@andyN

IPv6 и бан по IP-адресу?

В связи с постепенным переходом на IPv6 возникают вопросы уникальности IP-адреса. Как известно, сейчас многое привязывается к IP-адресу (v4): возможность забанить нарушителя на форуме, например, довольно ограничена — нарушитель может находиться за NAT'ом, забанив одного, можно забанить всех остальных его «соседей». Поэтому эту меру используют в крайних случаях. А что будет в случае повсеместного распространения v6? Можно будет легко банить нарушителей, отражать DDoS-атаки и т.п.? Ведь (насколько я понял) сайту будет доступен реальный пользовательский IP, не затрагивающий остальных пользователей из той же сети. Или все-таки у них будет какая-то возможность обойти это ограничение? Более того, ведь если они могут сами назначать себе IP-адрес, забанить их будет практически нереально (не зная их подсеть)?
  • Вопрос задан
  • 6051 просмотр
Пригласить эксперта
Ответы на вопрос 4
merlin-vrn
@merlin-vrn
Больше скажу, существует IPv6 privacy extensions, которые включены во всех системах по умолчанию. Система назначает интерфейсу временные корректные случайные IPv6-адреса, которые используются для установления соединений в течение часа, потом адрес объявляется устаревшим и назначается следующий случайный. Т.е. любой пользователь IPv6 выглядит как постоянно меняющий адрес в пределах своей сети.

Так что если вам нужно кого-то таким образом забанить по адресу — вам придётся банить его по подсети, точно так же, как и сейчас в случае с IPv4 NAT, вся сеть окажется заблокирована из-за одного урода.
Ответ написан
Комментировать
malan
@malan
С введением IPv6 NAT'ы никуда не денутся, единственное, что может измениться, так это то, что провайдеры могут перестать выдавать динамические IP, т.к. имеющихся диапазонов хватит на всех
Ответ написан
ValdikSS
@ValdikSS
Я использую IPv6 уже года, наверное, три. Конечно, это все ненативные адреса, а либо через тунель-брокера, либо через 6to4.
В любом случае, RIPE очень сильно рекомендует выдавать /64 конечному клиенту. В реальном же мире, выдают либо одну /64, либо две /64 (чтобы маршрутизацию можно было просто настроить, на самом деле и одной /64 хватает, а в локалке маршрутизировать через link-local адреса), либо что побольше, /60 или /56. Узнать, какой именно диапазон выдается клиенту несколько проблематично, тут только логика и интуиция, ну и гуглинг по провайдеру. Поэтому банить нужно сразу всю /64.
Ответ написан
Комментировать
@joneleth
Рано вы думаете об этом, мне кажется. Как наступит время — будут и рецепты в блогах, и все, что нужно.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы