オープンインターネット上のRFC 1918アドレス?


18

Cisco ASA 5520ファイアウォールでフェールオーバーの問題を診断しようとして、www.btfl.comへのtracerouteを実行しましたが、驚いたことに、ホップの一部がRFC 1918アドレスとして戻ってきました。

明確にするために、このホストはファイアウォールの背後になく、VPNが関与していません。そこに着くには、オープンなインターネットに接続する必要があります。

どのように/なぜこれが可能ですか?

asa# traceroute www.btfl.com

Tracing the route to 157.56.176.94

 1  <redacted>
 2  <redacted>
 3  <redacted>
 4  <redacted>
 5  nap-edge-04.inet.qwest.net (67.14.29.170) 0 msec 10 msec 10 msec
 6  65.122.166.30 0 msec 0 msec 10 msec
 7  207.46.34.23 10 msec 0 msec 10 msec
 8   *  *  *
 9  207.46.37.235 30 msec 30 msec 50 msec
 10 10.22.112.221 30 msec
    10.22.112.219 30 msec
    10.22.112.223 30 msec
 11 10.175.9.193 30 msec 30 msec
    10.175.9.67 30 msec
 12 100.94.68.79 40 msec
    100.94.70.79 30 msec
    100.94.71.73 30 msec
 13 100.94.80.39 30 msec
    100.94.80.205 40 msec
    100.94.80.137 40 msec
 14 10.215.80.2 30 msec
    10.215.68.16 30 msec
    10.175.244.2 30 msec
 15  *  *  *
 16  *  *  *
 17  *  *  *

自宅でのFiOS接続と同じことを行います:

C:\>tracert www.btfl.com

Tracing route to www.btfl.com [157.56.176.94]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  myrouter.home [192.168.1.1]
  2     8 ms     7 ms     8 ms  <redacted>
  3    10 ms    13 ms    11 ms  <redacted>
  4    12 ms    10 ms    10 ms  ae2-0.TPA01-BB-RTR2.verizon-gni.net [130.81.199.82]
  5    16 ms    16 ms    15 ms  0.ae4.XL2.MIA19.ALTER.NET [152.63.8.117]
  6    14 ms    16 ms    16 ms  0.xe-11-0-0.GW1.MIA19.ALTER.NET [152.63.85.94]
  7    19 ms    16 ms    16 ms  microsoft-gw.customer.alter.net [63.65.188.170]
  8    27 ms    33 ms     *     ge-5-3-0-0.ash-64cb-1a.ntwk.msn.net [207.46.46.177]
  9     *        *        *     Request timed out.
 10    44 ms    43 ms    43 ms  207.46.37.235
 11    42 ms    41 ms    40 ms  10.22.112.225
 12    42 ms    43 ms    43 ms  10.175.9.1
 13    42 ms    41 ms    42 ms  100.94.68.79
 14    40 ms    40 ms    41 ms  100.94.80.193
 15     *        *        *     Request timed out.

回答:


11

ルータがRFC1918または他のプライベートアドレスを使用して相互に接続することは許可されており、実際、これはポイントツーポイントリンクやAS内で行われるルーティングなどの場合に非常に一般的です。

ネットワーク上の境界ゲートウェイのみが、ルーティングが機能するために実際にパブリックにルーティング可能なIPアドレスを必要とします。ルーターのインターフェースが他のAS(またはより単純に他のサービスプロバイダー)に接続しない場合、インターネット上でルートをアドバタイズする必要はなく、同じエンティティに属する機器のみが直接接続する必要がありますインターフェース。

tracerouteでパケットがこのように返されることはRFC1918のわずかな違反ですが、インターネット上の任意のものに接続しないため、これらのデバイスにNATを使用する必要はありません。彼らはただトラフィックを通過させます。

トラフィックが複数の組織を経由する(場合によっては迂回する)ルートを取るのは、外部ゲートウェイルーティングプロトコルの動作の結果にすぎません。Microsoftが何らかのバックボーンを持ち、一部の人々がそれを凝視していることは完全に合理的なようです。トラフィックをルーティングするために卸売ISPである必要はありません。

トラフィックがプライベートIPを持つ複数のルーターを通過し、間にパブリックIPを持つルーターを通過することは特に奇妙ではありません-パスに沿った2つの異なるネットワークが自身のルーターを経由してトラフィックをルーティングしたことを単に示します(この場合)彼らはこの方法で番号を付けることを選択しました。


16

RFC 1918だけでなく... RFC 6598、つまり100.64.0.0/10CGNスペースも。どちらもプライベートネットワークですが、後者は最近標準化され、あまり知られていません。

これは、tracerouteの観点からは珍しいことではありません。実際には、これらの10スペースおよび100スペースのホストと直接話をしているわけではなく、次ホップルーターにTTLを少しずつ増やしてパケットを送信しています。回答が過度に長くならないように、このウィキペディアのリンクはプロセスを要約しています。

珍しいことは、このパケットは、パブリックIPスペースを横断した後、再び「公共」のネットに到達するためにプライベートIPスペースを介してトンネリングされていることということです。157.56.176.94Microsoftが所有し、パケットはプライベートネットワークに到達する前にMSが所有するネットワークを通過します。したがって、Microsoftはプライベート空間の両端でネットワーク空間を使用することを選択しています。彼らはルートをアドバタイズします。他のルーターは、指示されたとおりに動作します。

原則として、いいえ、ネットワークオペレーターは一般に、ネットワークの外部からパブリックIPスペースへのルートに沿ってプライベートネットを公開しません。これが、これが非常に珍しい理由です。

(境界上のどこかで失われたルートである可能性があり、パケットが最終的に宛先に到達する最適でないパスを通過する可能性がありますが、私はネットワーキングの人ではなく、誰かがおそらくより良い刺しをすることができます)


1
ほとんどのtraceroute実装は、記事が状態に進むにつれてUDP + ICMPに依存します。
-dmourati

@dmourati Unix管理者として、私は赤面することを余儀なくされています。ああ。ありがとうございました。
アンドリューB

私の経験では、これはまったく珍しいことではありません。多くの通信事業者は、ネットワーク内で10.0.0.0/8を使用しており、その量が気になるほどに公開しています。
ポール・ギア
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.