IP पता जो / dev / null के समतुल्य है


92

क्या कोई ऐसा IP पता है, जिसके परिणामस्वरूप किसी भी पैकेट को अनदेखा (ब्लैकहोल) करने के लिए भेजा गया हो?

मुझे पता है कि मैं हमेशा एक आईपी पते के साथ एक राउटर सेट कर सकता हूं और फिर बस इसे भेजे गए सभी पैकेटों को अनदेखा कर सकता हूं, लेकिन क्या मुझे परेशान करने के लिए ऐसा कुछ मौजूद है?


2
कुछ उपकरण हैं (जैसे सैन फ्रान्स सिस्को सह से राउटर और स्विच ।) एक अशक्त इंटरफ़ेस का उपयोग करते हैं जो एक ब्लैक होल के रूप में दुर्भावनापूर्ण ट्रैफ़िक के लिए उपयोग किया जा सकता है। किसी को उस Null इंटरफ़ेस के लिए एक मार्ग इंगित करना चाहिए ताकि उस मार्ग के सभी ट्रैफ़िक को छोड़ दिया जाए।
Adriano P


2
मैं उत्सुक हूं, प्रश्न "स्पैम-रोकथाम" क्यों है?
माइक पेनिंगटन

@Chargin, मुझे आशा है कि यह एक मजाक था - devnull-as-a-service.comनेटवर्किंग के साथ कुछ भी नहीं लगता है और यहां तक ​​कि यह एक बकवास की तरह दिखता हैयह क्या है : When we say "government" we mean NSA, CIA, FBI, TSA, Communist Party of China (CPC), Nestle, The Coca-Cola Company, the KGB, some of your coworkers and our friends (especially if there is something funny).?
वीएल -80

5
@Nikolay हाँ, यह एक मजाक था, जैसा कि वेबसाइट है। उनका गितुब README देखें : "यह ज्यादातर उद्यम, बादल, * -स-सेवा और उस पर आलोचना के बारे में है। " (जोर देकर कहा)
wchargin

जवाबों:


84

IPV6 में विशेष रूप से एक ब्लैकहोल उपसर्ग है, जैसा कि RFC 6666 में वर्णित है , यह 100 :: / 64 है। IP4 में उस तरह का एक स्पष्ट ब्लैक होल नहीं होता है, लेकिन आरक्षित ब्लॉकों में से एक पर एक गैर-मौजूद मेजबान का प्रभाव होगा। (उदाहरण के लिए, 240.0.0.0/4 "भविष्य के उपयोग के लिए आरक्षित है" और किसी भी चीज़ से रूट नहीं किया जाएगा।)


32
भविष्य के उपयोग के लिए किसी चीज़ के लिए डेटा भेजना केवल एक अच्छा विचार है जब तक कि भविष्य के उपयोग का एहसास न हो जाए।
corsiKa

5
बहुत अच्छी बात है, हालांकि मुझे बहुत संदेह है कि IP4 का फिर से विस्तार किया जाएगा।
बांद्रामी

8
लेकिन क्या पैकेट गिराने के लिए राउटर की गारंटी है? क्योंकि अगर यह ICMP "गंतव्य के लिए पहुंच योग्य नहीं" है, तो यह वह नहीं होगा जो ओपी ने मांगा था।
WGH

41

नेटवर्क ब्लैक होल जैसी कोई चीज है ।

यदि आईपी पते 192.168.0.10 के साथ नेटवर्क में कोई उपकरण नहीं हैं, तो यह आईपी पता एक प्रकार का ब्लैक होल है और यह इसके लिए सभी ट्रैफ़िक को "त्याग" कर देगा, क्योंकि यह मौजूद नहीं है।

प्रोटोकॉल जो कनेक्शन स्थिति (टीसीपी) का ट्रैक रखते हैं, एक लापता गंतव्य होस्ट का पता लगा सकते हैं। यह यूडीपी के साथ नहीं होगा और पैकेट सिर्फ मर जाएगा जबकि भेजने वाले मेजबान को इसके बारे में सूचित नहीं किया जाएगा।

आप विशेष रूप से (या कई) पतों से चुपचाप ड्रॉप पैकेट ( अस्वीकार नहीं ) तक सेट करके फ़ायरवॉल के साथ ब्लैक होल को सेट कर सकते हैं ।

जहां तक ​​मुझे पता है कि इस तरह का कोई नेटवर्क मानक पता नहीं है जो टीसीपी / आईपी संस्करण 4 में आपके लिए ब्लैक होल करेगा ( थैंक्स टू बंदरमी )।

तो आपके पास दो विकल्प हैं:

  1. एक आईपी पता जो किसी भी मेजबान को नहीं सौंपा गया था;
  2. फ़ायरवॉल के साथ होस्ट करें जो चुपचाप पैकेट या इसके रूपांतरों को छोड़ देता है, उदाहरण के लिए netcat: (जैसा कि अल्ट्रसाउबलेड द्वारा सुझाया गया है )।

nc -vv -l 25 > /dev/nullटीसीपी पोर्ट 25 पर इनबाउंड कनेक्शन के लिए सुनेंगे और परिणामों को पाइप करेंगे /dev/null। अधिक उदाहरण यहाँ

संपूर्ण सबनेट भी एक ब्लैक होल ( नल मार्ग ) हो सकता है।


4
यदि आप कुछ ऐसा चाहते हैं जो टीसीपी ट्रैफ़िक प्राप्त करेगा, लेकिन इसके साथ कुछ भी नहीं करें, तो कुछ त्वरित nc(या netcat) के साथ सेटअप किया जा सकता है । जैसा कि @Nikolay कहता है, "ब्लैकहोल" आईपी नहीं है जो स्वचालित रूप से ऐसा करता है।
लॉरेंस सी

2
कम से कम आईपी 4 में नहीं
बांद्रामी 18

@Bandrami: IPv6 के बारे में, फिर?
user2357112

2
@ user2357112, उसके जवाब को देखें । यह मेरे नीचे है।
वीएल -80 80

19

हालांकि यह ब्लैक-होल नहीं है, आप परीक्षण / उदाहरण उद्देश्यों (RFC 5737 द्वारा) के लिए अलग से सेट किए गए IP पर विचार करना चाह सकते हैं , खासकर यदि आपका लक्ष्य "सुरक्षित रूप से गैर-कार्यशील डिफ़ॉल्ट" मान है।

  • 192.0.2.0/24 (टेस्ट-NET-1),
  • 198.51.100.0/24 (टेस्ट-NET -2)
  • 203.0.113.0/24 (टेस्ट-NET -3)

नेटवर्क ऑपरेटर SHOULD इन एड्रेस ब्लॉक को नॉन-रिटेबल एड्रेस स्पेस की सूची में जोड़ते हैं, और यदि पैकेट फिल्टर तैनात किए जाते हैं, तो इस एड्रेस ब्लॉक को पैकेट फिल्टर में जोड़ा जाना चाहिए।

इस बात की कोई गारंटी नहीं है कि उन पतों को पैकेट बंद कर दिया जाएगा (जो आपके आईएसपी आदि पर निर्भर करता है), लेकिन निश्चित रूप से किसी को भी पहले से ही उनका उपयोग नहीं करना चाहिए।


1
उन्हें DROPped की जगह REJECTED भी किया जा सकता है, इसलिए ...
19rab पर mirabilos

1
192.0.2.0 मेरी पहली कोशिश पर काम करता है, अब तक कोई पैकेट वापस नहीं करता है। मैं कुछ और परीक्षण करूंगा।
टायलर डर्डन

16

इस तरह के रूप में कोई "मानक ब्लैकहोल पता" नहीं है, और न ही इसके लिए वास्तव में कोई आवश्यकता है। आप यह नहीं कहते कि आप वास्तव में क्या हासिल करने की कोशिश कर रहे हैं, इसलिए मैं आपको ऐसा करने में मदद नहीं कर सकता, लेकिन यहां आपकी समस्या के कुछ गलत समाधान हैं जो आपके प्रश्न का उत्तर देंगे जैसा आपने पूछा:

  • आप एक RFC1918 पते का उपयोग कर सकते हैं जो आपके नेटवर्क पर उपयोग में नहीं है और आपके लिए इसे छोड़ने के लिए अपने ISP पर भरोसा करें। उदाहरण के लिए, यदि आप केवल 192.168 के कुछ हिस्सों का उपयोग कर रहे हैं, तो 10.255.255.1 आपके आईएसपी द्वारा शून्य-रूट किया जाएगा (जो इसे आपके डिफ़ॉल्ट गेटवे के लिए धन्यवाद मिलेगा)।
  • आप एक आईपी पते का उपयोग कर सकते हैं जो भविष्य के उपयोग के लिए आरक्षित है (और शायद कभी उपयोग नहीं किया जाएगा); यह पुरानी " क्लास ई " रेंज है। यह ऊपर के समान ही करेगा, लेकिन तब भी काम करेगा जब आप पहले से ही सभी निजी एड्रेस रेंज का उपयोग करेंगे (आवश्यकता से अधिक व्यापक नेटमास्क होने से, मुझे संदेह है कि आपके पास लाखों संलग्न डिवाइस होंगे)। उदाहरण के लिए, 254.0.0.1 कभी भी (कानूनी रूप से) वास्तविक डिवाइस का उल्लेख नहीं करेगा।
  • मशीन पर जहां आपको इसकी आवश्यकता होती है, आप ड्रॉप-ओनली लक्ष्य जोड़ सकते हैं; उदाहरण के लिए उपरोक्त जैसे अप्रयुक्त पते का उपयोग करने से, iptables -I OUTPUT -d 254.0.0.0/8 -j DROPकिसी भी गेटवे को परेशान करने या वास्तविक नेटवर्क इंटरफ़ेस पर ट्रैफ़िक उत्पन्न करने के बजाय उस "नेटवर्क" पर भेजे गए कुछ भी सुनिश्चित हो जाएंगे।

फिर, आप शायद वास्तव में इस में से कोई भी नहीं चाहते हैं, भले ही आपको लगता है कि यह सुविधाजनक है - यह नहीं है, यह भ्रामक और गैर-स्पष्ट है और जो भी आपकी समस्या है वास्तव में एक अच्छा समाधान नहीं है।


254.0.0.1 ब्लैक होल पैकेट नहीं है, मुझे एक "संचारित विफलता" त्रुटि मिलती है।
टायलर डर्डन

7
+1 के लिए "आप शायद वास्तव में
इनमें से


2

टेस्ट रेंज

मैं शायद "टेस्ट-नेट" एड्रेस रेंज में से एक का सुझाव दूंगा, "प्रलेखन और उदाहरणों में उपयोग के लिए। इसे सार्वजनिक रूप से उपयोग नहीं किया जाना चाहिए"

192.0.2.0/24
198.51.100.0/24
203.0.113.0/24

"बोगन" (बोगस / फेक) रंग

मुझे यकीन नहीं है कि यहाँ कहाँ कहना है, यह एक अभ्यास का अधिक प्रतीत होता है जो एक इंटरनेट गेटवे प्रदान करेगा, बजाय एक पैकेट को लागू करने के एक विशिष्ट तरीके से, जो कि कहीं से रूट किया जाता है


स्थानीय रेंज

लूपबैक एड्रेस रेंज भी है 127.0.0.0/8, उदाहरण के लिए 127.0.0.255। हालाँकि, वहां मौजूद चीजों के लिए यह अभी भी संभव है, विशेष रूप से स्थानीय मशीन पर किसी भी सेवा, कम से कम आप नेटवर्क पर किसी भी मशीन के साथ हस्तक्षेप नहीं करेंगे (जब तक कि आपकी नेटवर्क सेवाएं अन्य नेटवर्क सेवाओं द्वारा समर्थित नहीं हैं जो मुझे लगता है)।

127.0.0.0/8


अवैध डेस्टिनेशन रेंज

शायद अवैध पते 0.0.0.0का भी उपयोग किया जा सकता है, हालांकि 0.0.0.0/8 को "वर्तमान के लिए प्रसारण संदेशों के लिए उपयोग किया जाता है" ("यह") के लिए आरक्षित है, इसलिए उस पर ब्रॉटकास्टिंग का जोखिम है।

0.0.0.0/8

नल मार्ग के राज्यों के लिए विकिपीडिया पृष्ठ :

नल मार्गों को आमतौर पर एक विशेष मार्ग ध्वज के साथ कॉन्फ़िगर किया जाता है, लेकिन पैकेट को अवैध आईपी पते जैसे 0.0.0.0, या लूपबैक पते पर अग्रेषित करके भी लागू किया जा सकता है।


Refs: https://en.wikipedia.org/wiki/Reserved_IP_addresses


मैंने समग्र रूप localhostसे उच्चतम बंदरगाह पर उपयोग करने का विकल्प चुना 65535, क्योंकि मैं यह सुनिश्चित करना चाहता था कि कोई भी यातायात मेजबान को न छोड़े।
थोरसुमोनर

यदि आप पोर्ट निर्दिष्ट करते हैं, तो आपको प्रत्येक प्रोटोकॉल को भी निर्दिष्ट करना होगा: टीसीपी, यूडीपी, आदि और ऐसा करने में, कुछ ट्रैफ़िक आपके नियमों (जैसे आईसीएमपी) से बच सकते हैं।
Drakes

1

विचार करने के लिए एक बात (जो आपके विशेष परिदृश्य के लिए समस्या हो सकती है या नहीं भी हो सकती) वह यह है कि यदि आप किसी ऐसे आईपी पते पर ट्रैफ़िक पुनर्निर्देशित करते हैं जो मौजूद नहीं है, तो राउटर और / या होस्ट उस पते के लिए लगातार एआरपी का प्रयास कर सकते हैं , जो हो सकता है बुरी बात है।

यदि आप इस प्रेत पते के लिए एक स्थिर ARP <-> IP बाइंडिंग कॉन्फ़िगर करते हैं, तो सिस्टम में हमेशा एक हल ARP प्रविष्टि होगी, और यह पैकेट को उस ARP पते के साथ तार पर रख देगा (जो, निश्चित रूप से, फर्जी है) और यातायात वास्तव में कहीं भी नहीं उतरेगा।

फिर, यह बहुत अच्छी तरह से नहीं हो सकता है कि आप वास्तव में क्या चाहते हैं, लेकिन यह विचार करने योग्य है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.