Was ist ein DS-Lite Tunnel und was macht der?

2 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet
franzhartwig
Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer
PC, Computer, Internet
29.07.2021, 18:40

DS-Lite hat mit Tunnel nichts zu tun. DS-Lite wird von den Providern gemacht, wenn sie zu wenige IPv4-Adressen haben. Bei DS-Lite findet auf Provider-Seite ein NAT statt. Das bedeutet, dass die IP-Adresse, mit der Du im Internet unterwegs bist, nicht von Dir allein genutzt wird. Pakete, die an diese IP-Adresse gesendet werden, müssen anhand einer NAT-Tabelle vom Provider-Router auf Deinen Anschluss zugestellt werden. Diese NAT-Tabelle wird dynamisch generiert. Wenn Du surfst, also etwas über das Internet aufrufst, wird ein Eintrag in dieser Tabelle generiert. Greift jemand diese IP-Adresse an, gibt es dafür keinen NAT-Eintrag, sodass die Pakete verworfen werden und nicht bei Dir ankommen.

Stelle Dir vor, Du rufst www.gutefrage.net auf. Das IP-Paket, welches beim Provider ankommt, sieht dann in etwa so aus:

von: 100.64.1.20:1234, an 213.95.206.41:80

Nehmen wir an, ein Nachbar kommuniziert ebenfalls mit www.gutefrage.net. Das Paket sieht dann so aus:

von: 100.64.1.21:2345, an 213.95.206.41:80

Die Absender-Portnummer denkt sich das Endgerät zufällig aus.

Das Paket kommt beim Router an. Da die IP-Adresse 100.64.1.20 im Internet nicht geroutet werden kann, macht der Provider-Router nun NAT. Nehmen wir an, die öffentliche Adresse des Provider-Routers ist 192.0.2.35. Dann sehen die Pakete, welche den Provider-Router in Richtung Internet verlassen, so aus:

von: 192.0.2.35:1234, an 213.95.206.41:80

von: 192.0.2.35:2345, an 213.95.206.41:80

Der Router schreibt sich eine NAT-Tabelle:

100.64.1.20:1234 -> 213.95.206.41:80

100.64.1.21:2345 -> 213.95.206.41:80

Die Adresse 192.0.2.35 ist also diejenige, mit der Du im Internet sichtbar bist. Wenn nun jemand versucht, Deinen Anschluss zu überlasten, sendet der Angreifer IP-Pakete an 192.0.2.35. Der Provider-Router kann diese Pakete nicht an Dich zustellen, weil kein Eintrag in der Tabelle vorhanden ist. Der Angriff kommt nicht bei Dir an.
Noobig  30.07.2021, 16:20
Die Adresse 192.0.2.35 ist also diejenige, mit der Du im Internet sichtbar bist. Wenn nun jemand versucht, Deinen Anschluss zu überlasten, sendet der Angreifer IP-Pakete an 192.0.2.35. Der Provider-Router kann diese Pakete nicht an Dich zustellen, weil kein Eintrag in der Tabelle vorhanden ist. Der Angriff kommt nicht bei Dir an.

Ein Grund mehr, um sich keinen VPN-Service zu abonnieren, weil der Provider schon einen DDoS-Schutz "kostenlos" bietet.

1
J0T4T4
29.07.2021, 17:13

Nein, dein ISP spart sich einfach nur IPv4-Adressen und du kannst nicht so leicht einen Server bei dir hosten ;)