KOMENTÁŘ: IPv4 adresy rychle docházejí, služeb pro IPv6 je ale zoufale málo

Ondřej Filip , 10. únor 2010 14:47 16 komentářů

Ondřej Filip
IP adresy mizí daleko rychleji, než předpovídají prognózy jistých renomovaných společností. Celkem nedávno došlo k prolomení další magické hranice ve spotřebě IPv4 adres. V registru organizace IANA je už méně než 10 % volných IPv4 adres z celkového rozsahu, tedy méně než 400 miliónů.

Ondrej Sury
Ondřej Filip
Vystudoval MFF UK v Praze – obor Informatika
a získal MBA titul na University of Pittsburgh.
Od roku 2004 je ředitelem sdružení CZ.NIC.

Byť nevěřím, že IP adresy dojdou v září příštího roku, je evidentní, že staré adresy dochází vemi rychle a kdo se nepřipravuje na IPv6 může být v krátkém čase velmi nepříjemně překvapen.

Důvodem, že ubývání IP adres nejde přesně tak rychle, jako naznačují matematické výpočty, není chyba ve výpočtech, ale částečně úspěšná snaha organizace IANA a regionálních registů o znovu navracení již dříve alokovaných bloků.

Děje se tak proto, že se v samých počátcích Internetu s adresami neuvěřitelně plýtvalo a tak dle IANA databáze má třeba farmaceutická firma Eli Lilly přidělen blok /8, tedy zhruba 17 miliónů adres.

V souvislosti s navracením adres, které původně sloužily k jiným účelům, bych rád uvedl jeden poměrně kuriózní příklad: Vždy, když se nějaký další blok začíná rozdělovat poskytovatelům připojení, probíhá tzv. proces debogonizace.

Velmi zjednodušeně jde o to, že se části toho příslušného bloku propagují pomocí protokolu BGP do Internetu a sleduje se, kam propagace projde a kde je tento rozsah filtrován. Zároveň je i možné vysledovat, zda-li na tento rozsah není směrován nějaký provoz, nějaký šum. V rámci tohoto procesu byl propagován i prefix 1.1.1.0/24 a poměrně nepříjemným zjištěním bylo, že “šum”, který na tento rozsah přicházel okamžitě zahltil jejich 10Mbps port v peeringovém centru AMS-IX. Z analýz toků vyplynulo, že tento šum je zhruba 50Mbps.

To bohužel znamená, že tato část rozsahu je pro alokaci nepoužitelná, protože žádný ISP by asi nechtěl, aby do jeho sítě přicházely desítky Mbps zcela neužitečného toku dat.

Je vidět, že IP čísla skutečně dochází, když už je snaha využít i takto speciální bloky. Přesto je služeb dosažitelných po IPv6 jen žalostně málo. Co s tím? Snad jen apelovat na větší zodpovědnost, IPv6 je přeci výhrou pro všechny zůčastněné (ISP, klienty, tvůrce i provozovatele aplikací). Pokud o nějakém dobrém příkladu víte, dejte nám určitě vědět.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 10. únor 2010 17:08

o, fok!

Rok Zakes #16
Rok Zakes 07. únor 2012 14:19
Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 10. únor 2010 17:28

IPV6 neni vubec vyhra pro provozovatele serveru. Bude totiz mnohem obtiznejsi davat banany per IP kdyz kazdy uzivatel dostane block adres. Navic IPV6 adresy se spatne rucne pisi a blokovaci moduly ho neumi.

Ja jako provozovatel serveru IPV6 v zadnem pripade nechci.

Náhodný kolemjdoucí #4
Náhodný kolemjdoucí 10. únor 2010 20:00

IPv6 je obrovská výhra pro každého provozovatele serveru.

> Ja jako provozovatel serveru IPV6 v zadnem pripade nechci.

Já si myslím, že tady plácáte nesmysly a šíříte něco jako FUD. Jako provozovatel serveru jsem samozřejmě zavedl IPv6 okamžitě, jak to jen bylo možné.

Hádky o údajné nepohodlnosti psaní IPv6 adres, což je ryze subjektivní záležitost, ponechme sekretářkám. Vy někdy píšete IPv6 adresy ručně? Já používám skvělou věc zvanou DNS ;-) a tudíž nemám nejmenší potřebu psát adresy ručně.

Také jste zapomněl objasnit, co jsou to „blokovací moduly“. Třeba opravdu existují, jen ten hloupý Google je nezná... :-D Já mám na tyhle námitky jednoduchou odpověď: Nepodporuje to IPv6? Pak ať to okamžitě letí oknem ven! Všechny rozumné operační systémy zvládají IPv6 bez problémů už víc než 10 let.

Nasazení IPv6 znamenitě zjednoduší správu celé sítě. Největší výhrou bude, až konečně zanikne IPv4 a nebude nutné tuto fosilii odděleně podporovat. Pak bude mnohem jednodušší spravovat packet filter nebo iptables, bude jen jedno nastavení routerů, rychlejší routing i filtrování, automatická konfigurace sítí, skutečný multicasting a především žádný NAT. Právě NAT už roky způsobuje jeden problém za druhým u každého většího VoIP řešení... To je jen zlomek možností, které IPv6 nabízí.

Pokud jde o přidělování rozsahů adres, vždycky mě fascinovalo, jak někteří strašně rádi prodávají předražené adresy zákazníkům a v téže minutě zase prskají na celé kolo, když sami potřebují veřejné adresy a zjistí, jak těžko se dají získat. IPv6 tenhle rozpor velmi rychle odstraní a adres bude pro všechny dostatek. Navíc se výrazně zhorší možnosti útočníků najít aktivní stroje. Na běžném připojení můžu klidně proklepnout celý IPv4 rozsah za měsíc. Nemluvě třeba o B subnetu, který je otázkou vteřin, pokud příslušné sítě nejsou dobře chráněné. S IPv6 budou takové výstřelky prakticky nemožné.

Pokud jde o ban na základě adres, ani tam nevidím žádný racionální argument.

Zaprvé, i na IPv4 takový ban často neřeší vůbec nic. Jak asi dáte ban velkému botnetu rozlezlému ve spoustě subnetů?

Zadruhé, je snad problém zabanovat celý rozsah? Je snadné zjistit, po jakých částech se příslušný /48 rozsah přiděluje. Útočník bude mít rozsah napřklad /64 nebo /80. A zabanovat celý rozsah je *stejně* snadné jako zabanovat jednu IP adresu.

Jak už jsem psal v předchozím odstavci, distribuované útoky nezabanujete nikdy. Jen s IPv6 bude po čertech těžké najít váš stroj. A to je velká výhoda.

Náhodný kolemjdoucí #5
Náhodný kolemjdoucí 10. únor 2010 22:15

Ano ja pisi IPV4 adresy rucne, kdyz je blokuju podle logu. Taky pak logy zpracovavame, coz bude u IPv6 obtiznejsi, protoze uzivatel muze menit adresy dle libosti takze je nemuzeme zpracovavat GROUP BY a taky bude potreba vice mista na disku diky delsim adresam. Proste zbytecnej opruz a nulova pridana hodnota pro mne jako provozovatele serveru s 8M pageviews denne.

pod pojmem blokovani modul, myslim ruzne antidos/spam moduly napriklad do buletin board aplikaci, nebo do apache nebo do websphere.

Nepodporuje to IPv6? Pak ať to okamžitě letí oknem ven!
To si muzete delat jen kdyz vam jde o hovno. Ja potrebuju v prvni rade funkcni server protoze mi vydelava penize. Jelikoz neni soft proti ipv6 botnetum tak ja ipv6 nechci.

ipv6 sice mozna OS zvladaji, ale nezvladaji ho aplikace. to je podstatny rozdil.

ban na ipv4 resi hodne. Kdyz vam nekdo spamuje kazdych 5 sekund server, dost to ocenite kdyz ho automatika nejen blokne, ale i smaze vsechny jeho prispevky. tohle bude s v6 tezsi.

Náhodný kolemjdoucí #6
Náhodný kolemjdoucí 11. únor 2010 12:44

Kdyz na to nemate skilly, tak to nedelejte. Rucne neco kopirovat z logu. Proboha.

8M pageviews denne, to je nejaky pornoblogisek ne ?!? .. pevne v to doufam, protoze kdyz popisujete vase technicke zazemi, lituji vasich klientu.

Náhodný kolemjdoucí #8
Náhodný kolemjdoucí 11. únor 2010 13:15

Nase technicke zazemi je rozhodne funkcni a vydelava penize, coz je hlavni. Cisty zisk cca $230k mesicne a na nejaky IPV6 ja vam z vysoka seru protoze pro mne nema absolutne zadnou pridanou hodnotu. Kdyby byli klienti z USA/Nemecka pouze s ipv6 konektivitou tak bych to zvazil, ale dal bych to na jiny server abych si nekurvil ten prvni.

Navic muj ISP IPV6 nema, tak nejaky IPV6 nemusim vubec resit.

Porno prakticky nevydelava, my jsme eshop s hadrama.

Nase technicke zazemi: IBM POWER6 servery, storage DS5k, nejsme zadni sraci s intelama co jedou na LAMPu a studentici jim koduji eshop. Databazi mame DB2 9.7, AIX6 a TSM backup 6.1, Websphere commerce - vynikajici eshop, POWERvm virtualizace. S dodanym resenim od IBM jsme mimoradne spokojeni, beha to spolehlive a muzeme se v klidu venovat sve praci. Jen jsou problemy s idiotama co nam dosi server.

Náhodný kolemjdoucí #9
Náhodný kolemjdoucí 11. únor 2010 14:46

Zkuste se na to podívat tak, že IPv4 adresy URČITĚ jednou dojdou a lidi to IPv6 BUDOU jednou používat. Až vám začne díky tomu klesat návštěvnost i vaše tučné zisky, tak už možná bude pozdě zjišťovat, jak se to IPv6 vlastně používá ;-). Mějte se.

Náhodný kolemjdoucí #13
Náhodný kolemjdoucí 01. duben 2010 12:28

anebo IPV-8

Náhodný kolemjdoucí #10
Náhodný kolemjdoucí 12. únor 2010 10:00

Ano, ani jedna technologie co ste popsal by s IPv6 nemela mit problem, takze vidim, ze je problem asi nekde jinde, tedy ve Vas. Vy jste majitel/manager/nebo jen nejaka podrztaska ?

Pokud to prvni, tak je mi lito vasich zamestnancu, ze se vubec pletete do veci, kterym nerozumite, melete blaboly a pletete dohromady pojmy jako, pridana hodnota, vydelavani penez, nepotrebuji a IPv6.

Pokud to druhe, tak delate spatne managerske rozhodnuti. ( To spatne managerske rozhodnuti uz nastalo ve fazi reseni toho spamovani )

Pokud to treti, tak pravdepodobne budete jen neschopny admin.

Jinak nemam co dodat, bohuzel musim prat brzky krach toho velkeho byznysu s hadrama ( dulezity pro cele lidstvo ) a pevne doufam, ze za nim bude stat striktni nasazeni IPv6 bez cekani na otalejici a podobne zpatecniky.

Náhodný kolemjdoucí #14
Náhodný kolemjdoucí 12. únor 2010 12:32

Bananovaci modul pro websphere commerce neumi ipv6, antifraud online checky ktery delame nenabizi jejich poskytovatele pro ipv6, geoip neni(?) pro ipv6.
Tyto systemy jsou mision crytical pro nas e-hop s hadrama aby nam customeri neflakali do orderu lajznute kreditky.

Majitel bohuzel nejsem, staram se o technicke zabezpeceni a aplikaci. Jestli krachneme kvuli tomu ze jsme nenasadili vcas ipv6 tak to bude driv v pekle zima.

dracul #15
dracul 13. únor 2010 12:17

no nevim, jak koukam na soubory z balicku geoip tak se nezda ze by to nemelo ipv6
/usr/bin/geoiplookup
/usr/bin/geoiplookup6
/usr/bin/geoipupdate
nehlede na to ze nemam paru k cemu je to pro obchod s hadrama, kradenou kreditkou se da prece platit i pres ruzny tunely a proxyny

ale je alspon dobry vedet ze jste jen ten co ma nastarosti prepisovani ip adres na blacklist:)

Pavel Šimerda #11
Pavel Šimerda 19. leden 2011 12:57

"Cisty zisk cca $230k mesicne a na nejaky IPV6 ja vam z vysoka seru protoze pro mne nema absolutne zadnou pridanou hodnotu."

Asi tak jako my z vysoka na vás :).

Možná si myslíte, že chvástavost je dobrá vlastnost, ale bohužel se na tom neshodnem :).

lxd #7
lxd 11. únor 2010 13:21

>Kdyz vam nekdo spamuje kazdych 5 sekund server, dost to ocenite kdyz ho automatika nejen blokne, ale i smaze vsechny jeho prispevky. tohle bude s v6 tezsi.

Jsou mnohem lepší způsoby, jak blokovat spam. Že jste lama, s problémem si pořádně neporadíte a závisíte na nějakých amatérských nástrojích, to spíš vypovídá něco o vás.

Pavel Šimerda #12
Pavel Šimerda 19. leden 2011 12:54

"dost to ocenite kdyz ho automatika nejen blokne, ale i smaze vsechny jeho prispevky. tohle bude s v6 tezsi."

Myslíte, že umazat půl adresy je nějak výrazně těžké?

Forex Broker  #3
Forex Broker 21. květen 2011 10:30

Ano, ani jedna technologie co ste popsal by s IPv6 nemela mit problem, takze vidim, ze je problem asi nekde jinde, tedy ve Vas. Vy jste majitel/manager/nebo jen nejaka podrztaska Forex Broker.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů