web-dev-qa-db-ja.com

実際にIPアドレスはどのように割り当てられますか?

管理機関がIPアドレスを割り当てる方法、企業がBGPを使用してそれらのIPをアドバタイズする方法、およびインターネットの仕組みを理解するのに苦労しています。では、DNSは一体どこにあるのでしょうか。

誰かがこのものが実際にどのように機能するかについての良い読みを提案できますか?いくつか質問があると思います。 1つ目は、ARIN(またはその他の統治機関)が実際に重要かどうかです。もし彼らがいなかったら、混乱はありますか?彼らがブロックを割り当てるとき、彼らは文字通りそれを割り当てませんか?宣伝するにはBGPを使用する必要がありますか?私は常に、IPをルーティングするクローズドホスティング環境(専用/共有)に慣れています。

では、DNSはどのように機能するのでしょうか。レジストラを使用して、DNSサーバー(eNom)を登録できます-実際にはどういう意味ですか? Bindをインストールしてすべてを機能させ、自分のDNSサーバーを実行していますが、そのDNSサーバーをだれが登録しているのですか。わかりません。

これは私が知っておくべきことであり、知らないことだと感じています。本当にイライラしています。それは..シンプルです。インターネットはどのように機能しますか? IPの割り当てから、それらをルーティングする企業、およびDNSまで。

私は例があると思います-このIPスペースがあるとしましょう158.124.0.0/16(例)としましょう。同社は158.124.0.0/17のインターネットに面しています。 (まず、なぜ企業はIPのブロックが割り当てられ、それを使用しないのですか?予約済みの内部スペース10.xと192.xを使用しないのはなぜですか?)それで、私はそこにいます。これらのIPを実際にインターネットで入手して利用するにはどうすればよいですか?シカゴとニューヨークにデータセンターがあるとします。写真をアップロードすることはできませんが、ここにリンクすることができます: http://begolli.com/wp-content/gallery/tech/internetworkings.png

IPブロックが割り当てられたときから、BGPを使用している会社(パブリックAS#を取得している)にどのようにしてDNSが参加するのかを理解しようとしています。

私の写真から何が見えるでしょうか?シナリオをまとめようとしましたが、うまくできたかどうかはわかりません。

18
Vegim

リースされたIPブロック

IPはIANAによって地域インターネットレジストリ(RIR)にブロックで割り当てられます。 RIRのこの( リストとマップ )を参照してください。次に、RIRはより小さなブロックIPを個々の企業(通常はISP)にリースします。配布物を入手し、これらを維持できない場合はリースの損失を意味する要件(料金と使用証明を含む)があります。

企業がRIRから1つ以上のブロックをリースすると、特定のIP(またはそのセット:サブネット)の場所を世界中に知らせる何らかの方法が必要になります。これがBGPの出番です。 BGPは大規模ネットワーク自律システム(AS)と呼ばれる概念を使用します。 ASはそれ自体の中でルーティングする方法を知っています。別のネットワークにルーティングする場合、ASゲートウェイと、それらの外部アドレスへの「ネクストホップ」についてのみ知っています。 AS番号は IANAが管理 でもあります。

AS内では、ISPと同じ大きさでも、複数のルーティングプロトコル(RIP、OSPF、BGP、EIGRP、およびISISが思い浮かぶ)を使用して、内部的にトラフィックをルーティングします。静的ルーティングテーブルを使用することも可能ですが、ほとんどのアプリケーションではまったく実用的ではありません。内部ルーティングプロトコルは非常に大きなトピックであるため、ここでは、サーバーフォールトについて、これらのトピックよりも適切に実行できる他の質問があることを簡単に説明します。

DNS

人間は数字をよく覚えていないため、ホスト名を考案しました。履歴をスキップして、ドメインネームシステム(DNS)を使用して、どのホスト名がどのIPアドレスを指しているかを追跡します。 IANAによって管理されるこれらの中央レジストリがあり、ルートサーバーがサービスを提供するルートゾーンにどのトップレベルドメイン(TLD)(「.com」や「.net」など)が入るかを決定します。 IANAは「ルートゾーン」の管理を委任します。この管理者は、資格のあるレジストラからの更新のみを受け入れます。

レジストラを使用して、TLDのサブドメインであるドメイン名を「購入」できます。この登録により、基本的にそのサブドメインが作成され、ネームサーバー(NS)およびグルー(A)レコードの制御が割り当てられます。 これらをドメインをホストするDNSサーバーにポイントします 。クライアントがドメイン名からIPを解決したい場合、クライアントはDNSサーバーに接続します。DNSサーバーは再帰的なルックアップを行い、ルートサーバーから始めてDNSサーバーを見つけ、最終的に関連情報を取得します。

みんな同意する

「統治体」に関しては、誰もがそれらを使用することに同意するだけです。誰もが協力することを要求する法律はありません(またはごくわずか)。 人々が協力することを選択するため、インターネットは機能します。統治機関は簡単な協力の手段を提供します。すべてのさまざまなRFC、「標準」など-それらを使用することを強制されている人はいません。しかし、社会は協力の上に成り立っていることを理解しており、そうすることは私たち自身の利益のためです。

協力によって生まれる効率性は、BGPが普及しているのと同じ理由であり、基本的に誰もがそれを使用することに同意しています。 ArpaNetの時代には、手作業で構成されたルートテーブルから始めました。その後、インターネットの複雑さが増すにつれ、徐々により包括的なシステムに移行しましたが、誰もが新しい標準を使用することを「同意」しました。同様に、ネットワークが配布するホストファイルで名前解決が述べられ、最終的には今日私たちが知っているDNSシステムに成長しました。 (少数派が新しい標準の要件を設定し、他に誰もより良い代替案を持っている人がいないため、それが受け入れられたため、引用符で「同意」しました。).

信頼

このレベルの協力には、IANAを信頼する必要があります。あなたが見たように、彼らは様々なシステムのコアのほとんどを管理します。 IANAは現在、米国政府が後援する非営利法人(米国郵便局と同様)であり、政府の一部ではありませんが、ほとんど削除されていません。過去数年間、米国政府がIANAを他の世界政府または民間人に対する「武器」として管理する可能性があるとの懸念がありました(特に、通過しなかったが、将来の法律の基礎となる可能性があるSOPAやPIPAなどの法律を通じて)。 。

現在、IANAは、新しいTLDの作成を通じて(非営利会社であるにもかかわらず)資金調達を自力で行っています。 「xxx」TLDは、登録者の大部分が自分たちの名前を「擁護」していたため、恐喝主義的なスタイルの募金キャンペーンと見なされていました。 IANAはまた、個人所有のTLD($ 180,000で)のアプリケーションを採用しました。アプリケーションが殺到した後、アプリケーションプロセスを一時停止しました。ほぼ半分がAmazonだけからのものです。これらのアプリケーションの多くは 新しいgTLD をもたらしました。

23
Chris S

パブリックインターネットであるDFZ(デフォルトフリーゾーン)へのすべてのアドバタイズは、BGP(ボーダーゲートウェイプロトコル)を介して行われ、ISPの内部ルーティングの方法は大きく異なります。ほとんどは、内部でBGPを使用するだけでなく、独自のルーター間(BGPはOSPFなどのIGPと組み合わせて使用​​されることが多い)とクライアントの両方で使用します。独自のAS番号がない場合は、プライベートASを使用してピアリングできます。 ISPは、アドレススペースをDFZにアナウンスするとき、as-pathからプライベートASを削除するだけです。小規模な非冗長リンクの場合は、PEでも静的ルーティングを使用できます。実際の「割り当て」は、レジストラのデータベースにあります。whoisデータベース、RIPE/ARINなどは、この目的で独自のデータベースを実行します。

Linuxボックスでwhois 158.124.0.0/16コマンドを実行してみてください。

同じことがDNSにも当てはまり、リバースDNSサーバーはwhoisレコードで指定されます。

5
HampusLi

これは非常に古い質問ですが、インターネットのしくみを理解する上で同じ質問がたくさんありました。他の回答と同様に、ネットワーキングブックはBGPとDNSの概要を示していますが、それでも混乱しました。たとえば、a.root-servers.netからm.root-servers.netまでがルートサーバーとして指定されていますが、DNSサービスがDNSを使用できない場合に、それらのサーバーの場所をDNSサービスがどのように知るのでしょうか。

IP、サブネット、DNSなどの基本は、この回答で認識されていると想定されています。私は「ギャップ」に取り組んでいます。おそらく質問者は、インターネットの仕組みについて理解しています。私は決して専門家ではありませんが、これはギャップに関する私の理解です。

IPアドレス

最初に注意すべきことは、インターネットがARPANETとして始まったとき、誰もが誰でも知っていて、IPアドレスのルーティングテーブルが手動でコーディングされていたことです。 IPの割り当てプロセスは電話で行われたと思います。インターネットが大きくなりすぎると、BGPは複数のネットワーク(AS)で使用され、パブリックIPを持っていることを宣伝したり、ASを介して別のASにパブリックIPに到達したりすることができました。 ASが持っていないIPをアドバタイズしないという信頼がそこにありました。

今日、それほど信頼はありません。代わりに、ISPはIANAおよび地域当局から各ASへのIP割り当てをダウンロードして認証できます。これらのダウンロードは、公開鍵暗号によって認証されます。したがって、IANAが「IPアドレスを割り当てる」と、彼らは記録を変更します(実際には、地域当局が記録を変更します)。他のすべてのASは、レコードをダウンロードして認証できます。

ISPはIPアドレスを持っているという他のISPの言葉を受け入れることができないため、これらのレコードは重要です。 ISPは、BGPアドバタイズメントを認証済みIPレコードと比較できます。 BGPアドバタイズメントが最後のASをIANAおよびRIRの認証済みレコード以外のASとして示している場合、BGPアドバタイズメントは自身のルーティングを変更しません。

より一般的には、不正なISPまたはASは、自分が持っていないASを経由してthroughをアドバタイズできます。 AS1にはIPが登録されており、AS5は現在AS5-> AS4-> AS3-> AS1-> IPを使用しています。 AS2はAS5にAS5-> AS2-> AS1-> IPのルートをアドバタイズします。ただし、AS2は実際にはAS1と接続していません。パケットを失うだけで、AS1のホスティング顧客を苛立たせている可能性があります。または、AS2は、AS5とAS1を使用したマルチホーム構成の小規模な企業ネットワークでもかまいません。彼らのルーターは正しく設定されておらず、小規模な企業ネットワークを介してパスをアドバタイズします。ほぼすべてのISPは、そのようなBGP顧客の広告を破棄し、BGP広告の終端のみを渡します。

より可能性が高いのは、そのようなIPハイジャックによってパキスタンのYoutubeを遮断しようとしているパキスタンの事例であり、パキスタンの外部のASはBGPアドバタイズメントが正しいと想定していたため、パキスタンの外部のYoutubeも遮断しました。

結局のところ、そのようなIPハイジャックに対する完全な防御策はありません。米国のようなほとんどの国では、このようなBGPの悪用は契約違反として罰せられる可能性があり、他のISPは必要に応じてそのASとのピアリング接続を遮断します。 ISPはまた、IANAとRIR装置全体を無視し、IPアドレスを自身のサーバーにリダイレクトします。ただし、ISPにCAの秘密鍵がないと仮定すると、これはhttpsサイトでは機能しません。経済的にそれから得るものはほとんどありません。これは、エジプトなどの権威主義政府が最近、国外からISPへのすべてのBGP広告を遮断した場合にのみ発生します。

DNSサーバー

IPテーブルが正しければ、DNSはいくぶん単純になります。ルートサーバーは、すべてDNSサーバーコードにハードコードされたIPアドレスです。 a.root-servers.netは198.41.0.4で、IPアドレスは1つのAS内のエニーキャストです。 a.root-servers.netの場合、ASはVerisignであり、5つの異なるサイトがあります。米国では、2つのサイトはニューヨークとロサンゼルスです。エニーキャスティングは、あなたが123 Main Streetの住所を持っていて、「あなたがどの町にいるかは関係ありません。123Main Streetに行けば私のビジネスの1つが見つかります」と言ったようなものです。 NYとLAの123 Main Streetは、すべてのトップレベルドメインに同じ回答を提供します。 AS(この場合はVerisign)は、OSPF、内部BGP、およびその他のルーティングプロトコルを介してホップが最も少ないサーバーを内部で特定します。したがって、シカゴのルーターがニューヨークに行く間、デンバーのルーターはLAに行くかもしれません。ホストはトラフィックのルーティングを提供しないため、同じルーティングプロセスをエニーキャストホストに使用できます。

ルートサーバーの1つが、comトップレベルドメインのIPアドレスを提供します。次に、そのドメインはyoursite.comのドメインを提供します。レジストラは、トップレベルドメインを実行する人と実際に契約を結んでいます。したがって、トップレベルドメインにyoursite.comのレコードがない場合は、who-isサーバーでレコードを追加するアクセス権があります。次に、レジストラからyoursite.comのDNSレコードにアクセスできるようにして、DNSサーバーのレコードを変更してIPアドレスに移動します。

DNSはすべて適切な場所に行く複数のIPアドレスに依存しているため、ASがIPレジストリを認証してからBGP割り当てを認証することで、以前と同じ問題があります。これは、http Webサイトの重要な部分です。 Httpsには、証明書の保護が追加されています。したがって、ISPは、独自のルートサーバーやトップレベルドメインサーバーへの要求を再ルーティングして、たとえばcitibank.comに独自のIPを与えることはできません。その場合、ユーザーに与えられるIPアドレスは別のIPアドレスになりますが、サーバーにはシティバンクの秘密鍵がありません。

3
mwwaters

いいえ、冗談ではありません(15年前にこの本を読み始めましたが、それでも非常に重要です): http://www.Amazon.com/Internet-Dummies-John-R-Levine/ dp/0764506749

次に、BGPの質問をここに戻してください=)

1
Greeblesnort