Pull to refresh

Comments 72

А нельзя ли увидеть распределение IPv6 в высоком разрешении? :D
UFO just landed and posted this here
Просто используемые адреса не помещаются хотя бы в 1 пиксель.
Нельзя! Это специальная картинка, которая должна заставить всех любопытных пользователей Хабра вытереть экран!

И это, кстати, может оказаться и не шутка — в картинке ВСЕ пиксели черные
Все пиксели там абсолютно чёрные. Нет ни одного пикселя ярче, чем RGB(0,0,0). Я проверил.
Заголовок спойлера
<?php
$name='test.gif';
//$im = imagecreatefrompng($name);
$im = imagecreatefromgif($name);

$info = getimagesize($name);
$w = $info[0];
$h = $info[1];

$cnt=0;
for($x=0;$x<$w;$x++) for($y=0;$y<$h;$y++) {
    $c=imagecolorat($im, $x , $y);
    if ($c!=0) $cnt++;
}
echo($cnt);

imagedestroy($im);
?>

UFO just landed and posted this here
И это, кстати, может оказаться и не шутка — в картинке ВСЕ пиксели черные

В этом и шутка.


С одной стороны, IPv6-адресов настолько много, что просканировать их перебором принципиально невозможно. С другой стороны, IPv6-адресов настолько много, что на гипотетической карте IPv6 из того же количества пикселей (2^24) в один пиксель будет отображено 256 адресных пространств IPv4, что вообще говоря больше количества компьютеров на Земле. Поэтому можно с уверенностью утверждать, что на такой карте (предполагая 8-разрядную палитру и равномерное линейное отображение) все пиксели будут чёрными.

Я правильно понимаю, что зарезервированный диапазон (for future use) 240.0.0.0/4 не используют из-за того что много оборудования не будет с ним работать или есть какая-то другая причина?
Частично правильно.
Во 1 будет неправильно работать.
Во 2 мультикаст адресация идёт «по получателю», а не по источнику и думаю, что карта делалась по например BGP, а исходя из 2 пунта будет чернота.
Карта делалась по откликам на ICMP запрос.
Мультикаст адресация имеет диапазон 224.0.0.0/4
Одного не понял. Зачем спамерам IP адреса, и если они им всё-таки так нужны, то почему не использовать IPv6, думаю их получить проблем меньше, а основные почтовые сервера со своей стороны его поддерживают.
Основные как раз успешно борятся со спамом. Потому «неосновные» важнее.
Долго боролся с проблемой попадания почты в спам на гугле. Решилось отправкой писем в гугл по IPv4. Подозреваю у спамеров та же самая проблема.

Тоже пробовал слать почту по ipv6 — с подсетей hurricane electric почти что пермабан, вообще ничего не принимают

Чтобы увидеть распределение адресов IPv6, пришлось убрать даже мелкую пыль с монитора
>>Для сравнения, вот как выглядит распределение адресного пространства IPv6.
/me смахнул пыль с экрана
Видел я, однажды, место где даже на принтере был белый ip. Сердце кровью обливалась.
Многие ISP (например где я работаю) по дефолту выдают своим клиентам белую статику. Выглядит это еще более бессмысленно чем упомянутый вами принтер
Как клиент такого ISP могу сказать что это офигенно — можно поднять VPN к себе домой, например.
Так а по умолчанию зачем выдавать? Нужно, попроси. У меня раньше стоило единоразово 30 рублей, а последние года полтора, всем новым абонентам дают белый адрес.
Видимо, чтобы оправдать приобретение большого количества адресов и чтобы их не раскулачили, дескать вы их не используете.
Ставить CG-NAT гораздо затратнее, чем выдать клиентам белые IP (в случае их наличия, конечно).
Я бы сразу ушёл от провайдера, который держит всех клиентов за натом — я домой по vpn хожу несколько раз на дню, из-за границы видео в стриме смотрю и т.п. Впрочем, адрес не статика — меняется раз в несколько дней, приходится использовать динамический днс.
Но мой провайдер давно уже кроме ipv4 выдаёт и ipv6.
Вообще-то это и есть нормальная жизнь (с ipv6, надеюсь, будет везде).

IPv6 безумно много, а вот v4 остались крохи. ВонRIR-ы грызут всех.

Надо было не 255.255.255.255 адресов делать, а 999.999.999

Надо было байты делать больше, не 255, а 999! И тут зажали..

не, 999 не круглое число, 1023 должно быть. Вот почему… почему на заре компьютерной эры зажали 2 бита?
Тогда почему два? Делали бы байт не на 8 бит, а на 16.
Делали. Не прижилось. Видимо из-за сложности минимальных рабочих схем — даже прототип процессора делать было в 2 раза сложнее, площадь кристалла и т.д. Вспомните, раньше компьютеры собирали на дискретных элементах — элементарно потребовались бы корпуса микросхем с большим количеством выводов или больше самих корпусов.
Были байты и на 6 бит, и на 10 бит и даже 12. Большие машины оперировали, если мне не изменяет память, 14-ю битами но там это уже называлось машинным словом. Сейчас мы говорим байт и сразу всплывает цифра 8… но не всегда это было однозначным! Цифра 8 прижилась ИМХО из-за своей двоичной красоты.
на С-300 в ЦВК были 36-ти разрядные слова (32 значимых и 4 контрольных). Но команды были разной длины.
Потому что на тот момент казалось, что для покрытия диапазона IPv4, нужно, чтобы комьютеры были в каждой квартире, а это выглядело сюрреалистично.

Сейчас же, никто не верит, что можно покрыть IPv6, потому что для этого у каждого человека в организме должно быть множество нанороботов с выделенными адресами. А всем нам очевидно, что такого быть не может.
Интереснее другое.
Следующая версия протокола, для наноботов, будет IPv8 или IPv9?
128 бит хватит, чтобы каждой частице в ЭТОЙ Вселенной выдать целую подсеть. Так что после IPv6 ничего не будет ;)
Значит, вопрос об алгоритме получения следующего номера версии останется нераскрытым.
Печаль.
UFO just landed and posted this here
Мифический *периметр*. NAT _не является_ средством обеспечения безопасности.
UFO just landed and posted this here

А блокировки это средство защиты детей от интернета, да.

UFO just landed and posted this here
1. (и некоторым образом 3.) Увеличивается attack surface (добавляется сам роутер).
2. За пределами конфигураций, находящихся в одной комнате и непосредственно обозримых тобою, либо, возможно, каких-то военно-правителственных систем (те, что я видел, выглядели не менее грустно), в сети обязательно оказывается несколько неконтролируемых входов.
UFO just landed and posted this here
Как будто сейчас нет ботнетов в десятки миллионов хостов. А так хоть патчить начнут.
Заменяем NAT на stateful firewall — и всё. Все вышеназванные минусы убраны, плюсы добавлены.
UFO just landed and posted this here
Подключают роутер, в котором по умолчанию включен файерволл. ВСЁ.
UFO just landed and posted this here
Давайте сравнивать честно:
IPv4 vs Ipv6;
IPv4 behind NAT vs IPv6 behind firewall.
UFO just landed and posted this here
Чтобы голый зад прикрыть. Фаервол, будучи настроенным по умолчанию уже оберегает от многих видов атак.
Что за голый зад? Технически?
Порты компьютера доступные для подключения извне, в том числе сервисы которые никогда не используются но работают по умолчанию — RDP, SMB, открытый 80-й порт и т.д. И даже если есть защита в виде софтового фаервола, это скорее фиговый листочек или щеколда на сейфе.
Так может, их выключить, если они не нужны?
Почему же не нужны? Они используются в локальной сети. А некоторые и вовсе выключить нельзя, такие как RPC на Windows.
А настройка нормальной аутентификации никак?
Если бы всё было так просто…
Тут вопрос не в аутентификации вообще а в доступности портов для атак. Софт уязвим, и какой бы нормальной аутентификация не была это не повод выставлять порты наружу если нет в этом необходимости или вовсе без защиты. Только недавно пробегала дыра позволяющая обойти аутентификацию при подключении по RDP.
Риски не те. Обычно внутренняя подсеть контролируется гораздо жестче на предмет сторонних девайсов и т.п. Возможны даже глобальные политики, блокировка портов на уровне роутеров и т.д. — это то что можно решить централизованно. Абсолютной защиты не существует, всё что мы можем сделать — это затруднить реализацию атаки и сделать её экономически невыгодной.
Вот это ``обычно'' обычно иллюзия, которая вызывает у людей расслабление ``а, зачем тут пароли, зачем шифрование, у нас тут внутренняя подсеть, всё защищено'', при том, что реально давно уже имеются десятки дыр наружу.
Вторая крайность — это паранойя… Надо не забывать что безопасность стоит денег и абсолютной безопасности не существует. Так же надо принимать во внимание удобство для конечных пользователей(почему досихпор небезопасный и дырявый SMB жив?). В наших силах только выбрать уровень безопасности соответствующий ценности защищаемых данных и вероятности угроз. Согласитесь что вероятность получить атаку из дикого интернета в миллион(ну ладно, подставьте сюда реальную цифру) раз выше чем атаку во внутреннем периметре. К тому же, какой смысл строго защищать внутреннюю сеть если там только «печатные машинки» и мультимедиа. Файловый сервер, подключенный к этой сети, будет защищён отдельно — ценность хранящейся информации там выше, сервера в дата-центре будут иметь свой эшелон защиты и так далее.
проблема решается просто, ввод налога на IP, держать большие диапозоны без дела будет дорого, только вот в чей карман собираемые суммы пойдут большой вопрос
На гранты опенсорс проектам, как делает Мозилла, например.
В итоге окажется, что позволить себе ipv4 смогут только спамеры и эпэлгуголамазон.
И это правильно. Рынок IPv4 адресов должен дойти до края, абсурда и помереть… надо в конце концов IPv6 начать использовать, может хоть так зашевелятся.
UFO just landed and posted this here
Видимо, юридические заморочки. Отсудят, возможно и вернут.
Sign up to leave a comment.