使用 IPv4,每當我意識到有任何奇怪的請求傳入我的伺服器時,我都可以輕鬆阻止 IPv4 進一步請求(我可以在我的 iptablet 上或在我的.htaccess檔案中封鎖...) 。然而,對於 IPv6,事情就沒那麼容易了,因為更改 IP 位址非常簡單,甚至更糟的是,很容易輪換數千個 IPv6 位址,以便在短時間內發出數千個來自不同 IP 位址的請求。
對於 IPv4,這並不是一個大問題,因為擁有/輪換數千個 IPv4 位址將非常昂貴。如果您開始在帳戶上新增多個IP 位址,即使是像Linode 或Digital Ocean 這樣的公司也會向您提出很多問題(即使您為這些位址付費,他們也會向您提出很多問題,例如您是否正在使用這些地址來發送垃圾郵件、DDoS...)。
所以我的問題是:在IPv6 位址中,是否有一些「部分」或「子字串」(大部分是固定的)我可以可靠地列入黑名單,因為其他「部分」(發生變化)可能來自同一個人或同一個人同一網路?以此地址為例:
2001:0db8:85a3:0000:0000:1111:2222:3333
從上面的地址我可以看出,如果我阻止所有包含“2001:0db8:85a3:0000:0000:1111”的 IP,它可能來自同一個人/電腦嗎?
謝謝你!
答案1
您永遠無法 100% 確定,因為不同的 ISP 和託管提供者的做法不同(有時甚至非常錯誤)。但通常雲端供應商會將 /64 分配給虛擬網絡,而該虛擬網路中的每個虛擬機都將以各種不同的方式從該 /64 中取得 IP 位址。租賃裸機(「專用」)伺服器的供應商通常會為每台實體機分配 /64。
對於家庭連接來說,它會變得有點複雜,但通常,除非訂戶進行了配置更改(很少有人這樣做,因為大多數情況下,IT 專業人員想要在家中使用超過/64 的網路),否則他們也會有 / 64 為他們的整個住所。
因此,如上所述,阻止 /64 可能會消除大多數知道如何輪換 IPv6 位址的惡意行為者。
你可能會發現RFC 6177有趣的閱讀。主要作為一個基準,看看不同的提供者是如何做錯的。