Názory k článku Botnet proskenoval celý internet: používá se jen třetina IPv4 adres
-
KapitanRUM (neregistrovaný)
Nic překvapivého, všichni vlastně vědí, že IPv4 zdaleka není vyčerpaná a přesto tu jsou lidé schopní tvrdit, jak všichni strašně potřebujeme IPv6. IPv4 by bylo možné považovat za vyčerpanou při obsazení řekněme 2/3 všech adres.
Zároveň se objevuje otázka: IPv4 jsme zdaleka nevyčerpali, přesto jí prohlašujeme za vyčerpanou, kdy se vyčerpá IPv6, jestliže s ní budeme zacházet stejně jako s IPv4?
Někdo opravdu tupý může namítnout, že v IPv6 je tolik adres, že lze adresovat každý centimetr čtverečný na zemi a někdo jiný tupý mu to zbaští. Jenže tohle není otázka celkového počtu, ale rychlosti vyčerpání.
Pokud dítěti dáte do ruky desetikorunu a řeknete mu "A víc nedostaneš", bude jí nejspíš chuděra žmoulat a šetřit. Dejte stovku a dost možná jí obratem rozhází.
Na příkladu IPv4 je vidět, že počet adres není limitujícím faktorem určujícím vyčerpání nějakého prostředku, samotným limitujícím faktorem je strategie přidělování adres.
-
Ale ipv6 adresy rozdeluju komunisti. Ja som od RIPE pytal /48 na testovanie a dostal som /32. /32 je momentalne blok ktory vam RIPE assign-ne 'by default'.
Pre kolegov projekt som potreboval sponzorovat provider independent range. Poslem ziadost do RIPE a co dojde naspat? /32. Takymto sposobom budeme aj s ipv6 o 10 rokov tam, kde sme teraz s ipv4.
-
Ondřej CaletkaZlatý podporovatelJeště přesněji jsou v IPv6 nějak použity necelé 3/8 adresního prostoru. Pro individuální a výběrové adresy se používá pouze jedna osmina 2000::/3.
-
Ondřej CaletkaZlatý podporovatel
PI rozsah /32? To je nějaké divné, PI rozsahy by měly být podle RIPE politik právě jen /48. Ale hlavně je záměr PI rozsahy zbytečně nedávat, pokud k tomu není opravdu závažný důvod.
A pokud jde o příděl /32 na testování, tak tam se počítá, že do té /32 se vejde kromě testování i všechno v budoucnu, tedy že vás takovým blokem odbudou navždy. Jeden adresní blok na jednoho LIRa je neprosto v pohodě, oproti IPv4 světu to bude stále mnohem agregovanější. Ve skutečnosti se ještě dělají rastry pro rozšíření přídělu až na /29, protože při použití třeba 6rd může být i v /32 těsno.
Bloků o délce /29 je v IPv6 celkem 2^26. Děleno mezi 5 RIR je cca 2^24 ~ 10^7 bloků. Aktuální počet LIRů je a dlouho bude mezi 10^4 - 10^5, takže na každého LIRa bezpečně zbude 10^2 - 10^3 takových bloků.
-
j (neregistrovaný)
Zjevne si necet prislusna RFC - /48 prideluje provider zakaznikovi ze svyho rozsahu, pokud si chce zakaznik jeste dal routovat. Z jedny /32 pak muze takovych podsiti pridelit 65k ... takze jedna /32 bude stacit drtivy vetsine provideru v CR, a tech nekolik malo vetsich, si holt rekne o vetsi.
-
RB (neregistrovaný)
U IPv6 se ale nepočítá, že jedno zařízení bude používat jednu IPv6 adresu!
Počítá se s tím, že každá aplikace přistupující do internetu, nebo každá služba běžící na daném stroji, si vygeneruje "vlastní" veřejně dostupnou IPv6 adresu z přiděleného rozsahu.
Toto může probíhat staticky napevno nastaveno administrátorem, nebo plně dynamicky.
Dokonce je možné, aby aplikace generovala novou IPv6 adresu pro každé nové spojení.Je to právě z důvodu, aby se zabránilo (snížila) možnost/jednoduchost DDOS aktivit, skenování sítě, a také zabránilo (bylo těžší) přiřadit spojení (nebo IPv6 adresu) ke konkrétnímu zařízení / uživateli.
Neříkám, že dnes to aplikace reálně využívají (například co jsem koukal, tak to dělá částečně IE na Windows 8.1 a 10), ale do budoucna se s tím počítá.
-
Hefay (neregistrovaný)
Cvičící nám říkal, že když požádal o IPv6 adresu svého poskytovatele dostal pro soukromé užití v podstatě takový rozsah jako má současná IPv4 na celý svět, nebo možná polovinu té hodnoty (nepamatuji si to přesně), tak jak tak by to bylo obrovské plýtvání a dlouho by nám adresy nevydrželi.
-
Podobne si predstavuju ze bude reagovat nejaka babicka, kdyz se dozvi ze pocitac umi secist miliardu cisel za sekundu, ale vetsinu casu jen ceka. To je panecku plytvani.
Probuh proc si o tom neco nezjistite kdyz vam to teda ten cvicici evidentne nevysvetlil? IPv6 je prave tak navrzeno, ze dostane ohromny rozsah. Pro vasi predstavu - radove je to tolik, ze by si kazdy mohl postavit internet doma a kazdy jiny by to vsem mohl ocislovat svym rozsahem. -
Obecne doporuceni je, aby zakaznik dostaval neco mezi /48 a /63. RIPE doporucuje pro male zakazniky, rekneme ADSL domacnost pridelovat prefix /56, pro vetsi zakazniky /48 a nic mezi tim. O2 dava (pokud se to nezmenilo) na ADSL prave jeden prefix /64, coz odporuje doporuceni a znemoznuje to mit doma vic jak jednu L2 sit. Diky neexistenci NATu je to vlastne horsi nez u IPv4. Nemuzu mit napr. oddelenou sit pro Ethernet a WiFi. Na L2 segmentu by mel byt prefix /64, aby fungovaly autokonfiguracni mechanismy.
-
j (neregistrovaný)
Dalsi placal, co nedokaze pochopit, ze prave kvuli zasranymu NATu 2/3 veci po netu nefungujou a NIKDY fungovat nebudou? Me vazne moc bavi kazdymu BFUcku vysvetlovat, ze na VoIP k sousedovi si proste nezavola, protoze na jeho privadni znatovanou adresu se proste nepripoji. Pripadne neustale resit, proc nekomu nefunguje stahovani pres torrent/dc/... kdyz protistrana nema internet ...
Navic KAZDEJ provider dostane IPv6 adres kolik si rekne (pokud je mu /32 malo dostane vic). Z sou v telecumu kreteni a o dalsi si nereknou je jen jejich problem.
-
Neplácal (neregistrovaný)
Proč plácal? Jenom píše že není pravda že IPv6 NAT neexistuje, nikde nevidím hodnocení zda je to dobře nebo špatně.
Dobře je existence IPv6 NATu například pro uživatele kterému ISP přidělí jenom málo IPv6 adres a za přidělení dalších chce platit (v lepším případě - v tom horším jich ani víc přidělit neumožňuje).
Takže prosím rozlišujte mezi každej provider a každej uživatel a u uživatelů navíc jde ještě o podmínky které jim provider nastaví!
-
Sten (neregistrovaný)
Dobře je existence IPv6 NATu například pro uživatele kterému ISP přidělí jenom málo IPv6 adres a za přidělení dalších chce platit (v lepším případě - v tom horším jich ani víc přidělit neumožňuje).
Minimální alokace je /64. Chci vidět někoho, kdo bude mít tolik zařízení, že mu to bude málo. (Mimochodem RFC vyžaduje možnost získat na požádání /48.)
Navíc existuje pouze nestavový 1:1 NAT, který takhle použít nejde.
-
Santiago (neregistrovaný)
> Minimální alokace je /64
Minimalni prideleny blok je sice /64, ale nic negarantuje, ze koncovy uzivatel vubec nejaky prideleny blok dostane. Muze treba dostat jen spojovaci adresu na sdilene siti poskytovatele (coz se nepovazuje za prideleny blok, ale za provozni adresy poskytovatele).
-
uživatel IPv6 (neregistrovaný)
Minimální alokace není /64 - v praxi nic ISP nebrání zákazníkovi dát méně, klidně jen 1 adresu.
I kdyby ISP přidělil /64, co dělat když zákazník potřebuje adresovat více sítí s fungující bezestavovou autokonfigurací? Ne vždy je ty sítě možno spojit na L2 (pomocí bridge).
Takže pro zákazníky je záchranou že není pravda že by u IPv6 existoval pouze nestavový 1:1 NAT - viz např. CONFIG_IP6_NF_TARGET_MASQUERADE v Linuxu.
-
„To vypadá jako nereálná teoretická konstrukce. Proč by to ISP dělal? Nic by tím nezískal, a naopak by si přidělal spoustu práce s řešením problémů se zákazníky, kteří si nevypnou privacy extensions.“
V případě kontroly nad routerem jde omezovat i podle MAC adres...
Ve firemních sítích už UPC nový protokol podporuje a podle slov Martina Krautwursta
jej reálně využívá asi 20 procent klientů. Zazněly také technické detaily chystaného
přechodu. "Naše IPv6 implementace bude přidělovat prefixy /64 pro bridge mode modemy
a /56 pro router mode modemy. Množství povolených zařízení v koncových sítích ale bude
omezeno na druhé síťové vrstvě."http://www.root.cz/clanky/kdy-ipv6-nasadi-upc-t-mobile-telefonica-a-seznam/
Výsledný efekt je stejný, jen odolný proti problémům s PE.
-
uživatel IPv6 (neregistrovaný)
OK, přístup UPC chápu (jen z obchodního hlediska, ne z technického). Ale není to o blokování IPv6 adres (L3) ale o blokování MAC adres (L2) což je obrovský rozdíl. Stojím si za svým původním příspěvkem o nesmyslnosti blokování IPv6 adres.
To co UPC píše o "bridge mode" modemech je nejspíš jasné (to bude ta masová záležitost pro drtivou většinu zákazníků ze kterých se budou omezením počtu povolených MAC adres snažit vyždímat víc peněz za dražší tarif). Jsem ale zvědavý co to znamená "route mode modemy", že by fungovaly jako DHCP servery u kterých funguje prefix delegation? Nebo že by spoléhali na to že si to routování na těch "route mode modemech" bude někdo nastavovat staticky? A co vlastně znamená omezit na druhé síťové vrstvě "route mode modemy"? To jako že za nimi může být připojený jen omezený počet dalších routerů? WTF? K čemu je to dobré? Tomu vážně nerozumím...
A nakonec: naprosto nesouhlasím s tím, že výsledný efekt u UPC je stejný. S tím co prezentuje UPC si dokážu představit i u toho jejich jednoduchého "bridge mode modemu" připojit plnohodnotnou síť /64 pouze s jedním routerem který se z jedné strany (k UPC) bude na L2 bude tvářit jako jeden klient (jedna MAC adresa), ale z druhé strany (k zákazníkovi) bude zpřístupňovat plnohodnotné připojení pro celou L2 síť s IPv6 adresami /64. U IPv4 se tento trik označoval jako "proxy ARP", jak se to jmenuje u IPv6 nevím - že by proxy NDP? To mi připadá jako lepší řešení než rovnou NAT 1:n (což u IPv6 taky funguje, přesto že spousta lidí tvrdí že to není pravda).
-
Santiago (neregistrovaný)
To neni pravda, AFAIK pridelovani /64 koncovym uzivatelum je v souladu s aktualni RIPE policy:
RIPE-552:
5.4.1. Assignment address space size
End Users are assigned an End Site assignment from their LIR or ISP. The size of the assignment is a local decision for the LIR or ISP to make, using a minimum value of a /64 (only one subnet is anticipated for the End Site).
-
j (neregistrovaný)
Precti si pravidla RIPE - placeni za IP je v primem ROZPORU s temi pravidli, a to plati (jake prekvapeni) i pro IPv4. Pokud nekdo prodava adresy, neni nic jednodussiho, nez si postezovat u RIPE a ti jim mohou pripadne ty adresy ODEBRAT.
V pripade IPv4 pak palti - kde neni zalobce ... takze se to lehce pomiji, prave kvuli jejich nedostatku. V pripade IPv6 nebudou mit zadnej duvod providera jednoduse vykopnout z routovacich tabulek a ma smulu.
-
k (neregistrovaný)
Rozdíl mezi teorií a praxí je obrovský. Koukněte třeba na http://www.o2.cz/osobni/203291-internet/40771-pevna_ip_adresa.html - a ostatní operátoři to mají podobné. Co třeba poplatek za statickou veřejnou IP adresu při připojení přes mobil? Bez poplatku máte jen privátní IP adresu kterou operátor NATuje. Dělají to tak mobilní operátoři po celém světě...
-
Robert Bilka (neregistrovaný)
Snad již přestanou ve firmách zbytečně používat NAT jako bezpečnostní omezující prvek, a více se budou věnovat konfiguraci centrálních firewallů, které se jak v případě IPv4 tak i v případě IPv6 mají výhradně starat o to, která služba je dostupná ze které sítě, a pro které sítě.
U IPv4 pokud je zdrojová IP (stanice) schovaná za několika FW které dělají různé NAT překlady, pak nelze tuto zdrojovou stanici omezit (z pohledu stanice) na nejvzdálenějším FW, protože ta informace tam zkrátka není.
Jinak řečeno, IPv6 umožní lepší identifikaci zdrojové stanice kdekoli po cestě pro potřeby "zaříznutí" komunikace.Co se týče "anonymity" jako důvod pro využití NATu:
Při IPv6 je možné na danou službu pověsit tisícky veřejných manuálně vytvořených IPv6 adres, a každá služba pak pro komunikaci ven používá jinou zdrojovou IPv6 (ze stejného SUBNETU). Dokonce je možné nechat generovat IPv6 adresy dynamicky. Výhoda je jasná, IPv6 adresa pro "brouzdání" na WEB stránkách se může časově nebo dokonca "per session" měnit. Pokud někdo tuto adresu zaznamená, a chce provést na ní nějaký útok, za pár vteřin nebo minut již nemusí vůbec existovat. A pokud by ještě existovala, nenaslouchá na ní žádná služba.
Také skenovat konkrétní jediný subnet (/64) z této IPv6 adresy aby útočník zjistil, jaká je nové IPv6 adresa toho zařízení, je nereálné, to je větší rozsah IPv6 (/64) device address, než má celý rozsah IPv4! -
j (neregistrovaný)
Ono je celkem jedno jestli to je nebo neni legenda, neoddiskutovatelny fakt je ten, ze KAZDY system od M$ narazil jeste za sve zivotnosti na limity sve pouzitelnosti a to je naprosto tragicky.
Uz v dobach DOSu mely pocitace bezne pameti vic, v dobach win 98 se trebas narazilo na limit 512MB pameti (a co bylo genialni, ony ty widle ani nenastartovaly), pak se zase zaclo narazet na omezeni velikosti souboru/partysny na FATce (v dobe kdy se bezne pouzivala) ... XPcka narazila opet na (zcela umele) omezeni na 4GB (i 32bit XP umi pouzivat vic). A co je na tom prdel nejvetsi, tohle omezeni je soucasti i win7/8 - ani tyhle widle neumej PAE (pritom serverova varianta to samo umi - proto to umej i ty XPcka).
Takze M$ neustale o necem (prostrednicvym svych vytvoru) tvrdi, ze "to musi prece stacit vsem". Pokud vim, v pripade tuxe seou limity (z pohledu desktopu) postaveny tak, ze je i v budoucich deseti letech naprosto nerealny se jen priblizit.
-
To jsou ale spíš marketingové limity než technické. Proč by si lidi kupovali servery, když by to umělo to samé co desktop? :-). I ty 64bit domácí Windows mají myslím nějaké omezení, třeba Premium na 16GB, což bude za pár let docela těsné :-(. http://msdn.microsoft.com/en-us/library/windows/desktop/aa366778%28v=vs.85%29.aspx#physical_memory_limits_windows_7
O tom limitu u Win98 nevím, ale 512 mi přijde na tu dobu dost. Když jsem je používal v devadesátých letech, tak bylo bežné tak 64-128, na 512 doma nikdo normální neměl peníze. Kolem roku 2001 jsem měl 2000 (možná už XP) a tehdy bylo normální tak 256MB.
-
Pánové, jde vidět, že jste opravdu mladá ucha.
PC, když je IBM stvořilo, dokázalo adresovat 1MB paměti (20 bit adresová sběrnice), z čehož adresy od 640kB nahoru tvořily obslužné programy BIOSu, překryvná paměť periferních zařízení a podobně.
http://en.wikipedia.org/wiki/8086
Takže pokud Gates prohlásil, že 640kB musí stačit každému, tak měl na mysli fyzická omezení tehdejšího hardware.
-
>IPv4 zdaleka není vyčerpaná a přesto tu jsou lidé schopní tvrdit, jak všichni strašně potřebujeme IPv6.
Ono je mozne, ze nekde jsou nasyslene adresy, ktere by se daly pouzit jinde, kde je potrebuji vic. Ale jak se tu zminuje skoro v kazde diskusi o ipv4/ipv6, prevest adresy treba z USA napriklad do Hornich Pocernic, neni tak jednoduche. Kdyz nelze prevest cely blok, ale treba 50 adres tuhle, 130 tamhle,...., nadela se tim takovy chlivek v routovacich tabulkach, ze by se z toho typicky router posral, az by z nej litala streva.
Dalsi problem s ipv4 je, ze vetsina stroju je pripojena za NATem, coz ma na radu veci znacne nevyhody.
Ipv6 bylo bohuzel navrzeno tak, jako by nekdo zapomnel, ze s tim budou muset pracovat i lide. Ale ipv4 ma dnes tolik nevyhod, ze asi budeme muset zatnou zuby a ipv6 se nejak prokousat. Ne, ze bych se na to tesil.
-
JJ (neregistrovaný)
"jako by nekdo zapomnel, ze s tim budou muset pracovat i lide."
Je treba smirit se s tim, ze svet je cim dal tim slozitejsi a ze stale mene lidi dokaze plne chapat, jak veci doopravdy funguji. Skodovku 120 opravil s trochou nadsazky kazdy vesnicky kovar, u soucasneho auta by asi moc neuspel.
Stejne je tomu i se sitemi a protokoly; co stacilo drive, uz dnes nevyhovuje a obavam se, jina cesta nez zeslozitovani neni.
Jisteze by mohl byt nastupce IPv4 navrzen jinak, otazka je jak. Koneckoncu komu se IPv6 nelibi, muze si navrhnout vlastni, lepsi reseni ;-). -
„Mozna jste pozapomel na stagnaci a nasledne zhrouceni z duvodu prilis vysoke slozitosti. Tim se to restartuje a prezivsi zase zacnou od jednoduchych reseni :-)“
A výhodou je, že adresní rozsah IPv6 jednoduchá řešení nevylučuje, takže pokud někdo přijde a bude aktivně prosazovat jednoduché řešení, nebude třeba opakovat harakiri s adresním rozsahem a změnou velikosti adres.
-
Treba proto, abych to nemusel porad hledat nekde ve failu. A protoze mam na siti par stroju se statickymi adresami a kdyz si pamatuji par koncovek, vim, kam se pripojuji. A protoze tu nemam DNS na vnitrni sit, protoze ten blby ADSL modem to nezvlada a rozjizdet kvuli tomu server nebo vsude udrzovat host soubory urcite nehodlam.
-
Jenda (neregistrovaný)
Když už o tom nic nevíte, tak si alespoň odpusťte vyvalené smajlíky. Místo toho si radši přečtěte první větu článku o mDNS na Wikipedii.
Multicast DNS (mDNS) is a standard for using Domain Name System (DNS) programming interfaces, packet formats and operating, without configuring a conventional DNS server.
-
Řeč byla o zapamatování, ne o dekódování adresy, takže použitá soustava nemá přímý vliv.
A pro práci s částmi adresy například dle délky prefixu je hexadecimální soustava vhodnější. Pokud se navíc budeš držet násobků čtyř bitů, tak to naučíš i malé děcko. Spočítat třeba adresu sítě je v decimálním zápisu IPv4 mnohem složitější.
-
Karel (neregistrovaný)
Třebas proto, že ta tiskárna netiskne. JetDirect sice bliká, ale netiskne to. Tak jdu k vedlejšímu PC a zkusím ho pingnout. Opsat 10.11.12.13 ze štítku na JetDirectu je řádově snazší, obzvláště když je JetDirect přichycen suchým zipem na spodní stranu stolu a kabely jsou vyvázané.
-
Ondřej CaletkaZlatý podporovatel
Když si zapamatujete 192.168.1.x, není o tolit těžší zapamatovat si třeba 2001:db8:db8::x, ne? Pokud si chceš adresy pamatovat, nic ti nebrání si nastavit krátké. Třeba Google Public DNS: 2001:4860:4860::8888, zapamatovatelné velice snadno.
-
failer (neregistrovaný)
A pak to dopadne buď spoustou balastního kódu (v lepším případě) nebo rozbitými stránkami (v tom horším) kvůli debilním výstupům editoru a podobně hodnotitelným požadavkům uživatelům. Btw. - vy jste snad viděl dělat normální kancelářkou opici se styly nebo podle vzhledu úseku?
-
Jenda (neregistrovaný)
Mohl byste nám napsat, jak byste si představoval praktické provedení 100% využití adresního rozsahu?
A i kdyby, IPv4 adres jsou 4 miliardy. Řekněme, že polovina obyvatel Země žije v podmínkách, kde je schopna uvažovat o elektřině a počítači. Plus ta vrchní miliarda má zařízení víc - smartphone, tablet, počítač v práci, notebook, chytrou televizi, síťovou tiskárnu; v blízké budoucnosti třeba i ledničku. To prostě to 4 miliard nenarvete.
-
I ta druha polovina co zije v podminkach kde je splacovaci zachod a internet v kazdem pokoji, ke svemu zivotu verejnou ipv4 adresu opravdu potrebuje jen malo kdy. sitova tiskarna by vubec nemela nic vedet o internetu, chytra televize muze vesele (a navic bezpecne) existovat za natem, stejne jako smartphone, pocitac a tablet...
-
Pěkně jste si naběhl.
Stává se zcela běžně, že máte ve své síti subnet (typicky 192.168.1.0/24, ale i další) stejný jako ve vzdálené. To se vám bude opravdu "dobře" po té vpnce pracovat.
Na tohle narážím mnohokrát do roka s tím, že pro mě není problém si svou stranu přeadresovat (a vykázat do zákazníkovi navíc), to pokud jsem za NATem. Pokud jsem připojený k internetu, tak je to bez problémů.
Pokud by měl každý uzel svoji vlastní IP, tak se můžete bezpečně připojovat po VPN a žádná kolize adres sítí by nenastala.
-
Až se jednou budete potřebovat připojit do sítě 10/8 a zároveň 192.168/16 a zároveň 172.16/12 -- ano, opravdu se mi to stalo a řekl jsem si, že bych si měl vsadit sportku, protože taková náhoda se jen tak nestane, tak mi to přijdte ukázat. Opět, já si poradil, já mám globálních ip dost (tady v kanclu 64 IPv4, využitá je 1/3) a ještě bych to dokázal z jiných lokalit, ale to jen proto, že mám globální IP. Za natem (na některé z výše uvedených sítí) byste byl v prd...
-
Jenda (neregistrovaný)
Než JÁ mám LANek a VPNek jo, ale nesmí to konfliktit s žádnou LANkou žádného člověka, kterou kdy navštíví, a bude chtít VPN do firmy. Takže si můžu třeba náhodně vybrat pro VPN 192.168.77.0/24, ale jakmile pak přijde do nějaké sítě, kde se tento rozsah používá (shodou okolností z jedné takové píšu a nenastavoval jsem to já), do VPN se nepřipojí.
(10/8 je zabité celé kvůli CzFree)
-
KapitanRUM (neregistrovaný)
Nevím, jestli 256 let, ale je to přesně tak a určovat by si to mohl sám majitel sítě. Problém u IPv4 skutečně existuje, kde je NAT za NATem, různé šílené kaskády jsou pitomé. Pokud by stav měl být IPv4:NAT tj. 1NAT na méně než 1IP, tj. vždy máš jednu veřejnou a neomezeně neveřejných, resp. jiný poměr pro firmu, můžeme s IPv4 fungovat spokojeně ještě opravdu dlouho.
-
jonnie (neregistrovaný)
Mám za NATem v malém dvoupokojovém bytě 2x NAS, 2x PC (z toho jedno jako HTPC) malý domácí server, 2x notebook a tiskárnu . U všech zařízení bych vcelku uvítal veřejnou IP adresu (snad vyjma tiskarny ). Dokážu se bez ní obejít, ale je to drbani se pravou rukou za levým uchem.
A to pomijm drobnosti jako možnost zabezpečovacího zařízení nebo ovládání kotle, (na obé jsem se při rekonstrukci raději vybodl). -
ee (neregistrovaný)
NAT nastavuje ISP a ne lide zakaznici. Lide nic nikde nenastavuji, oni beznym zpusobem zadaji o IP adresu od DHCP, bez ohledu na to jestli maji externi adresu nebo privatni NATovou. Pro ne v tom neni zadny rozdil.
S prechodem na IPv6 uz ale budou _muset_ resit nejake firewally, aby ochranili sva zarizeni. Nedelam si iluze o tom jak jim to pujde, kdyz kolikrat ani spoustu adminu neumi poradne nastavit firewall. Bude to divoky zapad, pro BFU nic prijemneho imho.
-
Santiago (neregistrovaný)
> NAT nastavuje ISP a ne lide zakaznici.
Jak kde - v zavislost na technologii pripojeni a na tom, zda ISP poskytuje verejne nebo privatni. Tam, kde uzivatel dostava verejnou, tak dostane typicky jen jednu a pokud uzivatel chce pripojit vic pocitacu, tak si proste (zcela nezavisle na ISP) poridi 'domaci router', ktery umi delat NAT. On zakaznik v podstate nic nastavovat nemusi, v tom domacim routeru je prakticky vse prednastavene od vyrobce a zbytek se zautokonfiguruje z DHCP, takze staci umet rozlisit 'LAN' a 'WAN' port.
Tak jako na IPv4 umi domaci routery NAT, tak na IPv6 mohou domaci routery z vyroby byt prednastavene jako firewall - opet, pro dosazeni stejne urovne zabezpeceni neni prakticky co nastavovat.
-
"To ale lidi dneska nemusej resit, protoze maji NAT. "
To, čemu vy říkáte NAT je ve skutečnosti několik pravidel pro překlad adres a firewall.
filter:
Navázané spojení pustit objema směry (ESTABLISHED, RELATED)
Směr ven povolit bez omezení
Vše ostatní zahojit (REJECT)nat:
Proveď maškarádu IP adres.Pokud se ten "NAT" vyřadí, co tam zbude? Ano, firewall. A jste ve stejné situaci i s IPv6 (případně dnes s globální IPv4). Chrání vás firewall stejně jako předtím a kdykoliv chcete, můžete povolit komunikaci na kterýkoliv stroj ve vaší síti, přímo, pro jakýkoliv protokol, nikoliv jen TCP a UDP.
Výsledek je, že bezpečnost se nijak nezmění (stále je tam onen stejný firewall), jen nejste stupidně uměle omezen v možnosti vaši síť používat.
-
what do you say (neregistrovaný)
To je zase jakasi minoritni zalezitost. Ja netvrdim, ze NAT je neprustrelna technologie, nebo ze neexistuji ruzne berlicky (napr. hole punching), ruzne dalsi podpurne technologie jak propojit hosty v NATech, o tom nepochybuji. Kazdopadne opet opakuji, ze z praktickeho hlediska utocnik na druhe strane internetu se za muj bezny NAT nema sam od sebe jak dostat, cimz chci rict, ze bezny uzivatel za beznym NATem je od nebezpeci (ktere hrozi uzivatelum s externimi IP adresami) v 99.999% pripadu odstinen, takze proto rikam, ze je to jako firewall (plni to tu samou funkci). A pokud se najde utocnik, ktery si poradi, tak proti takovemu neochrani ani IPv6 s 5ti firewallama :)
-
to znamena ze jich furt mame vice nez dostatek. mluvjec presne - prebytek. a t.zv. "deficit" je vytvoren umele za prve debilnim rozdelovanim (coz je krasne videt ve vysledcich tohoto pruzkumu - cela cerna Acka) a za druhe naslednym plytvanim v pripadech kdy to nebylo nutne. krasny pripad nasi firmy - jeden ze zakazniku se na nas obratil pro 64K verejnych adres pro... provozovani nejake sitove aplikace (myslim si ze nejake hry). ma je naprogramovane tak genialne, ze jinak nez na verejnych adresach to neni schopne komunikovat :)
-
Jenda (neregistrovaný)
„to znamena ze jich furt mame vice nez dostatek“
To je nějaké zacyklené.
- IP adres je dostatek.
- Musíme použít NAT, protože je IP adres nedostatek.
- IP adres je dostatek.Souhlasím, že jsou černá Áčka. Ale kolik jich dokážete sehnat? 20, možná snad 50? I to je při současné rychlosti konzumace (hlavně v Asia-Pacific) pár let.
„ma je naprogramovane tak genialne, ze jinak nez na verejnych adresach to neni schopne komunikovat :)“
A jak jinak by jako měla internetová aplikace komunikovat?
-
"IPv4 jsme zdaleka nevyčerpali, přesto jí prohlašujeme za vyčerpanou"
Takovou odpověď bych čekal od retarda v ústavu, rozhodně ne od návštěvníka tohoto portálu.
Odpovězte si na otázky: Mají (globálně routovatelné) IP všechny síťové uzly? A mohou je mít? Odpovědi na obě otázky jsou ne. Podstatnější odpověď na tu druhou otázku je součastně odpovědí na otázku, zda je IPv4 vyčerpaná. ANO JE. Nelze přidělit IPv4 adresu každmu síťovému prvku. Nelze. Tečka.
A jestli někomu přijde vyčerpaná třetina jako málo na to, aby se dala IPv4 prohlásit za vyčerpanou, tak vůbec nepochopil, jak to s tou adresací je a proč.
-
KapitanRUM (neregistrovaný)
To nevím, tvůj příspěvek (nebudu vykat někomu kdo se vyjadřuje jako primitiv) začal hromadou žvástů a zbytek jsem nedočetl, proto opravdu nevím, co tam stálo.
Samozřejmě vím, že u IPv4 problém existuje, jsou to různé NAT za NATem šílenosti. Optimum by bylo 1 domácnost 1-2 veřejné IP s tím, že naprostá většina lidí víc skutečně nepotřebuje a když potřebuje, prostě si přesměruje porty alias port redirection. Tato situace tu skutečně není, IP adresy jsou promrhané. Firma by pak mohla dostat v základu 1,2,4,16 veřejných IP s tím, že to je naprosté maximum, kolik standardní malé firmy používají.
Nicméně IPv6 je řešení ve stylu "problém s plýtváním vyřešíme tím, že budeme moct plýtvat ještě víc".
Tobě to nevysvětlím, je to jako bych členovi Muslimského Bratrstva chtěl poradit výhody Budhismu nebo Náckovi chtěl povídat o krásách Afriky. Podle mého názoru jsi prostě fanatik zcela nepřístupný jakékoliv diskuzi. Tedy člověk, na kterého je zbytečné vůbec mluvit nebo se snažit aby se podíval na věc i z druhé strany. Howg.
-
z0ny (neregistrovaný)
"Samozřejmě vím, že u IPv4 problém existuje, jsou to různé NAT za NATem šílenosti. Optimum by bylo 1 domácnost 1-2 veřejné IP s tím, že naprostá většina lidí víc skutečně nepotřebuje a když potřebuje, prostě si přesměruje porty alias port redirection. Tato situace tu skutečně není, IP adresy jsou promrhané. Firma by pak mohla dostat v základu 1,2,4,16 veřejných IP s tím, že to je naprosté maximum, kolik standardní malé firmy používají."
Tohle je prave omezene mysleni nebo spis degenerace nynejsim stavem... proc mit neco, kdyz vetsina se spokoji s malem (co ani nevi, ze na tom muze byt lip, protoze "ted to je normalni" rozumej ma to pulka "internetu")
Jak uz tu nekde zaznelo, proc to delat jednoduse, kdyz to de obejit slozite :)Nejak jsem nikdy nepochopil proc se hadat ;) kdo prejde ten prejde kdo ne omezuje sam sebe, hrozne rad pouzivam "No hele tak to nepujde. Jsi za natem, to ti ani v routeru nenastavim. Podekuj svemu isp" sice to ve vetsine jde obejit pomoci tretich stran, ale skoda mluvit jak pisete ve svem poslednim odstavci :)
-
"Tato situace tu skutečně není, IP adresy jsou promrhané. Firma by pak mohla dostat v základu 1,2,4,16 veřejných IP s tím, že to je naprosté maximum, kolik standardní malé firmy používají."
Zajimava uspora. Firma tedy dostane pouze 4 verejne adresy, ktere opravdu potrebuje. Jenze aby slo tyto 4 adresy routovat, musi dostat minimalne /29. Ten obsahuje 8 IP adres, Odectete si 2 adresy pro broadcast a adresu site.
Vase uspora tak pro prideleni 4 adres spotrebuje ve skutecnosti adres 8. :-/ -
Sten (neregistrovaný)
<blockquote>Optimum by bylo 1 domácnost 1-2 veřejné IP s tím, že naprostá většina lidí víc skutečně nepotřebuje a když potřebuje, prostě si přesměruje porty alias port redirection. Tato situace tu skutečně není, IP adresy jsou promrhané. Firma by pak mohla dostat v základu 1,2,4,16 veřejných IP s tím, že to je naprosté maximum, kolik standardní malé firmy používají.</blockquote>
Průměrná domácnost obsahuje 2½ člověka. Na světě je sedm miliard lidí. To jsou tři až pět miliard IPv4 adres dle vašeho návrhu. Plus miliarda firem s dejme tomu třemi miliardami adres. Nějak vám ta čísla nevychází.
-
"Průměrná domácnost obsahuje 2½ člověka."
Přičemž každý z nich má více než jedno zařízení + další společné. Ta čísla skutečně nevycházejí. Pokud by to chtěl brát takto, to to by dnešní domácnost v západní civilizaci potřebovala subnet IPv4/28.
Což o to, pro Evropu a Servení Ameriku by to stačilo. Jenže máme tu miliardovou Indii a stejně tak miliardovou Čínu, kteří by také rádi na síť (a já je tam rád vítám). A tam už to nestačí.
-
Santiago (neregistrovaný)
> Optimum by bylo 1 domácnost 1-2 veřejné IP s tím, že naprostá většina lidí víc skutečně nepotřebuje a když potřebuje, prostě si přesměruje porty alias port redirection. Tato situace tu skutečně není, IP adresy jsou promrhané.
Tato situace tu davno je - na domacnost se uz leta obvykle poskytuje jedna verejna IP u vetsich poskytovatelu a zadna verejna IP u mensich (tam byvaji za NATem cele ) pseudoISP. Firmy (ci domacnosti na zadost) bez vetsich obstrukci dostanou prave tak max. tech 16, pro vic IP adres uz typicky musi dodat plan jejich vyuziti. Dnes se naopak resi, jak za NAT dostat uzivatele i u velkych ISP ci jak pridelit jednu IP adresu nekolika domacnostem (ruzne A+P rezimy)
Hlavne ale uz prakticky nemohou vznikat novi ISP (LIR), nebot novy ISP nema sanci ziskat vic nez 1024 adres.
Dalsi problem je v tom, ze stavajici firmy, kteri nejsou LIR a nemaji vlastni PI adresy, a zaroven potrebuji vetsi mnozstvi IP adres (napr. pseudoISP ci server hosting), tak maji potize zmenit poskytovatele, nebot novy poskytovatel jim uz nemusi byt schopen zajistit potrebny rozsah.
Takze na regionalni urovni uz IP adresy proste dosly. Na tom nic nemeni ani fakt, ze nekde jsou z historickych duvodu pridelene absurdne velke bloky, vsude je par nevyuzitych (resp. nevyuzitelnych) IP adres z duvodu nutnosti pridelovat adresy v souladu se sitovou topologii a stavajici LIRove si drzi nejake sve volne bloky pro potencialni zakazniky.
-
Ale jak bys ty adresy chtel odmrhat? Na te mape to vypada, ze volno je hlavne ve tride A. To jako vezmes nejaky A rozsah, das tri adresy ocelarnam v Hornich praskolesich, pet ministerstvu valky na Kulataku, dve restauraci na Kanarskych ostrovech a jednu plovarne v Pekingu atd, z se rozsah vycepa a pak nacnes dalsi? A jak se to bude routovat? Vzdyt se z toho dnesni routery poserou a misto routeru se budou pouzivat cela vypocetni centra s clustery v nekolika stodolach. Asi bys musel prekopat ipv4 a zrusit tridy A a B a rozdelit to po vzoru tridy C, aby se to dalo pridelovat po malych kouscich.
-
j (neregistrovaný)
Rume v tomhle ohledu pises kraviny, je uplne jedno kolik IP adres je/neni dostupnych (nehlede na to, ze pokud je ta adresa za firewallem, tak vzivote nezjistis zda se pouziva/nepouziva.) Podstatny je, ze nejsou zadne dalsi rozsahy, ktere by bylo mozne nekomu pridelit.
A druhy problem - rozsah routovacich tabulek je giganticky - prave kvuli drobeni rozsahu na stale mensi a mensi kousky.
Tenhle problem v IPv6 siti neexistuje - tam jednoduse reknes "Evropa bude mit abc::" a nikdy v budoucnosti nebudes muset pridelit dalsi. Tudiz komukoli kdekoli mimo evropu staci mit jeden zaznam.
Ano, existuji organizace, ktere maji historicky hromady adres, aniz by je vyuzivaly, jenze kdybys jim je odebral, tak z nich musis udelat opet nejake pidirozsahy => opet hromada dalsich zaznamu.
Vubec nemluve o tom, ze IPv6 neni ani zdaleka jen o adresach. A IPv4 adresy dosly uz pred 20ti lety - kdyz se zacal pouzivat NAT.
-
Santiago (neregistrovaný)
> Tenhle problem v IPv6 siti neexistuje - tam jednoduse reknes "Evropa bude mit abc::" a nikdy v budoucnosti nebudes muset pridelit dalsi. Tudiz komukoli kdekoli mimo evropu staci mit jeden zaznam.
Tohle je znacna idealizace. Agregace na urovni regionu se prakticky nepouziva - do ruznych koncovych siti jde provoz po ruznych tranzitnich sitich. Prakticky nema smysl uvazovat s agregaci nad urovni AS, takze v IPv6 bude mit jeden AS typicky tak jeden prefix (protoze si s ni vystaci na pekne dlouho), narozdil od 5-10 prefixu v IPv4. Takze nejaka uspora ve velikosti globalnich routovacich tabulek bude, ale ne takova, jakou si predstavujes.
-
SB (neregistrovaný)
...a trošku jste ve svém evangelizačním rozhořčení pozapomněl, že na každé adrese může být NAT a za ním další počítače, které se k lizu veřejných adres nedostaly, čímž pro ně padá využití sítě způsobem P2P. Přeloženo: I kdyby se současné adresy rozdělily rovnoměrně všem potřebným zařízením (což je naprosto nereálné), prostor bude plus mínus zaplněn, neboli nastane stagnace počtu zařízení, což v době, kdy přibývají, je trochu problém.
-
Ja myslim, ze neni az takovy problem najit par routeru bez hesla, pripadne s defaultem. Pokud bydlite na sidlisti, tak se projedete po schodech. Urcite minimalne jednoho souseda nachytate. Stejne tak behem dne, skenovanim sveho okoli Wifinou. Tech bude, hlavne Dlinku, TPlinku a tak... Bejt zlej, tak se da kazdej den jeden nenavratne flashnout a udelat si zarez. Bohuzel, je to tak.
-
-
Základní problém je, že daný postup nezachytí všechny IP adresy.
Zachytí jen IP adresy, které odpovídají na ping, nebo které jsou použity na doménovou adresy, tedy jsou v DNS záznamech.
Já sám jsem před časem měl veřejnou IP, kterou jsem firewallem odstřihl od vnější reakce na ICMP či na cokoli inciovaného zvenku kromě žádnoucích věcí. DOména na tuto IP přiřazena nebyla. Taková IP by byla zařazena do „těch nevyužitých“.
Vědecky vzato z toho pokusu lze o využití IP adres udělat jediný závěr a žádný jiný: Skutečný počet využitých IPv4 adres je někde v rozsahu mezi 1,3 miliardy až všechny.
Žádný jiný závěr bych z toho nedělal.
Jakékoli jiné závěry a odvození jsou mylné a nepodložené.
Ovšem stejně nepodložené je dogma, že řešením všech problémů je IPv6. Naštěstí o tom ale nerozhodují technici, kteří v nadšení pro IPv6 ztrácejí rozum a soudnost a nejsou s to objektivně a nestranně uvažovat.
-
Tímto postupem ale nezjistí, zda jsou skutečně nepoužité. Ty adresy mohou být přiřazené, stroje mohou být zapnuté, jen nikdo nechce (nebotřebuje), globální routování pro takto sestavenou síť.
Takže správná odpověď je, že použití botnet, se nějakým způsobem dostal na 1/3 adres a o těch ostatních nemá (z mnoha důvodů) žádné zprávy.
Závěr, že jsou nepoužité mi přijde silně zkratkovitý.
-
Ondřej CaletkaZlatý podporovatel
Pokud někdo používá adresy 3.0.0.0/8 jako privátní a NATuje je do veřejného internetu, pak je to megaprasárna podobně jako Hamachi.
-
uživatel (neregistrovaný)
Aby ten blok mohl být uvolněn, musel by jeho stávající uživatel provést rekonfiguraci své sítě (včetně aplikací), což je od určité velikosti bohužel neproveditelné bez neakceptovatelně dlouhých výpadků. Navíc na uživatele takových bloků IP adres které by teoreticky mohly být uvolněny není tak velký tlak který by převážil ty obrovské náklady které by s rekonfigurací měli, takže se prostě nic neděje.
-
Tak nejak - pametnici si mozna vzpomenou na zajimave situace, ktere zpusobil T-Mobile (ne v CR), kdyz pro sve mobilni klienty zacal pouzivat adresy s rozsahu, ktery mu neprislusel, v dobre vire "ze to nebude vadit, protoze ten rozsah stejne neni zvenci videt". Detaily se daji dohledat, z hlavy je nevim.
-
Johny (neregistrovaný)
Ked porovnam tie cierne plochy s http://en.wikipedia.org/wiki/List_of_assigned_/8_IPv4_address_blocks, napr. 12.x.x.x, 15.x.x.x,..
..tak ovela ovela ovela viac IPv4 sedi za firewallmi a vyuzivaju sa, takze tie cisla o pouzivani by som dvojnasobil. -
ondro (neregistrovaný)
Urcite to tak bude ale preco pouzivat verejne adresy v internej sieti ak viem, ze to na danom PC nepotrebujem? Takych pripadov bude tiez vela.
S IPv4 sa dobre nehospodarilo ale teraz s tym uz asi nikto nic neurobi.
Suhlas JardouP. Citujem "ipv6 bylo bohuzel navrzeno tak, jako by nekdo zapomnel, ze s tim budou muset pracovat i lide."
Hvoris mi z duse.
DNS bude potrebny aj tam, kde to pri IPv4 nebolo potrebne. Alebo sa interne na lokanych sietach bude stale pouzivat IPv4. -
Jenda (neregistrovaný)
„Urcite to tak bude ale preco pouzivat verejne adresy v internej sieti ak viem, ze to na danom PC nepotrebujem?“
Třeba proto, že ten FW neblokuje všechno, ale umožňuje tu komunikaci, kterou potřebuješ.
Nebo proto, že do té sítě chceš umožnit zaměstnancům VPNkování a bojíš se konfliktu s ostatními sítěmi, když by sis tam dal 192.168.0.0/24.
-
A nebo proto, ze ten rozsah pouzivas uz z doby, kdy byl Internet v Evrope "jenom predmetem vasnivych debat v anarchistickych krouzcich" a pozdeji jsi zjistil, ze je potreba nasadit nejake firewally. No a readresace na jiny rozsah je uloha tak komplikovana, zdlouhava a rizikova (prace na roky), ze to proste neudelas, i kdyz bys tim prodlouzil "zivotnost" IPv4 ve svete treba o nekolik tydnu az mesicu.
-
j (neregistrovaný)
Boze, proc sem pisou lidi, kteri o sitovani nic nevedi? kdyz budu chtit takovou trivialitu, jako trebas fukcni IPsec, tak to jinak nez z verejne na verejnou adresu neudelam. ANo, jde to "ojebat", ale to uz musim mit v ceste router, kterej musim mit pod kontrolou = misto bezpecnostniho rizika.
-
Jedno C ma sice 256 adres, ale nesmime zapomenout na to, ze prvni adresa je adresa site a posledni adresa je broadcast, takze je to opravdu 254 pouzitelnych adres v jednom C. Pokud ovsem ta sit ma konektivitu ven, treba do internetu, tak musime jeste jednu adresu vzit na vychozi branu. Takze vlastne 253 realne pouzitelnych adres pro pocitace v siti /24 :-)
-
Kolemjdoucí (neregistrovaný)
Až 256 adres je správně.
To, že v jedné /24 síti může být jedna síť /24 nebo více menších sítí např /28 je sice pravda, ale také jeden čtvereček může být součást podstatně větší sítě.
Kolik adres můžu mít použitých v bloku IP adres 10.0.1.0/24 v síti 10.0.0.0/22?
Právě těch 256. To samé i v síti 10.0.2.0/24. Adresa sítě je 10.0.0.0 a broadcast je až 10.0.3.255... ;) -
comodoro (neregistrovaný)
Zajímavé je porovnat ty mapy botnetu a Internetu, zdá se, že v Japonsku se moc takových otevřených zařízení nenachází, zatímco taková Čína nebo Indie se pěkně červená. Zajímalo by mě, jestli to odpovídá celkové zabezpečenosti, nebo třeba v Japonsku mají jiné default heslo pro roota?
-
Jaroslav Martinec (neregistrovaný)
To může být klidně nedokonalostí geolokační databáze.
Třeba v ČR je většina IP adres "jakoby" v Praze, ačkoliv skutečnost je jiná.
Co vím, tak velká většina adres v Číně se tváří být v Pekingu, nejspíš jako důsledek jejich celostátního cenzurního firewallu. Přitom skutečnost je jiná.
-
Keď som čítal koniec vety: "přesto škodu způsobil tím, že výsledky zveřejnil.", nedá sa mi opýtať: "Keby výsledky nezverejnil, tak by škodu nespôsobil?"
Nechcem polemizovať či mal alebo nemal právo používať cudzí majetok. Zaráža ma to zverejnenie, pretože nerozumiem aká škoda vznikne zverejnením informácií. Pripomína mi to našich politikov, ktorým vzniká ujma zverejnením podrobností o ich bačovaní. Či naše banky, ktorým zase vzniká škoda zverejnením ich bezpečnostných nedostatkov (akoby bez zverejnenia tie chyby neexistovali), atď, atď.
Zverejnil snáď nejaké súkromné informácie, menoval koho zariadenia použil, aby to mohli ďalší zopakovať? Ako teda zverejnením informácií spôsobil škodu? Mám taký pocit, že autor štúdie (nie článku) bude zanedlho obvinený zo znásilnenia prostitútky...
-
Je velký rozdíl ve zveřejňování běžných informací a informací s bezpečnostním charakterem. Platy úředníků, smlouvy a další podobné údaje nepředstavují pro nikoho bezpečnostní hrozbu a měly by být veřejné (z mnoha důvodů). Ale informace o tom, která firma používá jaký trezor (nebo děravý server), už citlivá je. Je možné takto snadno vytipovat cíle.
Samozřejmě je možné argumentovat tím, že jde o veřejně dostupné informace a může je takto zjistit každý. Ano, teoreticky může, ale každý to nedělá. A především se autor ohání tím, že chce být za všech okolností hodný. Při zveřejnění podrobných údajů (ne obecných statistik) ale tuhle hranici dalece překračuje.
-
JS (neregistrovaný)
Ale to jste to posunul! V clanku se jasne pise, "zpusobil skodu", nikoli "mohl zpusobit skodu". A vubec cela tahle zalezitost, zda tyto veci zverejnovat nebo ne, je predmetem moralni diskuse i mezi experty, takze to nelze odbyt takovym mavnutim ruky. Tvrzeni, ze ten clovek z clanku zpusobil skodu je podle vseho lez.
-
Myslím, že tá formulácia bola zvolená veľmi nešťastne, akoby bol výsledok debaty už jasný (a jednoznačný).
V neposlednom rade, stále nerozumiem, čo také zverejnil? Zverejnil ktoré zariadenia boli nezabezpečené? Ich IP či inú adresu? Ich majiteľov? Nie, skonštatoval, že existujú nezabezpečené (resp. slabo zabezpečené) zariadenia, a to je informácia všeobecne známa. Keďže sa v článku oháňate Trestným zákonom, mohli by ste vedieť, že všeobecne známe informácie dokonca netreba na súde ani dokazovať, nie to ešte za ich zopakovanie niekoho postihovať.
A len tak mimochodom, minule som v televízore pozeral akýsi dokumentárny film, kde robili "na živo" test odolnosti trezorov (keď už spomínate trezory). Dokonca uvádzali aj presný typ trezora a výrobcu trezora. Hmm, Vy by ste ich asi zavrel všetkých, hercami (či čo boli zač) počnúc a majiteľmi televízie končiac. A pre istotu aj divákov!
-
Pletete osm věcí dohromady.
- Trestní zákoník jsem zmiňoval v souvislosti se zneužíváním routerů, ne se zveřejňováním zjištěných informací.
- Nikoho jsem nenavrhoval zavřít. Jen jsem psal, že je to morálně velmi pochybné jednání.
- Říct: „Trezor SuperSafe 2000 je nebezpečný.“ je něco jiného než k tomu dodat: „A koupily si ho tyto firmy na následujících adresách...“
- On zveřejnil podrobné informace včetně IP adres, verzí aplikací, otevřených portech a podobně. Nejde o osobní údaje uživatelů, ale o konkrétní informace o zranitelnostech.
Když se jednou za čas objeví zpráva typu „pomocí Google je možné vyhledávat zranitelné instalace WordPressu“, tak je z toho poměrně velký humbuk. Tenhle člověk zveřejnil informace, podle kterých se dá bez námahy dohledat zranitelnost prakticky čehokoliv. Potřebujete děravý mailserver? Přístup na nějaké SSH?
Já ho nenavrhuji zavřít, upálit ani vykastrovat. Jen upozorňuji na to, že jeho „čistě vědecký a nikoho nepoškozující“ experiment má i temnou stranu.
-
Bystroushaak (neregistrovaný)
Naprogramujte mapu hustoty výměny dat, každý tisíc gigabytů jeden pixel na velmi velké obrazovce. Manhattan a Atlanta splývají v bílém ohni. Pak začnou pulzovat, frekvence obchodu je tak vysoká, že vaší simulaci hrozí přetížení. Vaše mapa co nevidět vybuchne v novu. Zklidněte ji. Zvyšte měřítko. Každý pixel milión gigabytů. Od stovky miliónů gigabytů za vteřinu začnete rozeznávat jisté bloky ve středním Manhattanu, obrysy sto let starých průmyslových čtvrtí Atlanty...
-- Neuromancer
Jen jsem si na to při pohledu na ty mapy vzpomněl :)
-
Je to zajimava zapletka - ale - je tu nekolik ale.
Opravte me, jestli se mylim.1/ Neni tu zadny zdroj. Pokud tomu rozumim, je tu nekdo, kdo uploadnul 5T dat a tvrdi, ze si udelal botneta ze 100tisic routeru. A protoze tohle je ilegalni (ja sam si nepreju, aby mi nekdo delal z mych veci botneta), nezname autora. A tim padem neni ani recenzent. Zrovna tak to muze byt urban legend.
2/ Uz to tu padlo, kdyz nekdo nasel odpovidajicich 1.3g adres, asi to znamena, ze 1.3g jich odpovida. To, ze zbyle nejsou prirazeny je jedna z moznych interpretaci.
3/ Nic prekvapiveho. Pri nejakem prevratnem tvrzeni - jakoze americani nebyli na mesici a vyhodili do vzduchu twins, se vynori spousta lidi, kteri reknou :nic prekvapiveho. Jenze tvrzeni, ze v prumeru ma kazda organizace 60% adres v supliku by melo dopad.
4/ Statistika - pokud to chce nekdo overit, nemusi delat botnety - muze zcela legalne pouzit malou farmu a statistiku, cilit na ruzne rozsahy podle drzitelu....
No, pro me je to urban legend. Jak dlouho muze trvat jednomu cloveku vyvinout a odladit funkcni botnet, ktery ma peer2peer vazby, prenasi na cil 5TB dat, sam se replikuje, je pro 5 ruznych systemu, hlida si, aby neublizil tovarnam...
-
Sten (neregistrovaný)
+1, Mikrotik i OpenVRT jsou celkem dobře dokumentované systémy, veškeré prolamování zabezpečení se spokojilo s telnetem a pár jmény a hesly, celá architektura se dá triviálně napsat zkopírováním a mírnou úpravou příkladů z Boost.Asio, taky tam nevidím nic moc složitého. O to víc je zarážející, že takové botnety nepotkáváme běžně.
-
Pan Houba (neregistrovaný)
Nádherná diskuze. Celkem dokresluje obrázek ajťáků u laické veřejnosti: tlupa magorů, které patří držet ve sklepě, ať si tam píší své skripty, jak vylezou ven mezi normální lidi, je to ostuda.
BTW: Na IPv6 je nejhorší přece to, že zase nějaká všemocná a vševědoucí autorita diktuje zbytku světa, co má dělat a to je proti principům Internetu, který je svobodný a jenom proto je tak super, že vznikl na základech lidské svobodné tvořivosti. Však až to bude opravdu nutné, tak se ty adresy rozšíří, vznikne modifikovaný IP protokol, který bude mít jenom pár vlastností navíc a to jenom ty, které jsou opravdu žádané a celá IPv6 s její neživotnou složitostí půjde do hajzlu.
Dobrou ukázkou, jak vypadá megalomanský projekt jsou práce D. J. Bernsteina - v jádru dobré - projekty, které však nikdo nepoužívá. Kdyby se qmailu nechytla komerční sféra a nevzniknul postfix, tak by po něm dneska ani ten Alík ze Seznamu neštěknul. To samé byl mega projekt operačního systému Multics, který nikdo nikdy neviděl nasazený a vznikl nakonec malý a valmi schopný Unix.
Lidi, serte na projekty šílených IT ichtilů and "keep it as simple as possible"
-
„Nádherná diskuze. Celkem dokresluje obrázek ajťáků u laické veřejnosti: tlupa magorů, které patří držet ve sklepě, ať si tam píší své skripty, jak vylezou ven mezi normální lidi, je to ostuda.“
Když k takzvaným „ajťákům“ přidáš ještě další zájmové skupiny a profese a vůbec vyčleníš všechny lidi, kteřé jsou něčím význační a zajímaví, tak co ti zbyde?
„BTW: Na IPv6 je nejhorší přece to, že zase nějaká všemocná a vševědoucí autorita diktuje zbytku světa, co má dělat a to je proti principům Internetu, který je svobodný a jenom proto je tak super, že vznikl na základech lidské svobodné tvořivosti. Však až to bude opravdu nutné, tak se ty adresy rozšíří, vznikne modifikovaný IP protokol, který bude mít jenom pár vlastností navíc a to jenom ty, které jsou opravdu žádané a celá IPv6 s její neživotnou složitostí půjde do hajzlu.“
Hezký pokus.
„Lidi, serte na projekty šílených IT ichtilů and "keep it as simple as possible"“
Přesně tak. Používejte papír a tužku.
ČLÁNKY DO MAILU