С IPv4, когда я замечаю какие-либо странные запросы, поступающие на мой сервер, я могу легко заблокировать IPv4 от дальнейших запросов (я могу заблокировать на моих iptablets или в моем .htaccessфайле...). Однако с IPv6 это не так просто, потому что довольно просто изменить IP-адрес, или, что еще хуже, довольно легко поменять тысячи адресов IPv6, чтобы сделать тысячи запросов за короткое время, приходящих с разных IP-адресов.
С IPv4 это не было такой большой проблемой, потому что было бы очень дорого владеть/ротировать тысячи адресов IPv4. Даже такие компании, как Linode или Digital Ocean, зададут вам много вопросов, если вы начнете добавлять больше нескольких IP-адресов в свой аккаунт (даже если вы заплатите за эти адреса, они зададут вам много вопросов, например, не используете ли вы эти адреса для рассылки спама, для DDoS...).
Итак, мой вопрос таков: есть ли в IPv6-адресе какая-то "часть" или "подстрока" (которая в основном фиксирована), которую я могу надежно занести в черный список, поскольку другая "часть" (которая меняется), вероятно, принадлежит тому же человеку или той же сети? Возьмем, к примеру, этот адрес:
2001:0db8:85a3:0000:0000:1111:2222:3333
Могу ли я, исходя из адреса выше, сказать, что если я заблокирую все IP-адреса, содержащие «2001:0db8:85a3:0000:0000:1111», то, скорее всего, они будут исходить от одного и того же человека/компьютера?
Спасибо!
решение1
Вы никогда не можете быть уверены на 100%, потому что разные интернет-провайдеры и хостинг-провайдеры делают все по-разному (а иногда и очень-очень неправильно). Но, как правило, облачный провайдер назначает /64 виртуальной сети, и каждая виртуальная машина в этой виртуальной сети получает IP-адреса из этого /64 различными способами. Провайдеры, сдающие в аренду серверы bare metal («выделенные»), обычно назначают /64 каждой физической машине.
Для домашних подключений все немного сложнее, но, как правило, если только абонент не внес изменения в конфигурацию (мало кто это делает, поскольку в основном это ИТ-специалисты, которым дома нужно больше, чем /64), у него также будет /64 для всего дома.
Итак, как следует из вышесказанного, блокировка /64, скорее всего, избавит от большинства злоумышленников, которые знают, как менять свой адрес IPv6.
Вы можете найтиRFC6177Интересное чтение. В основном как отправная точка, чтобы увидеть, как разные поставщики делают это неправильно.