Что препятствует отправке пакетов данных непосредственно на частный IP-адрес (для взлома / вирусов / вредоносных программ)?

Я новичок в сети, и у меня есть много основ вниз, но я не понимаю, как интернет не мог получить прямой контакт с устройствами в локальной сети.

Я знаю, что маршрутизаторы и NAT позволяют всем вашим устройствам иметь один и тот же IP для вашей сети, и он направляет запросы в интернет и обратно клиенту, который его запросил, но мой вопрос таков:

скажем, я хотел взломать чей-то компьютер, и я знал его домашнюю сеть (маршрутизатор) IP. Не мог бы я просто передать данные на этот IP-адрес с закодированными данными, чтобы перейти на некоторые из наиболее распространенных частных адресов (например, 192.168.1.1-80) и фактически получить данные, отправленные на "частное" устройство?

IP, как правило, принимают данные непосредственно к и от устройств, которые сделали запрос, так что если я знал IP-маршрутизатор и правильно угадал частный IP, что мне остановить от взлома в этом устройстве?

Я предполагаю, что есть еще один способ направить данные правильному клиенту происходит в маршрутизаторе / NAT, который не просто IP, но я не уверен, как это делается.

или это просто, что вы могли бы отправить злонамеренные данные таким образом, но не было бы никакой пользы, если все программное обеспечение ничего не делает с данными в любом случае (не посылал запрос).

любая информация, которую я нахожу, обычно просто говорит о том, как частные IP-адреса позволяют использовать менее публичные IP-адреса в целом, и никогда не упоминайте, что отрезает доступ к вашим частным IP-клиентам во внешний мир.

может кто-нибудь объяснить это мне?

1
задан Jay5671
25.11.2022 8:32 Количество просмотров материала 2429
Распечатать страницу

4 ответа

Я не понимаю, как интернет не мог получить прямой контакт с вашими устройствами в вашей локальной сети.

IP, как правило, принимают данные непосредственно к и от устройств, которые сделали запрос

имейте в виду, что оригинальный дизайн интернета заключается в том, что так все должно работать-Интернет должен быть "сквозным", а IP-адреса должны быть буквально глобальными-независимо от того, где данный IP адрес в мире, я могу говорить с ним, и он может говорить со мной.

проблема в том, что у нас закончились адреса IPv4, поэтому пришлось использовать схемы типа NAT.

NAT не был тем, как все должно было работать, и, хотя он имеет преимущества безопасности в качестве побочного эффекта, он нарушает сквозной принцип интернета и поощряет услуги, которые ничего не делают, но действуют как посредники-хорошо для безопасности/сбора арендной платы, плохо для свободы/бедных людей.

I знайте, что маршрутизаторы и NATs позволяют всем вашим устройствам иметь один и тот же IP для вашей сети

он появляется только за пределами вашей сети.

за вашей сетью каждая система имеет уникальный IP - адрес из одного из частных диапазонов IP.

NAT управляет этой иллюзией на маршрутизаторе, чтобы системы позади маршрутизатора могли обратиться к другим IP-адресам, и IP-адреса могут говорить с системами позади маршрутизатора, если порты переданы должным образом.

не мог бы я просто передать данные на этот IP с закодированными данными, чтобы перейти на некоторые из наиболее распространенных частных адресов (например, 192.168.1.1-80) и фактически получить данные, отправленные на "частное" устройство

Неа.

192.168.1.80 не существует в Интернете. Она существует только за NAT. Вы садитесь за NAT-маршрутизатором первым. Единственный способ сделать это-сначала поговорить с общедоступным IP-адресом маршрутизатора NAT.

собственно говоря-если что IP 192.168.1.80 и ваш собственный IP находится в той же подсети, что произойдет, что трафик даже не покинет вашу сеть-ваша система будет пытаться достичь 192.168.1.80 из локальной сетевой карты, и он даже не достигнет вашего маршрутизатора.

Итак, если бы я знал IP-адрес маршрутизатора и правильно угадал частный IP-адрес, что помешало бы мне взломать это устройство?

маршрутизаторы NAT контролируют и отслеживают входящие соединения.

Если новое TCP соединение пытается подключитесь к перенаправленному Порту, и только после этого данные будут переданы в систему, расположенную за маршрутизатором.

UDP не поддерживает соединения, поэтому маршрутизатор NAT, если он выполняет свою работу правильно, не будет перенаправлять UDP-трафик, который он не видел некоторое время, в систему позади него. Это возможно, чтобы обмануть маршрутизаторы NAT с UDP из-за его природы без установления соединения, но только если вы можете сначала получить систему позади него, чтобы отправить что-то на этом порту и убедить маршрутизатор NAT, что входящий трафик может быть возвращение. Есть несколько протоколов, которые зависят от чего-то вроде этого, например, оглушения.

0
отвечен LawrenceC 2022-11-26 16:20

только потому, что вы знали маршрутизатор публичный IP-адрес, а также внутренний адрес автоматически не делает внутренний адрес публично адресуемым.

IP позволяет подключаться к общедоступному адресу, это не означает, что за этим общедоступным адресом стоят адреса, и не предоставляет никаких средств для пересылки данных, даже если они были.

адрес "перейдите на эту машину и этот порт", а не "идти на эту машину и порт, и когда-то вперед на еще одна машина и порт, а оттуда этот other адрес и порт"

думайте об этом, как кто-то посылает вам письмо. Почтовое отделение не заботится о кто находится по адресу, только что они положили пост в нужный слот. Если сообщение он находится через слот, то кто-то по адресу должен посмотреть на письмо и выяснить, кто письмо должно добраться до.

то же самое происходит в сети, но NAT не позволяет "Jim" в качестве постоянного внутренний адрес, внутренние и внешние сопоставления возникают, когда что-то внутреннее в сети обращается к интернету с запросом на подключение. В то время это эффективно создает почтовый ящик "jimTmp12345@PublicIP", который используется, пока соединение не закрывается, в котором точка адрес недопустима, и что-либо обращенное к нему отброшено на местной свалке.

0
отвечен Mokubai 2022-11-26 18:37

большинство маршрутизаторов также настроены на работу в качестве брандмауэра, а не только маршрутизатора.

рассмотрим следующую сеть:

example network

без NAT, устройства должны взаимодействовать напрямую:

  • 192.168.1.2 хочет поговорить с 192.168.0.2
    • маршрут по умолчанию -192.168.1.1 (Маршрутизатор A)
    • маршрутизатор знает, что 192.168.0.0/24 до 198.51.100.2 (маршрутизатор B)
    • маршрутизатор B напрямую подключен к 192.168.0.0/24 и доставляет пакет
  • 192.168.0.2 хочет ответить 192.168.1.2
    • маршрут по умолчанию -192.168.0.1 (Маршрутизатор B)
    • маршрутизатор B знает, что 192.168.1.0/24 до 198.51.100.1
    • маршрутизатор A напрямую подключен к 192.168.1.0/24 и доставляет пакет

С NAT на роутере A, но не маршрутизатор B, вещи немного меняются:

  • 192.168.1.2 хочет поговорить с 192.168.0.2
    • маршрут по умолчанию -192.168.1.1 (Маршрутизатор A)
    • маршрутизатор настроен для работы в "IP-маскарадинг", поэтому переписывает адрес источника как 192.51.100.1 (это внешний интерфейс)
    • маршрутизатор знает, что 192.168.0.0/24 до 198.51.100.2 (Маршрутизатор B)
    • маршрутизатор B напрямую подключен к 192.168.0.0/24 и подает пакет
  • 192.168.0.1 хочет ответить 198.51.100.1
    • маршрут по умолчанию -192.168.0.1 (Маршрутизатор B)
    • маршрутизатор B напрямую подключен к 198.51.100.0/24 и доставляет пакет
    • маршрутизатор отзывы это таблица переводов, и переписывает назначение как 192.168.1.1
    • маршрутизатор A напрямую подключен к 192.168.1.0/24 и доставляет пакет

на данный момент нет ничего остановить хозяина с помощью 192.51.100.1 в качестве маршрутизатора и с просьбой переслать пакет 192.168.1.2... ничего. Ответы, скорее всего, будут маскироваться, поэтому общение может быть немного"сложные", но общение есть общение.

расширение до"интернет "может измениться"ничто не остановит..." заявление несколько. У меня нет вспомогательных материалов, но я был бы очень удивлен, если бы интернет-маршрутизаторы были фактически настроены для пересылки трафика, ориентированного на частный сетевой адрес. Вместо этого они, скорее всего, просто отбросят такие пакеты. Результатом является то, что попытка этого в интернете вряд ли сработает, даже если маршрутизатор был плохо настроен.

в дополнение к этому снова, из-за того, как работает маршрутизация (i.e: если хост не находится в локальной сети, MAC-адрес нацелен на маршрутизатор, в то время как IP-адрес нацелен на конечный хост), нет способ использовать 192.51.100.1 в качестве маршрутизатора, Если либо а) вы подключены к нему; или Б) существующие маршруты будут толкать ваш трафик в его направлении.

чтобы другие хосты просто не использовали 198.51.100.1 в качестве простого маршрутизатора требуется правила брандмауэра.

один из подходов состоит в том, чтобы отклонить (или отбросить) входящие пакеты на внешнем интерфейсе маршрутизатора A (198.51.100.1), которые явно не направлены на его адрес.

это также решит "слабого" узла модели, что реализует Linux (e.g: маршрутизатор B может взаимодействовать с маршрутизатором A через внешний интерфейс, используя адрес, назначенный внутренние интерфейс).

0
отвечен Attie 2022-11-26 20:54

[NAT] направляет запросы в интернет и обратно клиенту, который их запросил

правильно, но в качестве разъяснения того, как это работает: NAT заставляет ваши частные IP-адреса выглядеть как общедоступный IP-адрес, как правило, до того, как трафик покинет вашу сеть. Таким образом, Интернет не направляет трафик обратно на ваш частный IP-адрес. Интернет возвращает трафик к общедоступному IP-адресу, где вы замечены.

номер выпуска 1:

Я думаю, если вы понимаете, как работает NAT в деталях, это поможет ответить на некоторые из ваших вопросов. Наиболее типичной реализацией, которую я видел, является NAPT (преобразование на основе "порта сетевых адресов"). Когда вы отправляете данные с частного адреса, маршрутизатор берет этот частный адрес и добавляет эту информацию к диаграмме/таблице в памяти маршрутизатора. Маршрутизатор также выбирает номер порта TCP или UDP (вероятно, выбранный довольно случайно), и отслеживает это в том же штурманский стол. Маршрутизатор тогда передает информацию к интернету с помощью общедоступного IP-адреса и определяет номер "исходного порта" как номер, который он выбрал. (И TCP, и UDP используют два номера портов: номер источника и номер назначения.), Когда (скажем, веб-сервер прослушивает TCP-порт 443) замечает трафик на TCP-порт 443 и исходит от другой TCP-порт (например, порт TCP 53874), что сервер может ответить путем отправки сообщения на исходный маршрутизатор общедоступный IP-адрес того же TCP-порта (например, TCP-порт 53874). Маршрутизатор тогда ищет информацию в своей таблице/диаграмме и знает, какому частному IP-адресу передать информацию.

Если вы просто выбрали частный IP-адрес СЛУЧАЙНЫМ образом, маршрутизатор не должен иметь этот частный IP-адрес в своей таблице/диаграмме, так что это не будет работать.

Я предполагаю, что в маршрутизаторе/NAT есть еще одно средство для маршрутизации данных на правильный клиент, который не только IP, но и Я не знаю, как это делается.

нет.

Я имею в виду, ну, да, есть. Существует еще одна маршрутизация, которая может произойти, и поэтому я просто быстро признаю это. Существует использование тегов 802.1 q "VLAN" и других технологий, которые могут использоваться для некоторых облаков данных/сигнализации и могут повлиять на то, как трафик заканчивается путешествием по сети. Однако эти дополнительные методы маршрутизации обычно развертываются для обеспечения скорости, безопасности или совместимости (в основном с не-IP сетями, как, возможно, некоторые старые сети внутри телефонной компании). Вам действительно не нужно думать, что эти передовые сетевые технологии профессионального уровня представят новую и необходимую часть понимания того, как работает базовая маршрутизация, потому что для объяснения того, о чем вы спрашиваете, можно использовать простую IP-маршрутизацию.

Проблема #2: внутренняя защита маршрутизатора

теперь давайте представим, что маршрутизатор не выполняет NAPT, так что мы просто проигнорируем всю таблицу / диаграмму, которая сопоставляет публичные номера портов TCP / UDP с частными адресами. Давайте просто притворимся, что вы сидите у провайдера клиента и хотите злонамеренно отправить пакет через маршрутизатор на частные IP-адреса клиента.

большинство маршрутизаторов, выполняющих некоторые очень простые действия, подобные брандмауэру, заметят, что входящий трафик поступает на порт, обозначенный как "WAN" (что означает "широкая сеть"). Обеспечить некоторое защита, маршрутизаторы поймут, что входящий трафик на этом сетевом порту должен использовать общедоступный IP-адрес маршрутизатора, и, конечно, не любой из общих "частных" диапазонов IP-адресов.

Итак, маршрутизатор будет защищать сеть, отбрасывая пакет.

Проблема 3: ISP защищает нас лучше

стандарт для любого провайдера заключается в том, чтобы не разрешать трафик в или из диапазонов частных IP-адресов (которые являются диапазонами сетевых адресов в IETF RFC 1918 раздел 3 для IPv4 или адресов, начинающихся с " fd " для IPv6).

Так что, если вы пытаетесь отправить трафик из своего дома, через вашего интернет-провайдера, а затем до конца главной магистрали интернета от провайдера, то через жертвы провайдера, потом через жертвы маршрутизатор, и, наконец, к "частный IP" адрес, затем вы должны подвести. Это вызвано тем, что интернет-провайдеры обычно придерживаются соглашения о блокировании трафика, включающего частный IP-адрес адреса. (ISP будет сумасшедшим, чтобы не делать этого.)

В приведенном выше сценарии, защите не предоставляется ISP целевой жертвы. Согласен, провайдер жертвы, скорее всего, настроен на падение пакетов, тем самым защищая жертвы роутер. Тем не менее, ваш провайдер также, вероятно, отбросит пакеты, поэтому пакеты даже не достигнут провайдера целевой жертвы.

Вопрос 4: ISP мотивация

почему ISP было бы сумасшедшим, чтобы позволить трафик с использованием частных IP-адресов?

ну, имейте в виду, что все организации имеют право использовать частные IP-адреса для своих внутренних сетей. Это включает интернет-провайдеров. Ваш провайдер может использовать частную адресацию для некоторого локального оборудования провайдера. Вы не должны быть в состоянии заметить/обнаружить, делают ли они это или нет.

путь, которым трафик маршрута ISP является то, что они полагаются на "таблицы маршрутизации", которые определяют, куда трафик должен перейти к следующему. Эти "таблицы маршрутизации" не указывают, какой другой провайдер будет рад получить трафик, у которого есть частный адрес в качестве назначения. Провайдеру некуда будет отправлять трафик, кроме как на собственное внутреннее оборудование. Поскольку большой объем трафика с частными IP-адресами, вероятно, будет вредоносным или иным образом проблематичным (возможно, с использованием трафика, поступающего с устройства, настроенного неправильно), провайдер, конечно же, не хочет, чтобы такой трафик отправлялся на его собственный внутренний оборудование (и, возможно, вызывает проблемы у провайдера). Поэтому провайдер захочет заблокировать пакеты, идущие на частный адрес тут, прежде чем разрешить трафик дальше через сеть провайдера.

если интернет-провайдер нарушил эти правила, интернет-провайдер, вероятно, будет приглашать вредоносный трафик, который, вероятно, не будет иметь никакого эффекта( кроме использования пропускной способности), но если бы был какой-либо эффект, это, вероятно, было бы плохо для ПРОВАЙДЕР.

Вопрос 5: что на самом деле произойдет

до сих пор я объяснял, почему интернет будет блокировать трафик. Но давайте посмотрим, что на самом деле произойдет.

Если вы сидите за компьютером и решили отправить вредоносный пакет на частный IP-адрес, что произойдет?

если трафик дошел до вашего локального провайдера, этот локальный провайдер немедленно заблокирует трафик, как уже объясненный.

однако, что действительно вероятно произойдет, так это то, что трафик не будет доходить до вашего локального провайдера. Вместо этого ваш локальный маршрутизатор будет выяснить, что делать с этим трафиком.

Если вы не используете тот же "частный" IP-адрес самостоятельно, то ваш собственный маршрутизатор, вероятно, не знает, что делать с трафиком, поэтому трафик будет отброшен.

в противном случае, если вы используете тот же "частный IP" адрес, то вы, вероятно, будет атакующий устройства на сети. Если вы являетесь администратором этой сети, то вы будете атаковать свою собственную сеть!

в любом случае, ваш маршрутизатор вряд ли (при использовании общих конфигураций по умолчанию) будет передавать трафик через Интернет.

комментарий:

все эти вопросы о том, почему Интернет не позволит вашей атаки на частный IP-адрес. Если вы фактически находитесь в той же локальной сети, что и цель, возможно, вам даже не придется проходить через маршрутизатор, поэтому ни одна из этих защит не будет вам мешать. Однако, если вы находитесь в другом месте в Интернете, эти средства защиты, вероятно, будут мешать попытке совершить такую атаку.

несмотря на то, что вы можете нарушать определенные стандартные правила (по крайней мере, некоторыми типами) маршрутизаторов, которыми вы можете управлять, другие организации также могут блокировать частные IP-адреса, тем самым эффективно предотвращая атаки на удаленные системный.

0
отвечен TOOGAM 2022-11-26 23:11

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

ip
nat
networking
private-network
router
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх