Ipv6
如何辨識使用者的所有 IPv6 地址
我開始感到瘋狂,因為我用Google搜尋了這 20 種不同的方法,但沒有任何結果。
我有一個網站偶爾需要通過 IP 地址阻止使用者以防止濫用。使用 IPv4 效果很好,因為使用者與 ISP 的整個連接都被阻止了。(請注意,我還以不同的方式處理 VPN 連接,以防止它們簡單地跳到 VPN 上。)
然而,IPv6 對此帶來了真正的影響,因為每個使用者並不是一次簡單地從他們的 ISP 分配一個 IP。我已經看到似乎相似的 IPv6 地址濫用模式,但我確定如何明確判斷它們是否來自同一使用者。
我知道每個 ISP 做的事情可能略有不同,但是有沒有一種方法可以在實踐中辨識出足夠好的使用者?
最安全的解決方案是自動擴展。例如:
- 首先阻止單個地址
- 如果您在 /64 中看到超過 X 個地址的違規行為,則會阻止整個 /64
- 如果您在 /56 中看到來自超過 Y 個地址的違規行為,則會阻止整個 /56
- 如果您在 /48 中看到來自超過 Z 個地址的違規行為,則會阻止整個 /48
缺點是您需要多次違規才能完全阻止它們。好處是您可以最準確地阻止。您還增加了在內部繞過您的塊的難度。
還要記住,地址並不總是屬於同一個使用者。在家裡,我的 IPv4 地址在多個使用者 (DS-Lite) 之間共享,並且每天都在變化。IPv6 前綴也可以隨時間變化,然後可以將舊地址分配給不同的使用者。所以不要太看重 IP 地址作為標識符的長期可用性。