果存在上述地址,补救方案应该分为两种情况:使用BGP与上级ISP互连。在运行BGP的Internet边界路由器上,使用route-map等路由策略工具在与ISP路由器关联的BGP配置中双向过滤掉上述地址。同时在边界设备上使用黑洞路由丢弃发往上述地址的数据包。与ISP没有BGP关系,只有ISP的终端客户。在边界路由器或防火墙上配置ACL、安全策略或黑洞路由,并在边界设备上丢弃发往上述地址的数据包。(3)实施修复方案后,选择内部使用公网地址的完整修复方案:将内部应用迁移到IPv6,完全避免使用IPv4地址。注意IPv6地址需要通过正常渠道申请获取。如果根本不需要上网,可以使用IPv6ULA地址段,即fc00::/7的后半地址fd00::/8。使用方法参考RFC4193。对于无法迁移到IPv6或预计使用时间不超过5-10年的应用,应制定IP重新分配计划,在过渡期间使用NAT帮助平滑过渡。(4)以后的网络地址规划应考虑以下几点:不要盗用已经分配给他人的IP地址。新网络首选IPv6单栈结构。IPv4和IPv6都应该在二进制边界划分地址段,明确内部地址范围,在网络边界进行配置。防止地址伪造和数据泄露的安全策略(IANAIPv4Special-PurposeAddressRegistry)(IANAIPv6Special-PurposeAddressRegistry)结论IP地址规划短期影响数年,长期影响数十年。1990年代初期的地址分配对2021年的互联网产生了巨大的影响。然而谁也没有料到当时互联网的发展如此之快,IPv4地址成为了稀缺资源。抱着侥幸心理使用他人拥有的地址,是违反互联网运营规则的行为。一方面,随着当年IPv4地址的转让和出售,对未来互联互通形成障碍。另一方面也给自身造成了极大的信息安全隐患。关于2020年6月美国国防部将出售这些IPv4地址块的消息以及后续:众议院关于处理IPv4地址的修正案包含一个条款(第1088条)。这将要求美国国防部在十年内出售IPv4地址块。参议院法案中没有类似的规定。众议院撤退了。资料来源:https://www.congress.gov/congressional-report/116th-congress/house-report/333/1
