Ipv6
禁止 IPv6 地址
我目前習慣於使用諸如fail2ban之類的工具通過禁止IPv4地址來阻止不需要的流量進入我的伺服器:每個IP的錯誤日誌條目太多,禁止IP。
然而,當世界完成向 IPv6 的遷移時,禁止單個地址可能不再起作用,因為“普通”殭屍網路電腦或攻擊者擁有相當多的 IPv6 地址?
如果我想阻止 IPv6 使用者,最好的方法是什麼?使用某個 IP 遮罩或其他什麼?
當您在 IPv6 中獲得多個單獨的命中然後禁止整個塊時,如何進行“升級啟發式”?
對我來說,減輕威脅更為重要。如果一些可憐的正版使用者屬於被封鎖的 IP 的同一個區塊,那麼清除該網路區塊是這些人和他們的 ISP 之間的問題。
當使用 /64 大小的子網進行攻擊時,按 /128 禁止不會擴展。您最終將在表中得到 2^64 個條目,這可能會導致拒絕服務。
最終使用者將始終收到每個全域地址分配策略的 /56。企業將始終收到每個全球地址的 /48
請參閱:https ://www.rfc-editor.org/rfc/rfc6177 /128 永遠不應分配給伺服器/使用者,最小分配給另一個實體(伺服器/vps 客戶)應該是 /64。對站點的最低分配應該是 /56。給出 /128s 從根本上被破壞,應該被認為是配置錯誤。
因此,我建議根據 /64 臨時禁止,因為典型的最終使用者只能訪問 2^8 /64s,因此不應在禁止表中引入太多條目。