У мошенника отобрали 735 000 адресов IPv4 и вернули в реестр

[shurshur]

А нельзя ли увидеть распределение IPv6 в высоком разрешении? :D

[Firz]

Просто используемые адреса не помещаются хотя бы в 1 пиксель.

[dMac]

Нельзя! Это специальная картинка, которая должна заставить всех любопытных пользователей Хабра вытереть экран!

И это, кстати, может оказаться и не шутка — в картинке ВСЕ пиксели черные

[dollar]

Все пиксели там абсолютно чёрные. Нет ни одного пикселя ярче, чем RGB(0,0,0). Я проверил.

Заголовок спойлера

<?php
$name='test.gif';
//$im = imagecreatefrompng($name);
$im = imagecreatefromgif($name);

$info = getimagesize($name);
$w = $info[0];
$h = $info[1];

$cnt=0;
for($x=0;$x<$w;$x++) for($y=0;$y<$h;$y++) {
    $c=imagecolorat($im, $x , $y);
    if ($c!=0) $cnt++;
}
echo($cnt);

imagedestroy($im);
?>

[intelfx]

И это, кстати, может оказаться и не шутка — в картинке ВСЕ пиксели черные

В этом и шутка.

С одной стороны, IPv6-адресов настолько много, что просканировать их перебором принципиально невозможно. С другой стороны, IPv6-адресов настолько много, что на гипотетической карте IPv6 из того же количества пикселей (2^24) в один пиксель будет отображено 256 адресных пространств IPv4, что вообще говоря больше количества компьютеров на Земле. Поэтому можно с уверенностью утверждать, что на такой карте (предполагая 8-разрядную палитру и равномерное линейное отображение) все пиксели будут чёрными.

[demfloro]

Я правильно понимаю, что зарезервированный диапазон (for future use) 240.0.0.0/4 не используют из-за того что много оборудования не будет с ним работать или есть какая-то другая причина?

[ivanovp]

Частично правильно.
Во 1 будет неправильно работать.
Во 2 мультикаст адресация идёт «по получателю», а не по источнику и думаю, что карта делалась по например BGP, а исходя из 2 пунта будет чернота.

[Henry7]

Карта делалась по откликам на ICMP запрос.
Мультикаст адресация имеет диапазон 224.0.0.0/4

[mamont80]

Одного не понял. Зачем спамерам IP адреса, и если они им всё-таки так нужны, то почему не использовать IPv6, думаю их получить проблем меньше, а основные почтовые сервера со своей стороны его поддерживают.

[Revertis]

Мой не поддерживает :(

[polearnik]

А он входит в число основных почтовых серверов?

[Revertis]

Для меня да.

[arheops]

Основные как раз успешно борятся со спамом. Потому «неосновные» важнее.

[Tatikoma]

Долго боролся с проблемой попадания почты в спам на гугле. Решилось отправкой писем в гугл по IPv4. Подозреваю у спамеров та же самая проблема.

[dragoangel]

Тоже пробовал слать почту по ipv6 — с подсетей hurricane electric почти что пермабан, вообще ничего не принимают

[scrilan]

Чтобы увидеть распределение адресов IPv6, пришлось убрать даже мелкую пыль с монитора

[Zavtramen]

Блин, так это пыль…

[fenst]

>>Для сравнения, вот как выглядит распределение адресного пространства IPv6.
/me смахнул пыль с экрана

[KndK]

Видел я, однажды, место где даже на принтере был белый ip. Сердце кровью обливалась.

[CherryPah]

Многие ISP (например где я работаю) по дефолту выдают своим клиентам белую статику. Выглядит это еще более бессмысленно чем упомянутый вами принтер

[lorc]

Как клиент такого ISP могу сказать что это офигенно — можно поднять VPN к себе домой, например.

[Wernisag]

Так а по умолчанию зачем выдавать? Нужно, попроси. У меня раньше стоило единоразово 30 рублей, а последние года полтора, всем новым абонентам дают белый адрес.

[Alexeyslav]

Видимо, чтобы оправдать приобретение большого количества адресов и чтобы их не раскулачили, дескать вы их не используете.

[Gansterito]

Ставить CG-NAT гораздо затратнее, чем выдать клиентам белые IP (в случае их наличия, конечно).

[Goodkat]

Я бы сразу ушёл от провайдера, который держит всех клиентов за натом — я домой по vpn хожу несколько раз на дню, из-за границы видео в стриме смотрю и т.п. Впрочем, адрес не статика — меняется раз в несколько дней, приходится использовать динамический днс.
Но мой провайдер давно уже кроме ipv4 выдаёт и ipv6.

[spqr_voldi]

Вообще-то это и есть нормальная жизнь (с ipv6, надеюсь, будет везде).

[KndK]

IPv6 безумно много, а вот v4 остались крохи. ВонRIR-ы грызут всех.

[qwertyqwerty]

Надо было не 255.255.255.255 адресов делать, а 999.999.999

[Lailore]

Это тролинг, или вы не понимаете почему? (если что, то подсказка — байт)

[mSnus]

Надо было байты делать больше, не 255, а 999! И тут зажали..

[Alexeyslav]

не, 999 не круглое число, 1023 должно быть. Вот почему… почему на заре компьютерной эры зажали 2 бита?

[LoadRunner]

Тогда почему два? Делали бы байт не на 8 бит, а на 16.

[Alexeyslav]

Делали. Не прижилось. Видимо из-за сложности минимальных рабочих схем — даже прототип процессора делать было в 2 раза сложнее, площадь кристалла и т.д. Вспомните, раньше компьютеры собирали на дискретных элементах — элементарно потребовались бы корпуса микросхем с большим количеством выводов или больше самих корпусов.
Были байты и на 6 бит, и на 10 бит и даже 12. Большие машины оперировали, если мне не изменяет память, 14-ю битами но там это уже называлось машинным словом. Сейчас мы говорим байт и сразу всплывает цифра 8… но не всегда это было однозначным! Цифра 8 прижилась ИМХО из-за своей двоичной красоты.

[Rohan66]

на С-300 в ЦВК были 36-ти разрядные слова (32 значимых и 4 контрольных). Но команды были разной длины.

[distrik]

Потому что на тот момент казалось, что для покрытия диапазона IPv4, нужно, чтобы комьютеры были в каждой квартире, а это выглядело сюрреалистично.

Сейчас же, никто не верит, что можно покрыть IPv6, потому что для этого у каждого человека в организме должно быть множество нанороботов с выделенными адресами. А всем нам очевидно, что такого быть не может.

[MTyrz]

Интереснее другое.
Следующая версия протокола, для наноботов, будет IPv8 или IPv9?

[Greendq]

128 бит хватит, чтобы каждой частице в ЭТОЙ Вселенной выдать целую подсеть. Так что после IPv6 ничего не будет ;)

[MTyrz]

Значит, вопрос об алгоритме получения следующего номера версии останется нераскрытым.
Печаль.

[spqr_voldi]

Мифический *периметр*. NAT _не является_ средством обеспечения безопасности.

[Fedcomp]

А блокировки это средство защиты детей от интернета, да.

[spqr_voldi]

1. (и некоторым образом 3.) Увеличивается attack surface (добавляется сам роутер).
2. За пределами конфигураций, находящихся в одной комнате и непосредственно обозримых тобою, либо, возможно, каких-то военно-правителственных систем (те, что я видел, выглядели не менее грустно), в сети обязательно оказывается несколько неконтролируемых входов.

[spqr_voldi]

Как будто сейчас нет ботнетов в десятки миллионов хостов. А так хоть патчить начнут.

[Henry7]

Заменяем NAT на stateful firewall — и всё. Все вышеназванные минусы убраны, плюсы добавлены.

[Henry7]

Подключают роутер, в котором по умолчанию включен файерволл. ВСЁ.

[Henry7]

Давайте сравнивать честно:
IPv4 vs Ipv6;
IPv4 behind NAT vs IPv6 behind firewall.

[spqr_voldi]

А зачем файерволл?

[Alexeyslav]

Чтобы голый зад прикрыть. Фаервол, будучи настроенным по умолчанию уже оберегает от многих видов атак.

[spqr_voldi]

Что за голый зад? Технически?

[Alexeyslav]

Порты компьютера доступные для подключения извне, в том числе сервисы которые никогда не используются но работают по умолчанию — RDP, SMB, открытый 80-й порт и т.д. И даже если есть защита в виде софтового фаервола, это скорее фиговый листочек или щеколда на сейфе.

[spqr_voldi]

Так может, их выключить, если они не нужны?

[Alexeyslav]

Почему же не нужны? Они используются в локальной сети. А некоторые и вовсе выключить нельзя, такие как RPC на Windows.

[spqr_voldi]

А настройка нормальной аутентификации никак?

[Alexeyslav]

Если бы всё было так просто…
Тут вопрос не в аутентификации вообще а в доступности портов для атак. Софт уязвим, и какой бы нормальной аутентификация не была это не повод выставлять порты наружу если нет в этом необходимости или вовсе без защиты. Только недавно пробегала дыра позволяющая обойти аутентификацию при подключении по RDP.

[spqr_voldi]

А внутри — это тоже наружи.

[Alexeyslav]

Риски не те. Обычно внутренняя подсеть контролируется гораздо жестче на предмет сторонних девайсов и т.п. Возможны даже глобальные политики, блокировка портов на уровне роутеров и т.д. — это то что можно решить централизованно. Абсолютной защиты не существует, всё что мы можем сделать — это затруднить реализацию атаки и сделать её экономически невыгодной.

[spqr_voldi]

Вот это ``обычно'' обычно иллюзия, которая вызывает у людей расслабление ``а, зачем тут пароли, зачем шифрование, у нас тут внутренняя подсеть, всё защищено'', при том, что реально давно уже имеются десятки дыр наружу.

[Alexeyslav]

Вторая крайность — это паранойя… Надо не забывать что безопасность стоит денег и абсолютной безопасности не существует. Так же надо принимать во внимание удобство для конечных пользователей(почему досихпор небезопасный и дырявый SMB жив?). В наших силах только выбрать уровень безопасности соответствующий ценности защищаемых данных и вероятности угроз. Согласитесь что вероятность получить атаку из дикого интернета в миллион(ну ладно, подставьте сюда реальную цифру) раз выше чем атаку во внутреннем периметре. К тому же, какой смысл строго защищать внутреннюю сеть если там только «печатные машинки» и мультимедиа. Файловый сервер, подключенный к этой сети, будет защищён отдельно — ценность хранящейся информации там выше, сервера в дата-центре будут иметь свой эшелон защиты и так далее.

[abirinx]

проблема решается просто, ввод налога на IP, держать большие диапозоны без дела будет дорого, только вот в чей карман собираемые суммы пойдут большой вопрос

[Revertis]

На гранты опенсорс проектам, как делает Мозилла, например.

[Goodkat]

В итоге окажется, что позволить себе ipv4 смогут только спамеры и эпэлгуголамазон.

[Alexeyslav]

И это правильно. Рынок IPv4 адресов должен дойти до края, абсурда и помереть… надо в конце концов IPv6 начать использовать, может хоть так зашевелятся.

[Alexeyslav]

Видимо, юридические заморочки. Отсудят, возможно и вернут.