Heute habe ich zufällig entdeckt, dass ich Adressen im 172.31.0.0/16Subnetz anpingen und eine ICMP-Antwort erhalten kann. Ich habe ein paar zufällige ausprobiert und immer Antworten erhalten. Nach Überprüfung der Routing-Tabelle und eines vorläufigen traceroutesieht es so aus, als würden die zugehörigen Pakete mein lokales Netzwerk verlassen, d. h. in Richtung meines ISP. Mein lokales Netzwerk verwendet einen anderen IP-Bereich, einen Teil des 192.168.0.0/16Subnetzes, und es gibt Docker-bezogene Schnittstellen für 172.17.0.0/16und 172.19.0.0/16, aber nicht 172.31.0.0/16.
Meines Wissens nach sollte dies 172.31.0.0/16weiterhin Teil des von der 172.16.0.0/12IANA reservierten Adressraums sein.
Ich habe im Internet gesucht, um herauszufinden, ob die Reichweite dieses Subnetzes möglicherweise aufgrund eines weltweiten Mangels an IP-Adressen oder aus einem anderen Grund verkürzt wurde, konnte jedoch nichts finden, was diese Hypothese stützt.
Jetzt frage ich mich, ob ich einfach nur zu wenig geschlafen habe und etwas Grundlegendes übersehe oder ob mit meiner Netzwerkkonfiguration etwas ernsthaft nicht stimmt.
Antwort1
Sie haben Recht, dass 172.31.0.0/16 Teil des RFC1918-IP-Adressraums ist. Ihr Router ist höchstwahrscheinlich so konfiguriert, dass er den Datenverkehr auf nicht verbundenen Routen an sein Standard-Gateway, Ihren ISP, weiterleitet. Dort sollte der Datenverkehr enden.
Es scheint jedoch, dass Ihr ISP diesen Adressbereich routingfähig gemacht hat. Ich habe dies in der Vergangenheit bei anderen ISPs erlebt (Tele2 beispielsweise verwendete 1.0.0.0/8 für sein Backbone, bevor es von IANA zugewiesen wurde).
In jedem Fall sollten Sie (und Ihr ISP) wahrscheinlich implementierenBogon-Filterungund/oderMarsianische Filterungan den Grenzen Ihrer Netzwerke. Für den durchschnittlichen Privatkunden ist das verzeihlich, aber ein ISP sollte es besser wissen.
Um dieses Problem zu vermeiden, können Sie einen einfachen Ausgangsfilter in der Firewall Ihres Routers einrichten (z. B. 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, and 169.254.0.0/16). Eine andere Möglichkeit ist das Null-Routing oderSchwarzes Loch Routediese Adressbereiche. Ihr Router wird dann die Pakete verwerfen.