Ipv6
一旦 IPv6 成為標準,基於 IP 的規則(例如,禁止/過濾器)將如何受到影響?
鑑於Stack Exchange 網站禁止 IP,我想知道是否存在關於基於使用者 IP 制定規則以規定行為的共同意見或策略。
使用 IPv4,您可以相當可靠地假設給定 IP 的一些事情:
- 共享子網的 IP 很可能是同一使用者
- 雖然 IP 可以用於各種實際端點,但您不太可能看到來自不同 IP 的重複連接,這些連接不是同一個使用者,或者至少是同一個家庭/組織(基本上是共享連接)
- 使用者獲得新的公共 IP 並非易事(這裡有一個中等的進入門檻)
使用 IPv6,您能承擔所有這些嗎?我想至少第二點將不再正確,因為 NAT’ing 應該基本上與 IPv6 一起消失,因為對於任何想要一個的人來說,都會有足夠的 IP。
如果您有一套基於 IP 的策略,由於兩者之間的差異,需要對 IPv6 進行哪些考慮?
對於 IPv6,我認為沒有完美的解決方案。但是有很多事情需要考慮:
- ISP 可能會
/64
向個別客戶提供子網。(到處走走就夠了。)/64
工作場所可能每個辦公室至少有一個。- 提供嚴格點對點連結的 ISP可以選擇使用 和 之間的
/64
前綴/126
。(看看他們為什麼一般不使用 /127)這可能是一個短視的 ISP,或者是一個想要為完整的/64
. 確實沒有理由每個端點(可能是完整的客戶網路)不應該是/64
.- 假設大多數 IPv6 最終使用者子網將位於 a 上
/64
,則可以查看介面標識符中的第 6 位(請參閱RFC 4941的第 3.2.1 節),以檢查它是否可能基於全域唯一標識符(MAC 地址)生成。這顯然不是萬無一失的。但是,如果設置了該位,則可能表明該地址是從 MAC 地址生成的。因此,可以根據最後 64 位阻止 IPv6 地址,並且無論使用者來自哪個子網,都可能被阻止。(也許最好將其用作“提示”,因為 MAC 地址雖然應該是全球唯一的,但實際上並不總是如此。此外,它們很容易被欺騙。但任何精明到能夠解決問題的人可能會發現更容易無論如何,抓住 a並獲得 2^64 個唯一地址。)/64
- 如果正在使用隱私地址……除了在短時間內阻止該地址外,沒什麼可做的。無論如何,它可能很快就會改變。此時考慮網路部分
/64
,但要小心,因為您可能會阻止某人的整個公司辦公室。我想說最好的方法是首先查看單個地址,然後考慮地址的最後 64 位以及來自特定
/64
子網的濫用模式,以實施阻塞策略。總結一下:
- 從阻止單個
/128
IP 地址開始(就像您今天使用 IPv4 所做的那樣)- 如果您在地址的最後 64 位中發現來自非隱私地址的濫用模式,請將其用作阻止算法中的強指標。有人可能在 ISP 或子網之間跳來跳去。(同樣,請注意這一點,因為 MAC 不一定是唯一的 - 有人可能會欺騙以利用您的算法)此外,這僅適用於不知道 IPv6 工作原理的濫用者。;-)
- 如果您注意到某個特定的濫用模式,請用一條好的錯誤消息
/64
阻止整個行為/64
,以便違規網路的管理員可以完成他/她需要完成的任何工作。祝你好運。