¿Cómo se asignan realmente las direcciones IP?

Me cuesta entender cómo un órgano de gobierno asigna direcciones IP, las empresas usan BGP para anunciar esas IP y cómo funciona Internet. Entonces, ¿dónde demonios entra DNS?

¿Alguien puede sugerir una buena lectura de cómo funciona esto realmente? Supongo que tengo varias preguntas. La primera es: ¿importa realmente ARIN (o cualquier otro órgano de gobierno)? Si no estuvieran cerca, ¿habría caos? Cuando asignan un bloque, ¿no lo asignan LITERALMENTE? Tienes que usar BGP para anunciarte, ¿correcto? Siempre he estado acostumbrado a un entorno de alojamiento cerrado (dedicado / compartido) donde ha enrutado IP.

Entonces, ¿cómo entra DNS para jugar? Con mi registrador puedo registrar un servidor DNS (eNom), ¿qué significa eso realmente? He instalado Bind y he hecho que todo funcione, y ejecuto mis propios servidores DNS, pero ¿con quién están registrando ese servidor DNS? Simplemente no entiendo.

Siento que esto es algo que debería saber y no sé, y me estoy frustrando mucho. Es como ... simple ... ¿cómo funciona internet? Desde la asignación de IP, hasta las empresas que los enrutan, y DNS.

Supongo que tengo un ejemplo: tengo este espacio IP, digamos 158.124.0.0/16 (ejemplo). La compañía tiene 158.124.0.0/17 frente a internet. (En primer lugar, ¿por qué las empresas obtienen bloques de IP asignados y luego no los usan? ¿Por qué no usan el espacio interno reservado 10.xy 192.x?). Entonces, ahí es donde estoy. ¿Qué haría para obtener estas IP en Internet y disponibles? Digamos que tengo un centro de datos en Chicago y uno en Nueva York. No puedo cargar una imagen, pero puedo vincular una aquí: http://begolli.com/wp-content/gallery/tech/internetworkings.png

Solo estoy tratando de entender cómo, desde cuando se asigna el bloqueo de IP, a una compañía que usa BGP (¿logrando un AS # público?), Y luego, ¿cómo entra en juego DNS?

¿Cómo se vería algo de mi foto? Traté de armar un escenario, no estoy seguro si hice un buen trabajo.

Bloques de IP arrendados

La IANA asigna los IP en bloques a los Registros Regionales de Internet (RIR). Vea esto ( lista y mapa ) de los RIR. Luego, los RIR alquilan IP de bloques más pequeños a empresas individuales (generalmente ISP). Existen requisitos (incluidas las tarifas y la prueba de uso) para obtener una distribución y no mantenerlos significa una pérdida de arrendamiento.

Una vez que una empresa ha arrendado uno o más bloques del RIR, necesita alguna forma de decirle al resto del mundo dónde encontrar una IP en particular (o un conjunto de ellas: subredes). Aquí es donde entra en juego BGP. BGP utiliza un concepto de red grande llamado Sistema Autónomo (AS). El AS sabe cómo encaminarse dentro de sí mismo. Cuando se enruta a otra red, solo conoce AS Gateways y dónde está el "próximo salto" hacia esas direcciones externas. Los números AS también son administrados por IANA .

Dentro de un AS, incluso uno tan grande como un ISP, pueden usar varios protocolos de enrutamiento (RIP, OSPF, BGP, EIGRP e ISIS vienen a la mente) para enrutar el tráfico internamente. También es posible usar tablas de enrutamiento estático, pero no es práctico en la mayoría de las aplicaciones. Los protocolos de enrutamiento interno son un gran tema, por lo que simplificaré diciendo que hay otras preguntas sobre la falla del servidor que pueden hacer que esos temas sean más justos de lo que puedo aquí.

DNS

Los humanos no recuerdan bien los números, así que inventamos los nombres de host. Saltando el historial, usamos el Sistema de nombres de dominio (DNS) para realizar un seguimiento de qué nombre de host apunta a qué dirección IP. Hay un registro central para estos, también administrado por IANA, y determinan qué dominios de nivel superior (TLD) (por ejemplo, ".com" o ".net") van en la zona raíz, que es servida por los servidores raíz. IANA delega la administración de la "zona raíz", este administrador solo acepta actualizaciones de Registradores calificados.

Puede usar un registrador para "comprar" un nombre de dominio, que es un subdominio de un TLD. Este registro esencialmente crea ese subdominio y le asigna control sobre sus registros de Servidor de nombres (NS) y Glue (A). Los señala a un servidor DNS que aloja su dominio . Cuando un cliente quiere resolver su IP a partir de un nombre de dominio, el cliente se pone en contacto con su servidor DNS que realiza una búsqueda recursiva, comenzando por el servidor raíz, buscando su servidor DNS y eventualmente obteniendo la información relevante.

Todos estan de acuerdo

En cuanto a los "órganos de gobierno": todos aceptan usarlos. No hay (o muy pocas) leyes que requieran que alguien coopere en absoluto. Internet funciona porque las personas eligen cooperar . Los órganos rectores proporcionan un medio de cooperación fácil. Todos los diversos RFC, "Estándares", y demás, nadie se ve obligado a usarlos. Pero entendemos que la sociedad se basa en la cooperación, y es nuestro propio interés hacerlo.

La eficiencia generada por la cooperación es la misma razón por la que BGP es popular, básicamente todos aceptan usarla. En los días de ArpaNet comenzaron con tablas de rutas configuradas a mano; luego progresó gradualmente a un sistema más completo a medida que Internet creció en complejidad, pero todos simplemente "acordaron" usar cualquier nuevo estándar. De manera similar, la resolución de nombres indicó con los archivos host que las redes distribuirían, y eventualmente se convirtió en el sistema DNS que conocemos hoy. ("De acuerdo" entre comillas porque muchas veces una minoría estableció un requisito para un nuevo estándar y nadie más tenía una mejor alternativa, por lo que fue aceptado).

Confiar

Este nivel de cooperación requiere confiar mucho en la IANA. Como has visto, administran la mayoría de los núcleos de los diversos sistemas. Actualmente, la IANA es una corporación sin fines de lucro patrocinada por el gobierno de los EE. UU. (Similar a la oficina de correos de los EE. UU.), No es parte del gobierno, aunque apenas se eliminó. En los últimos años hubo preocupación de que el Gobierno de los EE. UU. Pudiera ejercer cierto control sobre la IANA como un "arma" contra otros gobiernos o civiles del mundo (particularmente a través de leyes como SOPA y PIPA, que no fueron aprobadas, pero pueden ser la base para futuras leyes) .

Actualmente, la IANA se ha encargado de recaudar fondos (a pesar de ser una empresa sin fines de lucro ) mediante la creación de nuevos TLD. El TLD "xxx" fue visto por algunos como una campaña de recaudación de fondos al estilo extorsionista, ya que un gran porcentaje de los solicitantes de registro estaban "defendiendo" su nombre. La IANA también ha aceptado solicitudes de TLD de propiedad privada (a $ 180,000 cada una; han suspendido el proceso de solicitud después de haber sido inundadas con aplicaciones, casi la mitad solo de Amazon. Muchas de estas aplicaciones dieron como resultado nuevos gTLD .

Todos los anuncios en la Internet pública, la DFZ (Zona libre predeterminada), se realizan a través de BGP (Border Gateway Protocol), la forma en que los ISP realizan un enrutamiento interno varía mucho. La mayoría usaría BGP internamente tanto entre sus propios enrutadores (BGP a menudo se usa junto con un IGP como OSPF) y también con clientes, si no tiene su propio número de AS, puede usar un AS privado para emparejarse con su ISP y cuando anuncian su espacio de direcciones al DFZ simplemente eliminan el AS privado de la ruta de acceso. Para enlaces no redundantes más pequeños, puede usar el enrutamiento estático también en el PE. La "asignación" real está solo en la base de datos de su registrador, la base de datos whois, RIPE / ARIN, etc. ejecutan sus propias bases de datos para este propósito.

Intente ejecutar el comando whois 158.124.0.0/16en una caja de Linux.

Lo mismo ocurre con DNS, el servidor DNS inverso se especifica en los registros whois.

Esta es una pregunta muy antigua, pero tenía muchas de las mismas preguntas para averiguar cómo funciona Internet . Al igual que las otras respuestas, los libros de redes ofrecen una visión general de BGP y DNS, pero aún así me dejaron confundido. Por ejemplo, a.root-servers.net a través de m.root-servers.net se proporcionan como servidores raíz, pero ¿cómo sabe un servicio DNS dónde encontrar esos servidores si no pueden usar DNS ellos mismos?

Los principios básicos de IP, subredes, DNS, etc. se suponen conocidos por esta respuesta. Estoy abordando las "brechas" que yo, y probablemente el interrogador, tengo sobre cómo funciona Internet. De ninguna manera soy un experto, pero esta es mi comprensión de las brechas.

Direcciones IP

Lo primero a tener en cuenta es que cuando Internet comenzó como ARPANET, todos conocían a todos y las tablas de enrutamiento para las direcciones IP fueron codificadas a mano. Supongo que el proceso de asignación de IP se realizó por teléfono. A medida que Internet se hizo demasiado grande, BGP fue utilizado por múltiples redes (AS) para anunciar que tenían IP públicas o que podían acceder a una IP pública a través de su AS a otro AS. La confianza era que un AS no anunciaría una IP que no tenía.

Hoy, no hay tanta confianza. En cambio, los ISP pueden descargar y autenticar las asignaciones de IP a cada AS desde la IANA y las autoridades regionales. Estas descargas ahora se autentican mediante criptografía de clave pública. Entonces, cuando IANA "asigna una dirección IP", están cambiando su registro (o realmente la autoridad regional cambia su registro). Todos los demás AS pueden descargar y autenticar sus registros.

Estos registros son importantes porque los ISP no pueden tomar la palabra de otros ISP de que tienen las direcciones IP. Los ISP pueden comparar el anuncio BGP con los registros IP autenticados. Si algún anuncio de BGP muestra el último AS como un AS distinto de lo que está en el registro autenticado de IANA y RIR, el anuncio de BGP no cambia su propia ruta.

Más comúnmente, un ISP o AS no autorizado puede anunciar que tiene una ruta a través de su AS que no tiene. AS1 tiene una IP registrada y AS5 actualmente usa AS5 -> AS4 -> AS3 -> AS1 -> IP. AS2 anuncia a AS5 una ruta de AS5 -> AS2 -> AS1 -> IP. Excepto que AS2 en realidad no tiene una conexión con AS1. Simplemente puede perder los paquetes, tal vez para frustrar a los clientes de alojamiento de AS1. O AS2 podría ser una red de una pequeña empresa con un acuerdo de alojamiento múltiple con AS5 y AS1. Su enrutador está mal configurado y anuncia una ruta a través de la red de una pequeña empresa. Casi todos los ISP tiran dichos anuncios de sus clientes de BGP y solo transmiten la terminación de los anuncios de BGP.

Lo más probable es que tenga el caso de Pakistán tratando de cerrar Youtube en Pakistán a través de ese secuestro de IP, y también cerró Youtube fuera de Pakistán ya que los AS fuera de Pakistán asumieron que sus anuncios de BGP eran correctos.

Al final, no hay una defensa perfecta contra tal secuestro de IP. En la mayoría de los países como los EE. UU., Dicho abuso de BGP puede ser castigado como incumplimiento de contrato y otros ISP cerrarán las conexiones entre pares con ese AS si es necesario. Un ISP también podría ignorar todo el aparato IANA y RIR y redirigir las direcciones IP a sus propios servidores. Sin embargo, eso no funcionará para ningún sitio https, suponiendo que el ISP no tenga las claves privadas para ninguna CA. Hay muy poco que ganar económicamente. Solo sucede con gobiernos autoritarios, como Egipto que recientemente cerró todos los anuncios de BGP a sus ISP desde fuera del país.

Servidores DNS

DNS es algo más simple una vez que las tablas IP son correctas. Los servidores raíz son todas direcciones IP codificadas en el código del servidor DNS. a.root-servers.net es 198.41.0.4 y la dirección IP se difunde en un AS. En el caso de a.root-servers.net, el AS es Verisign y hay cinco sitios diferentes. En los Estados Unidos, los dos sitios son Nueva York y Los Ángeles. Cualquier difusión es como si tuviera una dirección de 123 Main Street y dijera "No importa en qué ciudad se encuentre, vaya a 123 Main Street y encontrará uno de mis negocios". Tanto 123 Main Street en NY como LA darán la misma respuesta para todos los dominios de nivel superior. El AS, en este caso Verisign, determina internamente qué servidor tiene la menor cantidad de saltos a través de OSPF, BGP interno y otros protocolos de enrutamiento. Entonces, un enrutador en Denver puede ir a LA mientras que un enrutador en Chicago va a Nueva York.

Uno de los servidores raíz proporciona qué dirección IP para el dominio de nivel superior com. Entonces ese dominio le da el dominio para yoursite.com. Los registradores realmente tienen un contrato con quien administra el dominio de nivel superior. Entonces, si el dominio de nivel superior actualmente no tiene un registro para yoursite.com, tiene acceso para agregar un registro con su servidor who-is. Luego, con el acceso que el registrador le dio a los registros DNS de yoursite.com, usted cambia los registros en su servidor DNS para ir a su dirección IP.

Debido a que todo el DNS depende de que varias direcciones IP vayan al lugar correcto, tiene el mismo problema que antes con los AS que autentican el registro IP y luego las asignaciones BGP. Esa es la pieza clave para un sitio web http. Https tiene la protección adicional de los certificados. Por lo tanto, un ISP no puede redirigir las solicitudes de sus propios servidores raíz y servidores de dominio de nivel superior para dar su propia IP para, por ejemplo, citibank.com. Si lo hicieran, la dirección IP dada al usuario será una dirección IP diferente, pero su servidor no tendrá la clave privada de Citibank.

y no, no estoy bromeando (comencé con este libro hace 15 años, pero sigue siendo muy relevante): http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749

Entonces, regrese aquí con las preguntas BGP =)