除非你在岛上弃城而逃,否则你应该听说过IPv4地址耗尽危机。我们的IPv4互联网的未来注定是艰难时期的NAT444/CGN/LSN和市场IPv4地址这肯定会膨胀BGP表的大小。然而,尽管如此凄惨黑暗中仍有一线希望。bogon列表正在缩小,因此我们的过滤器使用这些未分配/保留的地址阻塞包。
与互操作慷慨地将他们的45/8 IPv4地址块归还给了ARIN。这又给消耗倒计时增加了一个月左右的时间。IPv4地址疲惫正在迅速逼近,不幸的是,几乎没有人能做什么来预防它。随着越来越多的IPv4地址空间被分配,未分配或保留的地址空间的数量减少。
多年来,我一直参考Team Cymru路由器加固指南。该组维护IPv4的当前列表虚伪的人.bogon是一个术语,指未分配或保留的IP地址,不应该在Internet上使用。bogon这个词是由bogus(伪造的)和一些亚原子粒子的术语组合而成的。另一个与boons同义的术语是“火星人”。这并不是指居住在太阳系第四颗行星上的友好生命形式。瞻博路由器在路由表中将这些未分配的地址称为“火星人”。
大多数组织执行虚伪的人过滤以防止具有这些类型地址的数据包越过这些阈值。要么这些地址在内部使用,过滤器防止它们逃跑,要么你在另一边,你不想让别人的垃圾渗入你的网络。加固路由器的一种流行技术是消除伪IP地址块路由流量的能力。有一个定义良好的IP地址范围列表,这些范围不是由Internet注册中心分配的。因此,到达或来自这些IP地址的IP地址是无效的,应该被丢弃。
我在和我的同事聊天蒂姆·克莱格前几天,我们惊讶于bogon列表变得如此之小。
我记得在2007年,当时的沼泽名单有50个条目,看起来像这样:0.0.0.0 255.0.0.0 1.0.0.0 255.0.0.0 2.0.0.0之间255.0.0.0 5.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 23.0.0.0 255.0.0.0 27.0.0.0 255.0.0.0 31.0.0.0 255.0.0.0 36.0.0.0 255.0.0.0 37.0.0.0 255.0.0.0 39.0.0.0 255.0.0.0 42.0.0.0 255.0.0.0 46.0.0.0 255.0.0.0 49.0.0.0 255.0.0.0 50.0.0.0 255.0.0.0 100.0.0.0 255.0.0.0 101.0.0.0 255.0.0.0 102.0.0.0 255.0.0.0 103.0.0.0255.0.0.0 104.0.0.0 255.0.0.0 105.0.0.0 255.0.0.0 106.0.0.0 255.0.0.0 107.0.0.0 255.0.0.0 108.0.0.0 255.0.0.0 109.0.0.0 255.0.0.0 110.0.0.0 255.0.0.0 111.0.0.0 255.0.0.0 112.0.0.0 255.0.0.0 113.0.0.0 255.0.0.0 127.0.0.0 255.0.0.0 169.254.0.0 255.255.0.0 172.16.0.0 255.240.0.0 173.0.0.0 255.0.0.0 174.0.0.0 255.0.0.0 175.0.0.0 255.0.0.0 176.0.0.0 255.0.0.0 177.0.0.0 255.0.0.0 178.0.0.0 255.0.0.0 179.0.0.0 255.0.0.0 180.0.0.0 255.0.0.0 181.0.0.0 255.0.0.0 182.0.0.0 255.0.0.0 183.0.0.0 255.0.0.0 184.0.0.0 255.0.0.0 185.0.0.0 255.0.0.0 192.0.2.0 255.255.255.0 192.168.0.0 255.255.0.0 197.0.0.0 255.0.0.0 223.0.0.0 255.0.0.0 224.0.0.0 224.0.0.0
点分十进制聚合虚伪的人名单有22个条目,看起来像这样:0.0.0.0 255.0.0.0 5.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 23.0.0.0 255.0.0.0 37.0.0.0 39.0.0.0 255.0.0.0 100.0.0.0 255.0.0.0 102.0.0.0 254.0.0.0 104.0.0.0 254.0.0.0 106.0.0.0 127.0.0.0 255.0.0.0 169.254.0.0 255.255.0.0192.168.0.0 255.255.0.0 198.18.0.0 255.254.0.0 198.51.100.0 255.255.255.0 203.0.113.0 255.255.255.0 224.0.0.0 224.0.0.0
随着更多的IPv4地址被分配,bogon列表最终将看起来像一个整洁的小列表。在接下来的6个月左右的时间里,名单可能会像这样。0.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 127.0.0.0 255.0.0.0 169.254.0.0 255.255.0.0 172.16.0.0 255.255.255.0 192.0.2.0 255.255.255.0 192.168.0.0 255.255.0.0 198.18.0.0 255.254.0.0 198.51.100.0 255.255.255.0 203.0.113.0 255.255.255.0 224.0.0.0 224.0.0.0
另一方面,当您准备部署IPv6时,您将希望在您的周边执行IPv6 bogon过滤。下面是一个列表的IPv6源和目的地址,你将想要阻止在你的周边。1::::::飞行符:0.0.0.0/96:飞行符:10.0.0.0/104:飞行符:127.0.0.0/104:飞行符:172.16.0.0/108:飞行符:192.168.0.0/112:飞行符:224.0.0.0/100:飞行符:240.0.0.0/100:飞行符:255.0.0.0/104 2002:e000:: / 20 2002:7f00:: / 24 2002:0000:: / 24 2002: ff00:: / 24 2002:0a00:: / 24 2002: ac10:: / 28 2002: c0a8:: / 32 fe80:: / 10 fec0:: / 10 fc00:: / 7 ff00:: / 8 2001: db8:: / 32 3 ffe:: / 16
与此同时,我们可以看到光明的一面。很快我们就没有IPv4地址了,但至少我们的bogon过滤器将会很小并且易于管理。
斯科特