Еще раз про IP-адреса, маски подсетей и вообще
Чуточку ликбеза. Навеяно предшествующими копипастами разной чепухи на данную тему. Уж простите, носинг персонал.
IP-адрес (v4) состоит из 32-бит. Любой уважающий себя админ, да и вообще айтишник (про сетевых инженеров молчу) должен уметь, будучи разбуженным среди ночи или находясь в состоянии сильного алкогольного опьянения, правильно отвечать на вопрос «из скольки бит состоит IP-адрес». Желательно вообще-то и про IPv6 тоже: 128 бит.
Обстоятельство первое. Всего теоретически IPv4-адресов может быть:
2 32 = 2 10 *2 10 *2 10 *2 2 = 1024*1024*1024*4 ≈ 1000*1000*1000*4 = 4 млрд.
Ниже мы увидим, что довольно много из них «съедается» под всякую фигню.
Записывают IPv4-адрес, думаю, все знают, как. Четыре октета (то же, что байта, но если вы хотите блеснуть, то говорите «октет» — сразу сойдете за своего) в десятичном представлении без начальных нулей, разделенные точками: «192.168.11.10».
В заголовке IP-пакета есть поля source IP и destination IP: адреса источника (кто посылает) и назначения (кому). Как на почтовом конверте. Внутри пакетов у IP-адресов нет никаких масок. Разделителей между октетами тоже нет. Просто 32-бита на адрес назначения и еще 32 на адрес источника.
Однако, когда IP-адрес присваивается интерфейсу (сетевому адаптеру или как там его еще называют) компьютера или маршрутизатора, то кроме самого адреса данного устройства ему назначают еще и маску подсети. Еще раз: маска не передается в заголовках IP-пакетов.
Компьютерам маска подсети нужна для определения границ — ни за что не угадаете чего — подсети. Чтоб каждый мог определить, кто находится с ним в одной [под]сети, а кто — за ее пределами. (Вообще-то можно говорить просто «сети», часто этот термин используют именно в значении «IP-подсеть».) Дело в том, что внутри одной сети компьютеры обмениваются пакетами «напрямую», а когда нужно послать пакет в другую сеть — шлют их шлюзу по умолчанию (третий настраиваемый в сетевых свойствах параметр, если вы помните). Разберемся, как это происходит.
Маска подсети — это тоже 32-бита. Но в отличии от IP-адреса, нули и единицы в ней не могут чередоваться. Всегда сначала идет сколько-то единиц, потом сколько-то нулей. Не может быть маски
Но может быть маска
Сначала N единиц, потом 32-N нулей. Несложно догадаться, что такая форма записи является избыточной. Вполне достаточно числа N, называемого длиной маски. Так и делают: пишут 192.168.11.10/21 вместо 192.168.11.10 255.255.248.0. Обе формы несут один и тот же смысл, но первая заметно удобнее.
Чтобы определить границы подсети, компьютер делает побитовое умножение (логическое И) между IP-адресом и маской, получая на выходе адрес с обнуленными битами в позициях нулей маски. Рассмотрим пример 192.168.11.10/21:
11000000.10101000.00001011.00001010
11111111.11111111.11111000.00000000
———————————————-
11000000.10101000.00001000.00000000 = 192.168.8.0
Обстоятельство второе. Любой уважающий себя администратор обязан уметь переводить IP-адреса из десятичной формы в двоичную и обратно в уме или на бумажке, а также хорошо владеть двоичной арифметикой.
Адрес 192.168.8.0, со всеми обнуленными битами на позициях, соответствующих нулям в маске, называется адресом подсети. Его (обычно) нельзя использовать в качестве адреса для интерфейса того или иного хоста. Если же эти биты наоборот, установить в единицы, то получится адрес 192.168.15.255. Этот адрес называется направленным бродкастом (широковещательным) для данной сети. Смысл его по нынешним временам весьма невелик: когда-то было поверье, что все хосты в подсети должны на него откликаться, но это было давно и неправда. Тем не менее этот адрес также нельзя (обычно) использовать в качестве адреса хоста. Итого два адреса в каждой подсети — на помойку. Все остальные адреса в диапазоне от 192.168.8.1 до 192.168.15.254 включительно являются полноправными адресами хостов внутри подсети 192.168.8.0/21, их можно использовать для назначения на компьютерах.
Таким образом, та часть адреса, которой соответствуют единицы в маске, является адресом (идентификатором) подсети. Ее еще часто называют словом префикс. А часть, которой соответствуют нули в маске, — идентификатором хоста внутри подсети. Адрес подсети в виде 192.168.8.0/21 или 192.168.8.0 255.255.248.0 можно встретить довольно часто. Именно префиксами оперируют маршрутизаторы, прокладывая маршруты передачи трафика по сети. Про местонахождение хостов внутри подсетей знает только шлюз по умолчанию данной подсети (посредством той или иной технологии канального уровня), но не транзитные маршрутизаторы. А вот адрес хоста в отрыве от подсети не употребляется совсем.
Из данного обстоятельства в частности следует, что максимальной длиной маски для подсети с хостами является N=30. Именно сети /30 чаще всего используются для адресации на point-to-point-линках между маршрутизаторами.
И хотя большинство современных маршрутизаторов отлично работают и с масками /31, используя адрес подсети (нуль в однобитовой хоствой части) и бродкаст (единица) в качестве адресов интерфейсов, администраторы и сетевые инженеры часто попросту боятся такого подхода, предпочитая руководствоваться принципом «мало ли что».
А вот маска /32 используется достаточно часто. Во-первых, для всяких служебных надобностей при адресации т. н. loopback-интерфейсов, во-вторых, от криворукости: /32 — это подсеть, состоящая из одного хоста, то есть никакая и не сеть, в сущности. Чем чаще администратор сети оперирует не с группами хостов, а с индивидуальными машинами, тем менее сеть масштабируема, тем больше в ней соплей, бардака и никому непонятных правил. Исключением, пожалуй, является написание файрвольных правил для серверов, где специфичность — хорошее дело. А вот с пользователями лучше обращаться не индивидуально, а скопом, целыми подсетями, иначе сеть быстро станет неуправляемой.
Интерфейс, на котором настроен IP-адрес, иногда называют IP-интерфейсом или L3-интерфейсом («эл-три», см. Модель OSI).
Прежде чем посылать IP-пакет, компьютер определяет, попадает ли адрес назначения в «свою» подсеть. Если попадает, то шлет пакет «напрямую», если же нет — отсылает его шлюзу по умолчанию (маршрутизатору). Как правило, хотя это вовсе необязательно, шлюзу по умолчанию назначают первый адрес хоста в подсети: в нашем случае 192.168.8.1 — для красоты.
Обстоятельство четвертое. Из сказанного в частности следует, что маршрутизатор (шлюз и маршрутизатор — это одно и то же) с адресом интерфейса 192.168.8.1 ничего не знает о трафике, передаваемом между, например, хостами 192.168.8.5 и 192.168.8.7. Очень частой ошибкой начинающих администраторов является желание заблокировать или как-то еще контролировать с помощью шлюза трафик между хостами в рамках одной подсети. Чтобы трафик проходил через маршрутизатор, адресат и отправитель должны находиться в разных подсетях.
Таким образом в сети (даже самого маленького предприятия) обычно должно быть несколько IP-подсетей (2+) и маршрутизатор (точнее файрвол, но в данном контексте можно считать эти слова синонимами), маршрутизирующий и контролирующий трафик между подсетями.
Обстоятельство пятое. Как и любому приличному IT-шнику, администратору сети, если только он получает зарплату не за красивые глаза, положено знать наизусть степени двойки от 0 до 16.
Процесс объединения мелких префиксов (с длинной маской, в которых мало хостов) в крупные (с короткой маской, в которых много хостов) называется агрегацией или суммаризацией (вот не суммированием!). Это очень важный процесс, позволяющий минимизировать количество информации, необходимой маршрутизатору для поиска пути передачи в сети. Так, скажем, провайдеры выдают клиентам тысячи маленьких блоков типа /29, но весь интернет даже не знает об их существовании. Вместо этого за каждым провайдером закрепляются крупные префиксы типа /19 и крупнее. Это позволяет на порядки сократить количество записей в глобальной таблице интернет-маршрутизации.
Обстоятельство шестое. Чем больше длина маски, тем меньше в подсети может быть хостов, и тем большую долю занимает «съедение» адресов на адреса подсети, направленного бродкаста и шлюза по умолчанию. В частности в подсети с маской /29 (2 32-29 = 8 комбинаций) останется всего 5 доступных для реального использования адресов (62,5%). Теперь представьте, что вы провайдер, выдающий корпоративным клиентам тысячи блоков /29. Таким образом, грамотное разбиение IP-пространства на подсети (составление адресного плана) — это целая маленькая наука, включающая поиск компромиссов между разными сложными факторами.
При наличии достаточно большого диапазона адресов, как правило из блоков для частного использования 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16, конечно, удобно использовать маски, совпадающие по длине с границами октетов: /8, /16, /24 или, соответственно, 255.0.0.0, 255.255.0.0 и 255.255.255.0. При их использовании можно облегчить работу мозгу и калькулятору, избавившись от необходимости работать с двоичной системой и битами. Это правильный подход, но не стоит забывать, что злоупотребление расслабухой редко доводит до добра.
И последнее. Пресловутые классы адресов. Дорогие товарищи, забудьте это слово вообще! Совсем. Вот уже скоро 20 лет (!), как нет никаких классов. Ровно с тех пор, как стало понятно, что длина префикса может быть любой, а если раздавать адреса блоками по /8, то никакого интернета не получится.
Иногда «матерые специалисты» любят блеснуть словами «сеть класса такого-то» по отношению к подсети с той или иной длиной маски. Скажем, часто можно услышать слово «сеть класса C» про что-нибудь вроде 10.1.2.0/24. Класс сети (когда он был) не имел никакого отношения к длине маски и определялся совсем другими факторами (комбинациями битов в адресе). В свою очередь классовая адресация обязывала иметь маски только предписанной для данного класса длины. Поэтому указанная подсеть 10.1.2.0/24 никогда не принадлежала и не будет принадлежать к классу C.
Но обо всем этом лучше и не вспоминать. Единственное, что нужно знать — что существуют разные глобальные конвенции, собранные под одной крышей в RFC3330, о специальных значениях тех или иных блоков адресов. Так, например, упомянутые блоки 10/8, 172.16/12 и 192.168/16 (да, можно и так записывать префиксы, полностью откидывая хостовую часть) определены как диапазоны для частного использования, запрещенные к маршрутизации в интернете. Каждый может использовать их в частных целях по своему усмотрению. Блок 224.0.0.0/4 зарезервирован для мультикаста и т. д. Но все это лишь конвенции, призванные облегчить административное взаимодействие. И хотя лично я крайне не рекомендую вам их нарушать (за исключением надежно изолированных лабораторных тестов), технически никто не запрещает использовать любые адреса для любых целей, покуда вы не стыкуетесь с внешним миром.
IP-адрес — что это такое, как его посмотреть и изменить
Содержание:
В мире доминируют сети с IP-адресацией, самая крупная из которых – Интернет. Устройства, начиная от bluetooth-гаджетов и заканчивая компьютерами, имеют собственный IP-адрес, который служит определяющей меткой в сетевом пространстве.
Понимание того, как работает IP-адрес, является основой системного администрирования. Это базовые знания, которые нужны в реальном мире для простейшей конфигурации сетей как в домашней, так и корпоративной среде.
В этой статье расскажем простыми словами, что такое IP-адрес, какова его структура и предназначение, а также — как посмотреть IP-адрес несколькими способами. Затронем тему безопасности в IP-сетях, приведём примеры основных угроз и способы защиты от них.
Что такое IP-адрес
IP-адрес (IP от англ. Internet Protocol) — цифровой идентификатор, присваиваемый устройству, которое работает в условиях публичной или локальной сети на основе стека протоколов TCP/IP. Без него невозможно существование Интернета или какой-либо внутренней IP-сети.
Сравнить IP-адрес можно с номером телефона или адресом дома – и тот, и тот указывают на объект. Как человек звонит собеседнику по номеру, так и компьютер обращается к другому устройству по IP-адресу.
Структура IP-адреса
Разберём структуру IP-адреса на примере самого первого и распространённого интернет-протокола IPv4.
IP-адрес IPv4 имеет 32-битную (4 байта) структуру. Он разделён на 4 части, каждая из которых состоит из 8 бит (1 байт) и называется октетом. Каждый бит IP-адреса – цифра двоичной системы.
При преобразовании октета с двоичной системы в десятеричную получается одно число со значением от 0 до 255.
Маска подсети
Устройства различают части IP-адреса при помощи маски подсети – 32-битной строки, разделённой на 4 октета, как и IP-адрес. При установке соединения каждый октет IP-адреса сопоставляется с октетом маски подсети.
В примере маска IP-адреса указана в десятичном представлении и содержит числа «255» и «0». Первое отвечает за идентификацию сети, а второе за обозначение конечного узла.
Классы IP-адресов
IP-адрес в классовой архитектуре сетевой адресации состоит из двух частей:
Важно! В связи с ограниченностью ресурса адресов IPv4, в настоящее время классовая адресация почти перестала использоваться. Ей на смену пришла технология бесклассовой междоменной маршрутизации (Classless Inter-Domain Routing, CIDR). Бесклассовая адресация более экономно использует диапазон адресов IPv4, так как в ней нет строгой привязки масок подсети к адресам подсети.
TCP/IP
Любая сеть с IP-адресацией построена на основе TCP/IP – модели, включающей в себя стек протоколов, применяемых при передаче данных по сети. Основными протоколами являются TCP и IP, но имеется и масса других вариантов.
Уровни TCP/IP
Сетевое расположение IP-адресов
Уникальные IP-адреса, которые назначаются специальными организациями (например, Интернет-провайдером), называются внешними, белыми или публичными. Публичные IP-адреса применяются для получения доступа к Интернету и осуществления взаимодействия с другими узлами через публичную сеть. Устройство с внешним IP-адресом видно другим пользователям в Интернете.
Кроме того, существуют частные IP-адреса, именуемые также серыми или внутренними. Серые IP-адреса назначаются устройствам в локальной сети и не видны в Интернете. К примеру, можно представить дом, в котором к WI-FI роутеру подключено несколько устройств. Все они объединены в одну сеть и имеют серые IP-адреса.
| Публичные IP-адреса | Частные IP-адреса |
| Глобальный (внешний) охват. | Местный (внутренний) охват. |
| Используются для соединений через Интернет за пределами частной сети. | Используется для связи с другими устройствами в частной сети. |
| Уникальный числовой код, не используемый другими устройствами. | Неуникальный числовой код, который может использоваться другими устройствами в других частных сетях. |
| Можно узнать по поисковому запросу типа: «Мой IP-адрес» («What is my IP»). | Можно найти во внутренних настройках устройства. |
| Назначаются интернет-провайдером. | Присваиваются маршрутизатором конкретному устройству. |
| Платные. | Бесплатные. |
| Может использоваться любое число, не входящее в диапазон частных IP-адресов. | 10.0.0.0 — 10.255.255.255 172.16.0.0 — 172.31.255.255 192.168.0.0 — 192.168.255.255 |
| Пример: 8.8.8.8. | Пример: 10.11.12.13 |
Присвоение IP-адресов
Динамическое назначение
При подключении к сети через протокол динамической настройки узла (DHCP / Dynamic Host Configuration Protocol) все параметры стека TCP/IP автоматически устанавливаются на устройстве. Узлу назначается динамический IP-адрес, который меняется на другой при переподключении устройства. Диапазон IP-адресов указывается на сервере DHCP.
Статическое назначение
Статический IP-адрес присваивается вручную и не изменяется при переподключении к сети. Этот тип присваивания используется на устройствах, доступ к которым должен производится по одному адресу (например, на серверах).
Версии IP
В сентябре 1981 года появился первый стандарт интернет-протокола (IP) IPv4, который положил начало современной сети Интернет. Ipv4 IP-адрес имеет вид: 192.168.50.1 .
Подробнее этот формат разобран выше.
Интернет с 1980-х годов начал стремительно расти, поэтому появилась угроза истощения пула возможных адресов – их просто не хватило бы на все сети и узлы. Поэтому в 1995 году появился формат IPv6, при котором длина IP-адреса возросла с 32 до 128 бит, а десятичная система сменилась шестнадцатеричной.
IP-адрес IPv6 состоит из 16 октетов (8 блоков по 2 октета), раздёленных двоеточиями. В полном виде запись IPv6 выглядит следующим образом: 2001:0bd7:0ccf:0006:0000:0000:012f:002d .
Адрес IPv6 можно сжать, исключив нули из записи. Сокращенная форма IPv6: 2001:bd7:ccf:12f:2d .
Развитие IPv6
Новый формат IP-адреса развивается сравнительно медленно. Первое внутреннее внедрение произошло у Google ещё в 2008, тогда протокол прошёл успешное тестирование. 6 июня 2012 года совершился повсеместный запуск IPv6.
Кстати. Число возможно доступных IPv6 адресов равняется 340 ундециллионам (ундециллион – число с 36 нулями). Для сравнения, в формате IPv4 этот показатель не превышает отметки 3,4 миллиона IP-адресов.
Многие провайдеры стали предоставлять пользователям услуги с использованием новой технологии, поэтому доля трафика IPv6 к 2020 году составила 30% по всему миру. В России доля трафика IPv6 составляет 4.5%, но постепенно увеличивается. Основным фактором, замедляющим процесс внедрения IPv6, является необходимость замены оборудования провайдеров на более новое, что несёт дополнительные затраты.
DNS и IP-адрес
Путешествуя по Интернету, пользователь устанавливает соединение через браузер с другими серверами в основном не по IP-адресу, а с помощью доменного имени. Система доменных имён (DNS) служит для перенаправления на постоянный IP-адрес конечного веб-ресурса. Говоря простыми словами, она преобразовывает буквенные значения доменного имени в цифры IP-адреса.
Например, чтобы попасть на сайт поисковика Google, не нужно вводить сложный в запоминании числовой адрес «74.125.131.100». Достаточно набрать в адресной строке доменное имя «.google.com».
За осуществление подобной переадресации отвечает DNS-сервер, который работает согласно информации из DNS-записей. Продолжая «телефонную» аналогию можно сказать, что если IP-адрес — это номер телефона, то сервер DNS — это телефонная книга, содержащая все подобные номера.
Домены от Eternalhost — быстрый и выгодный способ получить имя для веб-ресурса! Статус LIR, широкий выбор популярных зон, возможность продления по цене покупки, бесплатный DNS-хостинг.
Как узнать IP-адрес
Определить IP-адрес используемого устройства можно при помощи поискового запроса в браузере вида «мой ip-адрес» («What is my IP»). Многие сервисы, такие как Whoer, 2ip и WhiteWhois, проверяют идентификатор IP-адреса и предоставляют более подробную информацию о пользователе (например, название провайдера или примерное местоположение устройства).
В локальной сети адрес устройства указывается в настройках операционной системы, поэтому прибегать к внешними инструментам не требуется. Определить локальный IP-адрес можно следующими способами.
Анонимность и безопасность
«Вычислю по IP»
Это скорее миф, чем реальная угроза. Среди пользователей существует заблуждение, что злоумышленник может отследить человека, узнав его внешний IP-адрес. На деле не всё так просто — информация о клиентах находится в безопасности у провайдера. Доступ к личным данным такого рода могут получить только органы государственной безопасности.
Единственное, что можно узнать по IP-адресу, так это местоположение оборудования провайдера. А такая информация указывает лишь на примерную геолокацию пользователя с точностью до страны и города.
Атака сетевого устройства
Злоумышленник может обнаружить IP-адрес устройства и просканировать его на наличие потенциальных дыр в безопасности. В качестве последних могут выступать брандмауэры со слабой защитой. Также существуют программы, которые прослушивают внешние порты (например, SSH, VNC, HTTP, RDP) устройства пользователя на предмет уязвимостей.
Атаки сетевых устройств проводятся как через Интернет, так и по локальной сети. Иногда спасает использование DHCP — IP-адрес меняется при переподключении, поэтому злоумышленнику приходится заново искать IP и начинать атаку.
Фиксация деятельности со стороны провайдера
Интернет-провайдер выступает в роли посредника и может анализировать сетевой трафик. Данные, передающиеся через незашифрованные протоколы (например, HTTP, FTP), разбираются без проблем. При использовании защищённых вариантов (HTTPS, SFTP, SSH) передаётся информация только об адресе или домене конечного сервера.
Способы защиты IP-адреса
От перечисленных угроз может обезопасить использование сети TOR, прокси или VPN. Представленные типы защиты выполняют скрытие IP-адреса, что анонимизирует деятельность пользователя в сети.
Сеть TOR работает по принципу «луковичной маршрутизации», когда пользовательский трафик перенаправляется через несколько серверов-посредников и выходит в Интернет. Публичный IP-адрес пользователя постоянно меняется, что анонимизирует деятельность и не позволяет отследить трафик. Начать использование сети TOR можно, скачав официальный браузер Tor Browser, который, помимо маршрутизации, блокирует отслеживающие трекеры интернет-ресурсов.
Прокси и VPN работают схоже. Трафик перенаправляется через сервер (или несколько серверов) и выходит в Интернет с подменой IP-адреса. Технология VPN, в отличие от прокси, шифрует данные по пути от пользователя до сервера-посредника, поэтому считается лучшим вариантом в плане безопасности.
Как изменить IP-адрес
Локальная сеть
Изменение IP-адреса выполняется через настройки операционной системы. Далее будут приведены два способа изменения сетевого идентификатора на примере операционных систем Windows и Linux.
Windows
Далее нужно перейти в свойства необходимого сетевого интерфейса и в появившемся окне открыть свойства компонента «Протокол Интернета версии 4 (TCP/IPv4)». В разделе «Общие» остаётся назначить статический IP-адрес, заполнив все необходимые поля.
Linux
Необходимо выбрать сетевой интерфейс и запомнить его наименование. Теперь стоит ввести следующую команду, чтобы назначить другой IP-адрес:
В приведенном примере:
Глобальная сеть
Многие провайдеры используют динамическое назначение IP-адреса, поэтому достаточно перезагрузить маршрутизатор (роутер) для смены сетевого идентификатора.
Если назначен белый IP, то варианты решения проблемы уже другие:
Первые два способа были описаны выше – эти варианты являются наиболее простыми. Обращение к провайдеру является крайним вариантом – потребуется совершить звонок по номеру телефона горячей линии или сделать запрос на получение IP-адреса в ближайшем филиале.
Заключение
В основе Интернета и любой IP/TCP сети лежит IP-адресация. Каждый системный администратор должен знать её основы для построения сетей как в домашней, так и в корпоративной среде.
Не стоит забывать и о безопасности, ведь плохо сконфигурированная сеть имеет уязвимости, позволяющие злоумышленнику нарушить работу подключения или получить доступ к личной информации.
