这是一个创建于 2771 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在网络安全领域的威胁情报很火,它们其中的一个很大的特征就是 IP 地址的 AS 号、 IP 地址的国家、 CIDR 的国家等等。
我想问一下,这个东西又不是固定的,它们将 ASN 、 IP 地址的地理位置等信息作为一个特征,是不是因为 AS 号和 IP 地址的国家分配 是最初就分配好的,基本不会有大变动(或者变动起来成本很大)
希望懂相关 BGP 以及在 ISP 工作的朋友们解释一下
谢谢!
 |
1
lslqtz 2017-04-11 20:09:35 +08:00
国家对于实际服务器所在地是不准的,自我想大部分都不会有大变动
|
 |
2
zspmhzx 2017-04-11 21:41:17 +08:00  2
我就 APNIC 的情况来说明,其他地方应该也差不多。
1.IP 地址的 Whois 国家信息是和 IP 地址申请者的组织所在地绑定的,除非 IP 地址转让,否则无法更改, ASN 也是一样, APNIC 禁止了修改权限。申请成为会员的时候会审核会员所在地。 2.没有 IP 地址的 AS 号的说法,只有 IP 地址广播在哪个 AS 号,也没有按某个大的段归到某个国家,一般是按申请顺序,谁先去申请就分配给谁,最小能申请到的 IP 地址块是 /24 ,所以一般判定某个 IP 归属哪个国家是看 APNIC 的 Whois 信息,但是并不是 IP 归属哪个国家就一定广播到哪个国家。 3.接下来就说广播的问题,广播的话每个国家看政策,比如中国大陆地区只能广播 CNNIC 分配的 IP 地址。但是向 APNIC 也可以申请到 Whois 信息为中国的 IP 地址,但是却没法在中国大陆地区广播。很多 IP 地址定位的服务都是靠 Whois 信息,也有少部分靠广播信息。靠广播信息才能准确的知道 IP 地址具体位置。当然,广播信息也有数据库的,例如 RADB 。 RADB 是靠各个运营商或机房维护的,也是有造假的可能,要更准确的得到广播信息,就需要一台连接骨干网的有广播权限的路由器,获取路由信息。 |
 |
3
Showfom 2017-04-12 07:10:56 +08:00
看 NOC 的心情,比如某天我突然想到了,就会去更正一下数据库,要是懒癌犯了的话,几百年都不会去动的
|
Select Language