Учитывая, что сайты Stack Exchange запрещают IP , мне интересно, есть ли общее мнение или стратегия о создании правил, основанных на IP пользователя, для того, чтобы диктовать поведение.
С IPv4 у вас есть несколько вещей, которые вы можете достаточно надежно предположить о данном IP:
- IP-адреса, которые совместно используют подсеть, вполне могут быть одним и тем же пользователем
- хотя IP-адреса можно повторно использовать для различных реальных конечных точек, относительно маловероятно, что вы увидите дублированные соединения с IP-адреса, которые не являются принадлежат одному и тому же пользователю или, по крайней мере, одному и тому же домашнему хозяйству / организации (в основном, разделяемому соединению)
- пользователю не так просто получить новый публичный IP-адрес (здесь есть средний барьер для входа)
С IPv6, вы можете принять все это? Я бы предположил, что, по крайней мере, второй пункт больше не будет правдой, так как предполагается, что NAT'ing по существу уйдет с IPv6, потому что будет достаточно IP-адресов для любого, кто этого хочет.
Если у вас есть набор политик на основе IP, какие соображения необходимо учитывать для IPv6, если таковые имеются, из-за различий в этих двух?
/64
этой причине большинству домашних сетей вместо одного (статического или динамического) IP-адреса потребуется одна (статическая или динамическая) подсеть, поскольку в IPv6 нет NAT./64
каждого клиента, это может привести к тому, что ваша таблица маршрутизации может оказаться неоправданно большой и вызвать проблемы в зависимости от оборудования, используемого для маршрутизации.Предположения, которые вы перечислите:
Продолжает удерживаться - фактически, если интернет-провайдеры распределяют подсети IPv6 своим клиентам, это становится еще более верным.
Продолжает удерживать (фактически относится ко всей подсети, как описано выше).
Не применяется к отдельному IP-адресу, а применяется к подсети, разосланной интернет-провайдером.
Таким образом, в основном мы рассматриваем запреты подсетей, где у нас в настоящее время есть запреты IP, предполагая, что интернет-провайдеры раздают подсети всем своим пользователям. Если вместо этого пользователи получают отдельные адреса IPv6 (по одному на пользователя), то мы рассматриваем отдельные запреты IPv6, которые могут привести к гораздо более длинной таблице запретов (и связанным с этим проблемам с производительностью), если существует много пользователей с плохим поведением.
В любом случае запрет на использование IP становится более детальным инструментом (т. Е. Снижается риск блокирования группы пользователей от интернет-провайдера, который имеет динамический пул из-за неправильного поведения одного человека), что, на мой взгляд, является хорошей вещью ...
источник
Википедия / MediaWiki применяют политику блокировки целого / 64, когда блокируют пятый IP-адрес в этом / 64.
Пять, кажется, стандартное эмпирическое правило, которое принимают другие - пара DNSBL, которые я видел, придерживаются той же политики.
Я не видел никаких планов собирать блоки выше / 64, хотя получить / 48 или / 56 довольно легко даже для скромной организации. Конечно, спаммеры в настоящее время часто имеют / 24 (IPv4) или около того, поэтому я ожидаю, что они начнут захватывать большие куски пространства IPv6.
источник
Все еще верно, действительно даже более верно с v6.
Вероятно, еще более верно с v6, чем v4.
В большинстве случаев вместо отдельных адресов интернет-провайдеры будут раздавать блоки адресов. Клиенту легко перемещаться в пределах своего блока. Сложнее (хотя и далеко не невозможно) получить новый блок.
Самое сложное в том, что размеры распределения для клиентов сильно различаются. Некоторые интернет-провайдеры раздают индивидуальные адреса, некоторые / 64 блока, некоторые / 56 блоков, некоторые / 48 блоков.
Это усложнит разработку разумной политики запрета / ограничения, которая будет работать для всех интернет-провайдеров. Является ли это «горячим» / 48 единственным злоумышленником, который обнаружил интернет-провайдера, который выдал большие блоки, или это большая группа пользователей скупого мобильного провайдера, который выдает отдельные адреса.
PS Отказ от реализации IPv6 на самом деле не является решением, так как с исчерпанием IPv4 все больше и больше клиентов будут находиться за той или иной формой NAT уровня ISP.
источник
Я думаю, что это будет сильно зависеть от того, что будут делать провайдеры. Будут ли они продолжать предоставлять пользователям реальные динамические IP-адреса? Если нет, или если каждый пользователь получит свой собственный IP / подсеть исключительно, то IP-адреса начнут быть почти такими же, как номерной знак.
источник
Когда я понял , что IPv6 собирается увеличить количество IP - адресов много , но не увеличивая число портов на хосте, я сначала озадачил. Учитывая, что компьютеры становятся все более и более мощными и, следовательно, становятся более способными обслуживать огромное количество одновременных подключений, ограничение до 65535 портов на IPv6-адрес представляется «следующим узким местом».
Затем я подумал об этом еще раз и понял, что тривиально назначать несколько IPv6 одному физическому интерфейсу и таким образом обойти ограничение количества портов, которые могут подключаться к хосту. На самом деле, если подумать, вы можете довольно легко назначить 1024 или 4096 IPv6-адресов вашему хосту, а затем как бы случайным образом распределить ваши сервисы по различным портам по всем адресам, предоставляя сканерам портов довольно трудное время (по крайней мере, в теории) ,
Теперь такие тенденции, как виртуализация хостов (несколько меньших виртуальных хостов на относительно мощном физическом хосте) и портативные устройства (думаю, мобильные телефоны, подключенные по протоколу IPv6 для всех на планете), вероятно, скажут на это, большинство хостов в будущем Интернете, вероятно, будут использовать довольно несколько портов и, следовательно, нужен только один IPv6-адрес на хост.
(Но возможность «спрятаться» в большом пуле IPv6-адресов, каждый из которых у вас есть и который вы можете выбирать случайным образом, по-прежнему обеспечивает некоторый уровень безопасности, даже если в большинстве случаев он, по общему признанию, тонкий)
источник