กฎที่อิงกับ IP (เช่นตัวห้าม / ตัวกรอง) ได้รับผลกระทบอย่างไรเมื่อ IPv6 กลายเป็นมาตรฐาน

13

เนื่องจากไซต์ Stack Exchange นั้นห้ามใช้ IPฉันสงสัยว่ามีความเห็นหรือกลยุทธ์ทั่วไปเกี่ยวกับการสร้างกฎตาม IP ของผู้ใช้เพื่อกำหนดพฤติกรรม

ด้วย IPv4 คุณจะมีบางสิ่งที่คุณสามารถคิดได้อย่างน่าเชื่อถือเกี่ยวกับ IP ที่กำหนด:

IP ที่แชร์ซับเน็ตอาจเป็นผู้ใช้เดียวกันได้
ในขณะที่ IP สามารถนำกลับมาใช้ใหม่ได้สำหรับจุดปลายทางที่เกิดขึ้นจริงหลาย ๆ อย่างก็ไม่น่าเป็นไปได้ที่คุณจะเห็นการเชื่อมต่อที่ซ้ำกันจาก IP ที่ไม่ใช่ผู้ใช้เดียวกันหรืออย่างน้อยครัวเรือนเดียวกัน / องค์กรเดียวกัน
ไม่ใช่เรื่องง่ายสำหรับผู้ใช้ที่จะได้รับ IP สาธารณะใหม่ (มีสิ่งกีดขวางขนาดกลางในการเข้ามาที่นี่)

ด้วย IPv6 คุณสามารถสันนิษฐานได้ทั้งหมดหรือไม่ ฉันคิดว่าอย่างน้อยที่สุดจุดที่สองจะไม่เป็นจริงอีกต่อไปเนื่องจาก NAT'ing ควรจะหายไปกับ IPv6 เพราะมี IP เพียงพอสำหรับทุกคนที่ต้องการ

หากคุณมีนโยบายที่ใช้ IP อยู่การพิจารณาใดที่จำเป็นต้องทำสำหรับ IPv6 หากมีเนื่องจากความแตกต่างของทั้งสอง

ipv6

— Daniel DiPaolo
แหล่งที่มา

6

ด้วย IPv6 ฉันไม่คิดว่าจะมีโซลูชั่นที่สมบูรณ์แบบ แต่มีหลายสิ่งที่ควรพิจารณา:

ผู้ให้บริการอินเทอร์เน็ตมีแนวโน้มที่จะแจก/64เครือข่ายย่อยให้กับลูกค้ารายบุคคล (จะมีมากพอที่จะไปไหนมาไหน)
สำนักงานน่าจะมี/64สำนักงานอย่างน้อยหนึ่งแห่ง
ผู้ให้บริการอินเทอร์เน็ตเชื่อมโยงนำเสนออย่างเคร่งครัดจุดหนึ่งไปยังอีกจุดหนึ่งอาจเลือกใช้กับการใช้คำนำหน้าระหว่างและ/64 /126(ดูสาเหตุที่พวกเขาไม่ได้ใช้ / 127 โดยทั่วไป ) นี่อาจเป็น ISP ที่มีสายตาสั้นหรือผู้ที่ต้องการเรียกเก็บเงินเต็ม/64จำนวน มีจริงๆด้วยเหตุผลที่ว่าในแต่ละจุด (ซึ่งอาจจะเป็นเครือข่ายของลูกค้าเต็ม) /64ไม่ควรจะไม่มี
สมมติว่า subnets ส่วนใหญ่ของผู้ใช้ IPv6 ส่วนใหญ่จะอยู่บน a /64ใครสามารถดู bit 6 ในตัวระบุอินเตอร์เฟส (ดูหัวข้อ 3.2.1ของRFC 4941 ) เพื่อตรวจสอบว่ามันน่าจะถูกสร้างขึ้นโดยใช้ตัวระบุที่ไม่ซ้ำกันทั่วโลกหรือไม่ (MAC address) นี่ไม่ใช่สิ่งที่จะเข้าใจผิดได้ แต่ถ้าตั้งค่าบิตนี้เป็นไปได้ว่าบ่งชี้ว่าที่อยู่ที่สร้างขึ้นจากที่อยู่ MAC ดังนั้นหนึ่งสามารถบล็อกที่อยู่ IPv6 ตาม 64 บิตล่าสุดและผู้ใช้สามารถถูกบล็อกไม่ว่าพวกเขามาจากเครือข่ายย่อยใด (บางทีการใช้สิ่งนี้ให้ดีที่สุดเป็น "คำใบ้" เนื่องจากที่อยู่ MAC ในขณะที่ควรจะไม่ซ้ำกันในระดับโลกในทางปฏิบัติไม่ได้เสมอไปนอกจากนี้พวกเขาก็หัวหมุนได้ง่าย แต่ใครก็ตามที่เข้าใจพอที่จะรับมือกับปัญหา คว้า/64และรับที่อยู่ที่ไม่ซ้ำกัน 2 ^ 64)
หากที่อยู่ความเป็นส่วนตัวกำลังถูกใช้งานอยู่ ... ไม่ต้องทำอะไรมากมายยกเว้นบล็อกที่อยู่เดียวในช่วงเวลาสั้น ๆ มันอาจจะเปลี่ยนในไม่ช้า ปัจจัยในส่วนเครือข่ายของ/64ณ จุดนี้ แต่ระวังเพราะคุณอาจปิดกั้นสำนักงานขององค์กรทั้งหมดของใครบางคน

ฉันจะบอกว่าวิธีที่ดีที่สุดคือดูที่ที่อยู่แต่ละแห่งก่อนจากนั้นคำนึงถึงที่อยู่ 64 บิตสุดท้ายและรูปแบบการใช้งานที่ไม่เหมาะสมจาก/64เครือข่ายย่อยเฉพาะเพื่อใช้กลยุทธ์การบล็อก เพื่อสรุป:

เริ่มต้นด้วยการบล็อก/128ที่อยู่ IP แต่ละรายการ (อย่างที่คุณอาจทำได้ในวันนี้ด้วย IPv4)
หากคุณสังเกตเห็นรูปแบบการละเมิดจากที่อยู่ที่ไม่ใช่ความเป็นส่วนตัวในที่อยู่ 64 บิตสุดท้ายให้ใช้สิ่งนั้นเป็นตัวบ่งชี้ที่แข็งแกร่งในอัลกอริทึมการบล็อกของคุณ อาจมีคนกระโดดข้ามระหว่าง ISP หรือเครือข่ายย่อย (อีกครั้งโปรดระวังสิ่งนี้เนื่องจาก MACs นั้นไม่จำเป็นต้องมีลักษณะเฉพาะ - ใครบางคนอาจทำการปลอมแปลงเพื่อใช้ประโยชน์จากอัลกอริทึมของคุณ) นอกจากนี้สิ่งนี้จะใช้ได้กับผู้ใช้ที่ไม่ทราบว่า IPv6 ทำงานอย่างไร ;-)
หากคุณสังเกตเห็นรูปแบบการละเมิดจากสิ่งใดสิ่ง/64หนึ่งบล็อกทั้งหมด/64ด้วยข้อความแสดงข้อผิดพลาดที่ดีเพื่อให้ผู้ดูแลระบบเครือข่ายที่ละเมิดสามารถทำสิ่งที่จำเป็นต้องทำในตอนท้ายของเขา / เธอ

โชคดี.

— mpontillo
แหล่งที่มา

2 ^ 64 = 18,446,744,073,709,552,000 ที่อยู่ที่เป็นไปได้ ทำไมผู้ใช้บนโลกถึงต้องมีที่อยู่มากมาย?

— TheLQ

@TheLQ พวกเขาไม่เห็นได้ชัด อย่างไรก็ตามเครือข่ายผู้ใช้ปลายทางทำเนื่องจากRFC 4291ต้องการตัวระบุอินเตอร์เฟส 64 บิต ดังนั้น 64 บิตสุดท้ายหรืออย่างน้อยที่สุดในเครือข่ายอีเทอร์เน็ตจะถูกใช้โดยที่อยู่EUI-64 - MAC 48 บิตขยายเป็น 64 บิต เครือข่ายในบ้านส่วนใหญ่แทนที่จะเป็นที่อยู่ IP แบบเดียว (แบบคงที่หรือแบบไดนามิก) จะต้องมี/64เครือข่ายย่อย(แบบคงที่หรือแบบไดนามิก) ด้วยเหตุผลนี้เนื่องจากไม่มี NAT ใน IPv6

— mpontillo

นอกจากนี้ DHCPv6 อาจจะช่วยสถานการณ์บ้าง แต่มันอาจสร้างความกดดันให้กับเราเตอร์เนื่องจากคุณต้องกำหนดเส้นทางตาม 128 บิตทั้งหมดแทนที่จะเป็น 64 บิตแรกหากคุณกำหนดเส้นทางไปยังที่อยู่ IP แต่ละรายการ แทนที่จะเป็น/64ลูกค้าต่อที่อาจระเบิดตารางเส้นทางของคุณเป็นขนาดที่ไม่สมเหตุสมผลและทำให้เกิดปัญหาขึ้นอยู่กับฮาร์ดแวร์ที่ใช้สำหรับการกำหนดเส้นทาง

— mpontillo

ขอบคุณฉันไม่รู้เลยว่า IP นั้นมาจากที่อยู่ Mac และลืมไปว่ามีตารางเส้นทาง ดูเหมือนว่าฉันจะต้องอ่าน

— TheLQ

1

แนวปฏิบัติที่ดีที่สุดในปัจจุบันดูเหมือนว่าการกำหนดขั้นต่ำสำหรับลูกค้าที่อยู่อาศัยของ ISP คือ / 56 แน่นอนลูกค้าส่วนใหญ่อาจจะไม่ใช้มากกว่าหนึ่งหรือสอง / 64 เครือข่ายย่อยภายในบล็อกดังกล่าวเป็นระยะเวลาหนึ่งถ้าเคย แต่คาดว่าการใช้งาน

— Michael Hampton

3

สมมติฐานที่คุณแสดงรายการ:

IP ที่แชร์ซับเน็ตอาจเป็นผู้ใช้เดียวกันได้

ยังคงมีอยู่ - ในความเป็นจริงหากผู้ให้บริการอินเทอร์เน็ตกำลังจัดสรรซับเน็ตย่อย IPv6 ให้กับลูกค้าของพวกเขามันจะกลายเป็นจริงมากยิ่งขึ้น

ในขณะที่ IP สามารถนำกลับมาใช้ใหม่ได้สำหรับจุดปลายทางที่แท้จริงต่าง ๆ แต่ก็ไม่น่าเป็นไปได้ที่คุณจะเห็นการเชื่อมต่อที่ซ้ำกันจาก IP ที่ไม่ใช่ผู้ใช้เดียวกันหรืออย่างน้อยครัวเรือนเดียวกัน / องค์กรเดียวกัน

ยังคงมีอยู่ (อันที่จริงนำไปใช้กับซับเน็ตทั้งหมดตามที่อธิบายไว้ข้างต้น)

ไม่ใช่เรื่องง่ายเลยที่ผู้ใช้จะได้รับ IP สาธารณะใหม่ (มีสิ่งกีดขวางขนาดกลางในการเข้ามาที่นี่)

ไม่ได้ใช้กับ IP แต่ละตัวมากนัก แต่ใช้กับซับเน็ตที่ส่งโดย ISP

โดยพื้นฐานแล้วเรากำลังดู subnet bans ที่ปัจจุบันเรามี IP แบนแบนโดยสมมติว่า ISPs แจก subnet ให้ผู้ใช้ทุกคน หากผู้ใช้แทนได้รับที่อยู่ IPv6 แต่ละรายการ (หนึ่งต่อผู้ใช้) จากนั้นเราจะดูที่การห้าม IPv6 เดี่ยวซึ่งอาจนำไปสู่การห้ามใช้ตารางที่ยาวขึ้น (และปัญหาด้านประสิทธิภาพที่เกี่ยวข้อง) หากมีผู้ใช้ที่ประพฤติตัวไม่ดีมาก
ไม่ว่าในกรณีใดการห้ามใช้ IP จะกลายเป็นเครื่องมือที่ละเอียดยิ่งขึ้น (นั่นคือความเสี่ยงน้อยกว่าในการบล็อกผู้ใช้จาก ISP ที่มีพูลแบบไดนามิกเพราะบุคคลหนึ่งทำงานผิดปกติ) ซึ่งในมุมมองของฉันเป็นสิ่งที่ดี ...

— voretaq7
แหล่งที่มา

1

ฉันจะแปลกใจถ้าเครือข่ายมือถือแจก / 64s ไปยังโทรศัพท์แต่ละเครื่อง พวกเขาจะได้รับ IP จากพูลแบบไดนามิกแน่นอน ถ้า LTE ปิดครั้งใหญ่เรายังสามารถกลับมา "ปิดกั้นผู้ใช้หลายรายจาก ISP ที่มีกลุ่มรวมแบบไดนามิกเพราะคนคนหนึ่งทำงานผิดปกติ"

— Richard Gadsden

2

Wikipedia / MediaWiki ใช้นโยบายในการบล็อกทั้ง / 64 เมื่อปิดกั้น IP ที่ห้าภายใน / 64

ห้าดูเหมือนว่าจะเป็นกฎง่ายๆที่คนอื่นใช้ - สอง DNSBLs ที่ฉันเคยเห็นกำลังนำนโยบายเดียวกันมาใช้

ฉันไม่เห็นแผนการที่จะรวมบล็อกไว้เหนือ a / 64 แม้ว่าการรับ a / 48 หรือ a / 56 นั้นค่อนข้างง่ายสำหรับองค์กรขนาดเล็ก แน่นอนว่าในปัจจุบันผู้ส่งอีเมลขยะมักจะมี / 24 (IPv4) หรือดังนั้นฉันจึงคาดหวังว่าพวกเขาจะเริ่มคว้าพื้นที่ IPv6 อันยิ่งใหญ่

— Richard Gadsden
แหล่งที่มา

1

IP ที่แชร์ซับเน็ตอาจเป็นผู้ใช้เดียวกันได้

ยังคงเป็นจริงจริงยิ่งขึ้นด้วย v6

ในขณะที่ IP สามารถนำกลับมาใช้ใหม่ได้สำหรับจุดปลายทางที่เกิดขึ้นจริงหลาย ๆ อย่างก็ไม่น่าเป็นไปได้ที่คุณจะเห็นการเชื่อมต่อที่ซ้ำกันจาก IP ที่ไม่ใช่ผู้ใช้เดียวกันหรืออย่างน้อยครัวเรือนเดียวกัน / องค์กรเดียวกัน

น่าจะเป็นจริงยิ่งขึ้นด้วย v6 กว่า v4

ไม่ใช่เรื่องง่ายสำหรับผู้ใช้ที่จะได้รับ IP สาธารณะใหม่ (มีสิ่งกีดขวางขนาดกลางในการเข้ามาที่นี่)

ในกรณีส่วนใหญ่แทนที่จะเป็นที่อยู่ของแต่ละ ISP ผู้ให้บริการจะแจกบล็อกที่อยู่ ง่ายสำหรับลูกค้าที่จะย้ายไปอยู่ภายในบล็อกของพวกเขา ยากขึ้น (ถึงแม้จะเป็นไปไม่ได้) ที่จะสร้างบล็อกใหม่

บิตที่ยากที่สุดคือขนาดการจัดสรรให้กับลูกค้านั้นแตกต่างกันไป ISP บางแห่งแจกที่อยู่แต่ละแห่ง, บล็อกบางส่วน / 64 บล็อก, บล็อกบางส่วน / 56 บล็อก, บางบล็อก / 48 บล็อก

นี่จะทำให้เป็นการยากที่จะเกิดขึ้นกับนโยบายการห้าม / จำกัด ที่เหมาะสมที่จะทำงานได้กับ ISP ทั้งหมด คือ "ฮอต" / 48 ผู้ทำร้ายคนเดียวที่พบ ISP ที่ให้บล็อกขนาดใหญ่หรือเป็นกลุ่มผู้ใช้จำนวนมากในผู้ให้บริการมือถือตระหนี่ที่ให้ที่อยู่แต่ละรายการ

ป.ล. ปฏิเสธที่จะใช้งาน IPv6 ไม่ใช่การแก้ปัญหาอย่างใดอย่างหนึ่งเช่นเดียวกับการหมดความต้องการ IPv4 ลูกค้าจำนวนมากขึ้นเรื่อย ๆ จะอยู่เบื้องหลัง NAT บางระดับของ ISP

— ปีเตอร์กรีน
แหล่งที่มา

0

ฉันคิดว่ามันขึ้นอยู่กับว่า ISP จะทำอย่างไร พวกเขาจะยังคงพิสูจน์ IP แบบไดนามิกจริงต่อผู้ใช้หรือไม่ ถ้าไม่เช่นนั้นหรือหากผู้ใช้ทุกคนได้รับไอพี / ซับเน็ตของตัวเองโดยเฉพาะไอพีนั้นก็จะเริ่มเหมือนกันกับป้ายทะเบียนรถยนต์

— Dexter
แหล่งที่มา

คำถาม ISP ทำให้เดือดร้อน: "ISP ต้องการ จำกัด จำนวนหน่วยที่คุณสามารถเชื่อมต่อกับเครือข่ายได้หรือไม่" หากไม่มีการแจก a / 64 ให้กับแต่ละคนจะเป็นเส้นทาง ถ้าใช่ฉันคิดว่า dhcpv6 จะครอง

— Bittrance

1

ฉันสงสัยว่า / 64 จะโดดเด่นสำหรับผู้ใช้ตามบ้านบรอดแบนด์ - ในความเป็นจริงการใช้งาน IPv6 จำนวนมากบนโฮม CPE ("เราเตอร์") สมมติว่าพวกเขาจะได้รับ / 64 OTOH ผู้ให้บริการโทรศัพท์มือถือสามารถป้องกันการปล่อยสัญญาณอินเทอร์เน็ตด้วยการแจก IP เดียวให้กับแต่ละอุปกรณ์และ a / 64 ให้กับผู้ใช้ที่ชำระค่าการปล่อยสัญญาณอินเทอร์เน็ต

— Richard Gadsden

0

เมื่อฉันเข้าใจว่า IPv6 กำลังจะเพิ่มจำนวนที่อยู่ IP จำนวนมากแต่ไม่เพิ่มจำนวนพอร์ตต่อโฮสต์ฉันก็งงครั้งแรก ระบุว่าคอมพิวเตอร์จะได้รับมากขึ้นและมีประสิทธิภาพมากขึ้นและทำให้กลายเป็นความสามารถมากขึ้นในการให้บริการขนาดใหญ่จำนวนการเชื่อมต่อพร้อมกันถูก จำกัด สูงสุด 65535 พอร์ตต่ออยู่ IPv6 ดูเหมือนจะ "คอขวดต่อไป"

จากนั้นฉันคิดเกี่ยวกับมันอีกครั้งและตระหนักว่ามันเป็นเรื่องไม่สำคัญที่จะกำหนด IPv6 หลายตัวให้กับอินเทอร์เฟซทางกายภาพหนึ่งและวิธีการหลีกเลี่ยงที่ จำกัด จำนวนพอร์ตที่สามารถเชื่อมต่อกับโฮสต์ ที่จริงแล้วลองคิดดูคุณสามารถกำหนดที่อยู่ 1024 หรือ 4096 IPv6 ให้กับโฮสต์ของคุณได้อย่างง่ายดายจากนั้นเรียงลำดับแบบสุ่มกระจายบริการของคุณในพอร์ตต่างๆในที่อยู่ทั้งหมดทำให้สแกนเนอร์พอร์ตค่อนข้างยาก (อย่างน้อยในทางทฤษฎี) .

ตอนนี้แนวโน้มเช่นการโฮสต์เสมือน (โฮสต์เสมือนขนาดเล็กหลายตัวบนโฮสต์กายภาพที่ค่อนข้างทรงพลัง) และอุปกรณ์มือถือ (คิดว่าโทรศัพท์มือถือที่เชื่อมต่อ IPv6 กับทุกคนบนโลก) อาจจะทำให้พูดกับเรื่องนี้ได้โฮสต์ส่วนใหญ่บนอินเทอร์เน็ตในอนาคต พอร์ตน้อยและต้องการเพียงหนึ่ง IPv6 ที่อยู่ต่อโฮสต์

(แต่ความสามารถในการ "ซ่อน" ในสระว่ายน้ำขนาดใหญ่ของที่อยู่ IPv6 ทั้งหมดที่คุณเป็นเจ้าของและที่คุณสามารถเลือกได้จากการสุ่มยังคงให้การรักษาความปลอดภัยบางชั้นแม้ว่าจะยอมรับบาง ๆ ในสถานการณ์ส่วนใหญ่)

— IllvilJa
แหล่งที่มา

1

และเมื่อไหร่ที่คอมพิวเตอร์สองเครื่องจะเปิดการเชื่อมต่อพร้อมกัน 65536 พร้อมกันยกเว้นในการทดสอบโหลดเทียม

— Michael Hampton