Endereço da RFC 1918 na Internet aberta?

Navegue suas respostas
18

Ao tentar diagnosticar um problema de failover com meus firewalls Cisco ASA 5520, fiz um traceroute para www.btfl.com e, para minha surpresa, alguns dos saltos vieram como endereços da RFC 1918.

Só para ficar claro, esse host não está por trás do meu firewall e não há nenhuma VPN envolvida. Tenho que me conectar pela internet para chegar lá.

Como e por que isso é possível? 

asa# traceroute www.btfl.com

Tracing the route to 157.56.176.94

 1  <redacted>
 2  <redacted>
 3  <redacted>
 4  <redacted>
 5  nap-edge-04.inet.qwest.net (67.14.29.170) 0 msec 10 msec 10 msec
 6  65.122.166.30 0 msec 0 msec 10 msec
 7  207.46.34.23 10 msec 0 msec 10 msec
 8   *  *  *
 9  207.46.37.235 30 msec 30 msec 50 msec
 10 10.22.112.221 30 msec
    10.22.112.219 30 msec
    10.22.112.223 30 msec
 11 10.175.9.193 30 msec 30 msec
    10.175.9.67 30 msec
 12 100.94.68.79 40 msec
    100.94.70.79 30 msec
    100.94.71.73 30 msec
 13 100.94.80.39 30 msec
    100.94.80.205 40 msec
    100.94.80.137 40 msec
 14 10.215.80.2 30 msec
    10.215.68.16 30 msec
    10.175.244.2 30 msec
 15  *  *  *
 16  *  *  *
 17  *  *  *

e faz o mesmo com a minha conexão FiOS em casa: 

C:\>tracert www.btfl.com

Tracing route to www.btfl.com [157.56.176.94]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  myrouter.home [192.168.1.1]
  2     8 ms     7 ms     8 ms  <redacted>
  3    10 ms    13 ms    11 ms  <redacted>
  4    12 ms    10 ms    10 ms  ae2-0.TPA01-BB-RTR2.verizon-gni.net [130.81.199.82]
  5    16 ms    16 ms    15 ms  0.ae4.XL2.MIA19.ALTER.NET [152.63.8.117]
  6    14 ms    16 ms    16 ms  0.xe-11-0-0.GW1.MIA19.ALTER.NET [152.63.85.94]
  7    19 ms    16 ms    16 ms  microsoft-gw.customer.alter.net [63.65.188.170]
  8    27 ms    33 ms     *     ge-5-3-0-0.ash-64cb-1a.ntwk.msn.net [207.46.46.177]
  9     *        *        *     Request timed out.
 10    44 ms    43 ms    43 ms  207.46.37.235
 11    42 ms    41 ms    40 ms  10.22.112.225
 12    42 ms    43 ms    43 ms  10.175.9.1
 13    42 ms    41 ms    42 ms  100.94.68.79
 14    40 ms    40 ms    41 ms  100.94.80.193
 15     *        *        *     Request timed out.
    
por longneck 25.06.2013 / 03:17

2 respostas

11

É permitido que os roteadores se conectem uns aos outros usando RFC1918 ou outros endereços privados, e na verdade isso é muito comum para coisas como links ponto-a-ponto e qualquer roteamento que ocorra dentro de um AS.

Somente os gateways de borda em uma rede precisam de endereços IP publicamente roteados para roteamento para o trabalho. Se a interface de um roteador não se conecta a nenhum outro ASes (ou qualquer outro provedor de serviços, de forma mais simples), não há necessidade de anunciar o roteamento na Internet, e somente o equipamento pertencente à mesma entidade precisará se conectar diretamente ao interface.

Que os pacotes retornam para você desta forma no traceroute é uma leve violação do RFC1918, mas na verdade não é necessário usar NAT para esses dispositivos, pois eles não se conectam a coisas arbitrárias na Internet; eles apenas passam o tráfego.

O fato de o tráfego utilizar a rota (possivelmente em circuito) por meio de várias organizações é apenas uma conseqüência da operação de protocolos de roteamento de gateway externos. Parece perfeitamente razoável que a Microsoft tenha algum backbone e algumas pessoas tenham perscrutado isso; você não precisa ser um ISP de atacado para rotear o tráfego.

O tráfego passou por várias séries de roteadores com IPs privados, transitando por meio de IPs públicos intermediários, não é especialmente estranho - simplesmente indica (neste caso) que duas redes diferentes ao longo do caminho rotearam o tráfego por meio de seus próprios roteadores que eles escolheram para numerar dessa maneira.

    
por 25.06.2013 / 05:27
16

Não apenas RFC 1918 ... também RFC 6598 , ou seja, 100.64.0.0/10 de espaço CGN. Ambos são redes privadas, mas o último é mais recentemente padronizado e menos conhecido.

Isso não é incomum do ponto de vista do traceroute. Você não está realmente falando diretamente com esses hosts de 10 espaços e 100 espaços, você está enviando pacotes com TTLs incrementalmente maiores para seu roteador de próximo salto. Para evitar que a resposta seja muito longa, este link da Wikipedia resume o processo.

O que é incomum é que este pacote atravessa o espaço IP público, e é então tunelado através do espaço IP privado para alcançar uma rede "pública" mais uma vez. 157.56.176.94 é de propriedade da Microsoft, e o pacote atravessa redes de propriedade da MS antes de atingir a rede privada ... então é simplesmente o que a Microsoft está escolhendo fazer com seu espaço de rede nas duas extremidades do espaço privado. Eles anunciam as rotas; os outros roteadores fazem o que lhes é dito.

Como regra geral, não, os operadores de rede geralmente não expõem suas redes privadas ao longo de uma rota para o espaço IP público de fora de sua rede. É por isso que isso é tão incomum.

(pode ser uma rota perdida em algum lugar na fronteira, fazendo com que os pacotes percorram um caminho não ideal que eventualmente chegue ao seu destino, mas eu não sou um cara de rede e alguém provavelmente pode fazer uma tentativa melhor para isso)

    
por 25.06.2013 / 03:57

Tags

Desativar o TLS 1.0 no NGINX Como mover o bucket S3 para um local diferente