Ipv6

如何更好地理解 IPv6 來阻止請求

  • August 14, 2021

使用 IPv4,每當我意識到任何奇怪的請求來到我的伺服器時,我都可以輕鬆地阻止 IPv4 進一步請求(我可以在我的 iptablet 或我的.htaccess文件中阻止……)。然而,對於 IPv6,這並不容易,因為更改 IP 地址非常簡單,或者更糟糕的是,輪換數千個 IPv6 地址以在短時間內發出數千個請求,這些請求都來自不同的 IP 地址。

對於 IPv4,這不是一個大問題,因為擁有/輪換數千個 IPv4 地址會非常昂貴。如果您開始在您的帳戶中添加多個 IP 地址,即使像 Linode 或 Digital Ocean 這樣的公司也會向您提出很多問題(即使您為這些地址付費,他們也會向您提出很多問題,例如您是否使用這些地址向 DDoS 發送垃圾郵件…)。

所以我的問題是:在 IPv6 地址中,是否有一些“部分”或“子字元串”(大部分是固定的)我可以可靠地列入黑名單,因為另一個“部分”(發生變化)可能來自同一個人或同一個網路?以這個地址為例:

2001:0db8:85a3:0000:0000:1111:2222:3333

我可以從上面的地址看出,如果我阻止所有包含“2001:0db8:85a3:0000:0000:1111”的 IP,它可能來自同一個人/電腦嗎?

謝謝!

您永遠無法 100% 確定,因為各種 ISP 和託管服務提供商的做法不同(有時甚至非常非常錯誤)。但作為一項規則,雲提供商會將 /64 分配給虛擬網路,並且該虛擬網路中的每個 VM 都會以各種不同的方式從該 /64 中獲取 IP 地址。租賃裸機(“專用”)伺服器的提供商通常會為每台物理機分配 /64。

家庭連接變得有點複雜,但作為一項規則,除非訂戶進行了配置更改(很少有人這樣做,因為在大多數情況下,IT 專業人員在家裡想要超過 /64),他們也會有 / 64 為他們的整個住所。

因此,如上所述,阻止 /64 可能會擺脫大多數知道如何輪換 IPv6 地址的惡意行為者。

您可能會發現RFC 6177很有趣。主要作為基線,看看各個供應商是如何做錯的。

引用自:https://serverfault.com/questions/1074581