정부 기관이 IP 주소를 할당하는 방법, 회사가 BGP를 사용하여 해당 IP를 광고하는 방법 및 인터넷 작동 방식을 이해하는 데 어려움을 겪고 있습니다. 그렇다면 도대체 DNS는 어디로 들어오는가?
누구나이 물건이 실제로 어떻게 작동하는지 잘 읽을 수 있습니까? 몇 가지 질문이 있다고 생각합니다. 첫 번째는 ARIN (또는 다른 관리 기관)이 실제로 중요합니까? 그들이 주변에 없다면 혼돈이 있을까요? 블록을 할당 할 때 LITERALLY가 블록을 할당하지 않습니까? 광고하려면 BGP를 사용해야합니까? 나는 항상 당신이 IP를 라우팅 한 비공개 호스팅 환경 (전용 / 공유)에 익숙해 왔습니다.
그렇다면 DNS는 어떻게 재생됩니까? 등록 기관에서 DNS 서버 (eNom)를 등록 할 수 있습니다. 실제로 무엇을 의미합니까? 바인드를 설치하고 모든 작업을 수행하고 자체 DNS 서버를 실행하지만 누가 해당 DNS 서버를 등록합니까? 나는 그것을 얻지 못한다.
나는 이것이 내가 알아야 할 것과 그렇지 않다고 느끼고 정말로 좌절하고 있습니다. 인터넷은 어떻게 작동합니까? IP 할당에서 IP를 라우팅하는 회사 및 DNS에 이르기까지
예가 있다고 생각합니다.이 IP 공간이 158.124.0.0/16 (예)이라고합시다. 회사는 158.124.0.0/17 인터넷 연결을 가지고 있습니다. (먼저 회사에서 IP 블록을 할당 한 다음 사용하지 않는 이유는 무엇입니까? 예약 된 내부 공간 10.x 및 192.x를 사용하지 않는 이유는 무엇입니까?) 그래서 내가있는 곳입니다. 인터넷에서 이러한 IP를 실제로 사용하려면 어떻게해야합니까? 시카고에 데이터 센터가 있고 뉴욕에 데이터 센터가 있다고 가정 해 봅시다. 사진을 업로드 할 수 없지만 여기에 연결할 수 있습니다. http://begolli.com/wp-content/gallery/tech/internetworkings.png
IP 블록이 할당 될 때부터 BGP를 사용하는 회사 (공개 AS #?)를 얻는 회사와 DNS가 어떻게 작동하는지 이해하려고합니다.
내 사진에서 어떤 모습일까요? 나는 좋은 일을했는지 확실하지 않은 시나리오를 만들려고했습니다.
답변
임대 된 IP 블록
IP는 IANA에 의해 블록 단위로 지역 인터넷 레지스트리 (RIR)에 할당됩니다. RIR 의이 목록 ( 목록 및 맵 )을 참조하십시오 . 그런 다음 RIR은 더 작은 블록 IP를 개별 회사 (일반적으로 ISP)에게 임대합니다. 분배를 받고이를 유지하지 못하면 요구 사항 (수수료 및 사용 증명 포함)이 있으며 이는 임대 손실을 의미합니다.
회사가 RIR에서 하나 이상의 블록을 임대 한 후에는 전세계에 특정 IP (또는 그 세트 : 서브넷)를 찾을 수있는 위치를 알려주는 방법이 필요합니다. BGP가 등장하는 곳입니다. BGP는 AS (Autonomous System)라는 큰 네트워크 개념을 사용합니다 . AS는 자체 라우팅 방법을 알고 있습니다. 다른 네트워크로 라우팅 할 때는 AS 게이트웨이와 외부 주소를 향한 “다음 홉”에 대해서만 알고 있습니다. AS 번호는 IANA 에서도 관리 합니다.
AS와 같은 ISP 내에서도 내부적으로 트래픽을 라우팅하기 위해 여러 라우팅 프로토콜 (RIP, OSPF, BGP, EIGRP 및 ISIS가 고려 됨)을 사용할 수 있습니다. 정적 라우팅 테이블을 사용할 수도 있지만 대부분의 응용 프로그램에서는 전적으로 비실용적입니다. 내부 라우팅 프로토콜은 큰 주제이므로 Server Fault에 대한 다른 질문을 통해 여기서 할 수있는 것보다 더 많은 주제를 정의 할 수 있습니다.
DNS
인간은 숫자를 잘 기억하지 못하므로 호스트 이름을 발명했습니다. 기록을 건너 뛰고 DNS (Domain Naming System)를 사용하여 어떤 호스트 이름이 어떤 IP 주소를 가리키는 지 추적합니다. 이들에 대한 중앙 레지스트리가 있으며 IANA에서 관리하며 루트 서버에서 제공하는 최상위 영역 (TLD) (예 : “.com”또는 “.net”)이 루트 영역으로 이동하는 것을 결정합니다. IANA는 “루트 영역”관리를 위임하며이 관리자는 적격 등록 기관의 업데이트 만 수락합니다.
등록 기관을 사용하여 TLD의 하위 도메인 인 도메인 이름을 “구매”할 수 있습니다. 이 등록은 기본적으로 해당 서브 도메인을 작성하고 NS (Name Server) 및 Glue (A) 레코드를 제어하도록 지정합니다. 이것은 도메인을 호스팅하는 DNS 서버를 가리 킵니다 . 클라이언트가 도메인 이름에서 IP를 확인하려는 경우 클라이언트는 루트 서버부터 DNS 서버를 찾아 관련 정보를 얻는 재귀 조회를 수행하는 DNS 서버에 접속합니다.
모두 동의합니다
“정부 기관”에 관해서는, 모든 사람들이 그 정부 기관을 사용하기로 동의합니다. 누군가가 전혀 협조하도록 요구하는 법률은 거의 없습니다. 인터넷은 사람들이 협력하기로 선택하기 때문에 작동합니다 . 관리기구는 쉬운 협력 수단을 제공합니다. 모든 다양한 RFC, “표준”등-아무도 이들을 사용하도록 강요하지 않습니다. 그러나 우리는 사회가 협력에 기반을 둔다는 것을 알고 있으며, 그렇게하는 것이 우리 자신의 이익입니다.
협력으로 얻은 효율성은 BGP가 인기있는 것과 같은 이유이며, 기본적으로 모두가 그것을 사용하기로 동의합니다. ArpaNet 시대에는 손으로 구성된 라우팅 테이블로 시작했습니다. 인터넷은 점점 복잡 해짐에 따라보다 포괄적 인 시스템으로 점차 발전했지만 모든 사람들이 새로운 표준을 사용하기로 합의했습니다. 마찬가지로 이름 확인은 네트워크가 배포 할 호스트 파일에 명시되어 있으며 오늘날 우리가 알고있는 DNS 시스템으로 확장되었습니다. (소수의 소수는 새로운 표준에 대한 요구 사항을 설정하고 다른 사람이 더 나은 대안을 제시하지 않았기 때문에 인용 된 “합의”).
믿음
이 수준의 협력에는 IANA에 대한 많은 신뢰가 필요합니다. 보시다시피 대부분의 다양한 시스템 코어를 관리합니다. IANA는 현재 미국 정부가 후원하는 비영리 법인 (미국 우체국과 유사)으로 정부의 일부는 아니지만 간신히 제거되었습니다. 지난 몇 년간 미국 정부는 다른 세계 정부 나 민간인에 대한 “무기”로서 IANA를 일부 통제 할 수 있다는 우려가있었습니다 (특히 통과되지 않았지만 미래의 법률의 기초가 될 수있는 SOPA 및 PIPA와 같은 법률을 통해). .
현재 IANA는 새로운 TLD 생성을 통해 자금을 조달하기 위해 ( 비영리 회사 임에도 불구하고) 스스로를 채택했습니다 . “xxx”TLD는 등록자 중 상당수가 이름을 “방어”하기 때문에 일부 사람들은 강탈 주의자 모금 캠페인으로 간주되었습니다. IANA는 또한 개인 소유의 TLD (각각 180,000 달러)에 대한 애플리케이션을 가져 왔습니다 . 애플리케이션으로 인해 거의 절반에 달하는 애플리케이션으로 인해 애플리케이션 프로세스가 일시 중단되어 애플리케이션 프로세스가 일시 중단되었습니다.이 애플리케이션 중 다수는 새로운 gTLD를 가져 왔습니다 .
답변
공용 인터넷 인 DFZ (Default-Free Zone)에 대한 모든 광고는 BGP (Border Gateway Protocol)를 통해 이루어지며 ISP의 내부 라우팅 방식은 매우 다양합니다. 대부분의 경우 자체 라우터 (BPF는 종종 OSPF와 같은 IGP와 함께 사용됨)와 클라이언트간에 BGP를 내부적으로 사용합니다. 고유 한 AS 번호가없는 경우 개인 AS를 사용하여 피어링 할 수 있습니다. ISP가 주소 공간을 DFZ에 알리면 경로에서 개인 AS를 제거하기 만하면됩니다. 작은 비 중복 링크의 경우 PE에서도 정적 라우팅을 사용할 수 있습니다. 실제 “할당”은 등록 기관의 데이터베이스에 있으며, whois 데이터베이스, RIPE / ARIN 등은 이러한 목적으로 자체 데이터베이스를 실행합니다.
whois 158.124.0.0/16
Linux 상자 에서 명령 을 실행하십시오 .
DNS와 마찬가지로 역방향 DNS 서버는 whois 레코드에 지정됩니다.
답변
이것은 매우 오래된 질문이지만 인터넷이 어떻게 작동 하는지 알아내는 데 동일한 질문이 많이있었습니다 . 다른 답변과 마찬가지로 네트워킹 책은 BGP 및 DNS에 대한 개요를 제공하지만 여전히 혼란 스럽습니다. 예를 들어, a.root-servers.net에서 m.root-servers.net은 루트 서버로 제공되지만 DNS 서비스가 DNS를 직접 사용할 수없는 경우 해당 서버를 찾을 위치를 어떻게 알 수 있습니까?
이 답변에서는 IP, 서브넷, DNS 등의 기본 사항을 알고 있다고 가정합니다. 나는 “갭”을 다루고 있으며 아마도 질문자는 인터넷의 작동 방식에 대해 알고있을 것입니다. 결코 내가 전문가는 아니지만 이것이 격차에 대한 나의 이해입니다.
IP 주소
가장 먼저 알아야 할 것은 인터넷이 ARPANET으로 시작했을 때 모두가 IP 주소에 대한 모든 사람과 라우팅 테이블이 핸드 코딩되었다는 것을 알고 있다는 것입니다. IP 할당 프로세스가 전화를 통해 수행되었다고 가정합니다. 인터넷이 너무 커짐에 따라 BGP는 여러 네트워크 (AS)에서 공용 IP가 있음을 알리거나 AS를 통해 다른 AS로 퍼블릭 IP를 얻을 수 있다고 광고했습니다. AS는 가지고 있지 않은 IP를 광고하지 않을 것이라는 신뢰가있었습니다.
오늘날에는 많은 신뢰가 없습니다. 대신, ISP는 IANA와 지역 당국으로부터 각 AS에 대한 IP 할당을 다운로드하여 인증 할 수 있습니다. 이러한 다운로드는 이제 공개 키 암호화를 통해 인증됩니다. 따라서 IANA가 “IP 주소를 할당”하면 레코드가 변경됩니다 (또는 실제로 지역 당국이 레코드를 변경 함). 다른 모든 AS는 레코드를 다운로드하고 인증 할 수 있습니다.
ISP가 다른 ISP의 IP 주소를 가지고 있다는 단어를 취할 수 없기 때문에 이러한 레코드는 중요합니다. ISP는 BGP 알림을 인증 된 IP 레코드와 비교할 수 있습니다. BGP 알림이 IANA 및 RIR의 인증 된 레코드 이외의 다른 AS로 마지막 AS를 표시하는 경우 BGP 알림은 자체 라우팅을 변경하지 않습니다.
더 일반적으로, 불량 ISP 또는 AS는 자신이 갖고 있지 않은 AS를 통해 경로 를 가지고 있다고 광고 할 수 있습니다. AS1에는 IP가 등록되어 있으며 AS5는 현재 AS5-> AS4-> AS3-> AS1-> IP를 사용합니다. AS2는 AS5-> AS2-> AS1-> IP의 경로를 AS5에 알립니다. AS2를 제외하고 실제로 AS1과 연결되어 있지 않습니다. AS1의 호스팅 고객을 실망시킬 수 있습니다. 또는 AS2는 AS5 및 AS1과의 멀티 홈 배열을 갖춘 소규모 회사 네트워크 일 수 있습니다. 라우터가 잘못 구성되어 소규모 회사 네트워크를 통한 경로를 알립니다. 거의 모든 ISP가 BGP 고객의 광고를 버리고 BGP 광고를 종료하는 경우에만 전달합니다.
아마도 파키스탄은 그러한 IP 하이재킹을 통해 파키스탄에서 유튜브를 차단하려고 시도하고 파키스탄 외부의 AS가 BGP 광고가 올바르다 고 가정했기 때문에 파키스탄 외부에서도 유튜브를 차단하는 경우가 있습니다.
결국, 그러한 IP 하이재킹에 대한 완벽한 방어는 없습니다. 미국과 같은 대부분의 국가에서 그러한 BGP 남용은 계약 위반으로 처벌 될 수 있으며 다른 ISP는 해당 AS와의 피어링 연결을 차단해야합니다. ISP는 수 또한 전체 IANA와 RIR 장치를 무시하고 자신의 서버에 IP 주소를 리디렉션합니다. ISP에 CA의 개인 키가 없다고 가정하면 https 사이트에서는 작동하지 않습니다. 경제적으로 얻을 것이 거의 없습니다. 이집트와 같은 권위주의 정부에서만 최근에 ISP의 모든 BGP 광고를 국가 외부에서 차단했습니다.
DNS 서버
IP 테이블이 정확하면 DNS가 다소 단순 해집니다. 루트 서버는 모두 DNS 서버 코드에서 하드 코드 된 IP 주소입니다. a.root-servers.net은 198.41.0.4이며 IP 주소는 하나의 AS 내에서 애니 캐스트됩니다. a.root-servers.net의 경우 AS는 Verisign이며 5 개의 서로 다른 사이트가 있습니다. 미국의 경우 두 사이트는 뉴욕과 LA입니다. 애니 캐스팅은 주소가 123 Main Street 인 경우와 같으며 “현재 어느 도시에 있든 상관없이 123 Main Street로 이동하면 내 업체 중 하나를 찾을 수 있습니다”라고 말했습니다. NY와 LA의 123 Main Street는 모든 최상위 도메인에 대해 동일한 답변을 제공합니다. AS (이 경우 Verisign)는 OSPF, 내부 BGP 및 기타 라우팅 프로토콜을 통해 가장 적은 홉이있는 서버를 내부적으로 파악합니다. 따라서 시카고의 라우터는 뉴욕으로가는 동안 덴버의 라우터는 LA로 갈 수 있습니다.
루트 서버 중 하나가 com 최상위 도메인의 IP 주소를 제공합니다. 그런 다음 해당 도메인은 yoursite.com의 도메인을 제공합니다. 레지스트라는 실제로 최상위 도메인을 운영하는 사람과 계약을 맺고 있습니다. 따라서 최상위 도메인에 현재 yoursite.com에 대한 레코드가 없으면 who-is 서버에 레코드를 추가 할 수 있습니다. 그런 다음 등록 기관이 yoursite.com의 DNS 레코드에 제공 한 액세스 권한으로 DNS 서버의 레코드를 변경하여 IP 주소로 이동합니다.
DNS는 모두 올바른 위치로 이동하는 여러 IP 주소에 의존하기 때문에 AS가 IP 레지스트리를 인증 한 다음 BGP 할당을 수행 할 때와 동일한 문제가 있습니다. 이것이 http 웹 사이트의 핵심입니다. Https에는 인증서 보호 기능이 추가되었습니다. 따라서 ISP는 자신의 루트 서버 및 최상위 도메인 서버에 대한 요청을 citibank.com에 대한 자체 IP를 제공하도록 재 라우팅 할 수 없습니다. 만약 그렇다면, 사용자에게 부여 된 IP 주소는 다른 IP 주소가되지만 서버에는 Citibank의 개인 키가 없습니다.
답변
농담은 아닙니다 (15 년 전에이 책을 시작했지만 여전히 관련이 있습니다) :
http://www.amazon.com/Internet-Dummies-John-R-Levine/dp/0764506749
그런 다음 BGP 질문과 함께 여기로 돌아옵니다 =)