Proč lidé používají zákazy adres IP (např. k blokování škodlivého uživatele z internetové služby), když se adresy IP často mění?
Například náš router vypínáme každou noc, takže se naše IP adresa často ráno mění. Navíc ke změně IP adresy často stačí jednoduchý napájecí cyklus. Zákazy adres IP jsou tedy relativně neúčinné.
Na druhou stranu může zákaz adres IP způsobit mnoho zármutku pro nevinné uživatele, kteří používají dřívější adresy IP uživatele se zlými úmysly, a někdy i řadu adres IP. adresy jsou zakázány, což způsobí, že zákaz nevinných uživatelů ovlivní ještě více lidí.
Proč se tedy stále používají zákazy adres IP?
PS Mám na mysli konkrétně dlouhodobé zákazy. Dokonale chápu výhody krátkodobých zákazů, např. blokovat spam nebo DoS útok nebo jiné situace, kdy je krátkodobé narušení škodlivého provozu výhodné.
Komentáře
Odpověď
Zákazy IP adres mají nedostatky, jak zmiňujete, ale myslím, že hlavním důvodem, proč se používají, je prostě to, že ve skutečnosti nic lepšího není alternativy. Další identifikační funkce, jako je uživatelský agent prohlížeče, soubory cookie, otisk prstu prohlížeče atd., je ještě snazší zfalšovat nebo obejít. Existuje spousta rozšíření, pomocí kterých můžete změnit svého uživatelského agenta nebo otisk prstu, a soubory cookie lze jednoduše vymazat. / p>
Například náš router vypínáme každou noc, takže se naše IP adresa ráno často mění. Kromě toho ke změně často stačí jednoduchý cyklus napájení IP adresa. Zákazy IP adres jsou tedy relativně neúčinné.
Snadnost, s jakou můžete změnit svou IP adresu, závisí do značné míry na poskytovateli internetových služeb. zpět, když jsem měl Verizon DSL, moje IP adresa by se změnila pokaždé, když jsem modem vypnul a znovu zapnul, stejně jako to, co popisujete. Ale po přepnutí na Comcast se moje IP adresa nezměnila po celé dva roky, kdy jsem s nimi byl, a to ani po několika výpadcích napájení a restartu modemu. Takže řešení „restartování routeru“ nemusí nutně fungovat pro každého.
Další věc, kterou byste měli zvážit, je, že i když jste jedním z těch lidí, kteří mohou změnit vaši IP adresu pomocí restartu, jste pravděpodobně stále dostává IP adresu z poměrně omezeného počtu adres. Důvodem je to, že poskytovatelé internetových služeb obecně nepřidělují adresy zcela náhodně; rozdělují svou obsluhovanou oblast na menší oblasti (např. Sousedství) a poté přidělují malý rozsah adres, které mají být přiřazeny zákazníkům v každé oblasti. Takže pokud existovala opravdu trvalý a problematický uživatel, administrátor webu by mohl zablokovat celý rozsah adres (i když by to mohlo způsobit značné problémy ostatním uživatelům, jak jste zmínili).
Postranní poznámka: Je to stojí za zmínku, že tento problém lze obejít i jinými způsoby maskování vaší IP adresy, například pomocí služby VPN nebo Tor . Některé weby, například Wikipedia, se snaží zablokovat všechny IP adresy známých veřejných proxy serverů.
Na druhou stranu může zákaz IP adres způsobit nevolným uživatelům, kteří používají dřívější IP adresy škodlivého, mnoho smutku. uživatele a někdy je řada IP adres zakázána, což má za následek, že zákaz nevinných uživatelů ovlivní ještě více lidí.
Ano, zákazy IP adres jsou tupý nástroj a to je jeden z problémů s nimi spojených. To platí zejména v případě, že adresu IP sdílejí stovky nebo tisíce uživatelů ve stejné budově nebo dokonce velká část celé země prostřednictvím operátora- stupeň NAT . Je odpovědností správců stránek minimalizovat dopady zákazů IP adres na legitimní uživatele. Lze podniknout různá opatření – můžete se například snažit zjistit, zda jsou sdílené adresy IP a zajistit, aby tyto adresy IP byly zakázány pouze na krátkou dobu, nebo to udělat tak, aby se uživatelé s určitou minimální reputací mohli stále přihlašovat ze zakázaných IP adresy a zůstávají jimi nedotčeny. Pokud je to uděláno správně, mohou být zákazy IP adres velmi účinné při blokování nechtěných uživatelů při minimálním dopadu na ty legitimní.
Komentáře
- Méně důležité, ale stále existuje: dočasné zákazy IP jsou ve skutečnosti docela účinné – pokud chcete uživatele jen na chvíli udržet na webu, " restartujte připojení " se ' tolik nevyplácí. Obzvláště v dnech telefonického připojení, kdy by to mohlo znamenat, že musíte ' d zaplatit za opětovné připojení – můj ISP byl například účtován za hodinu a měl jinou sazbu za noční hovory, takže pokud jste chtěli připojení po celý den, bylo mnohem levnější začít v noci a udržovat jej v chodu.
- Rostoucím problémem s černým seznamem IP adres je použití Carrier-Grade NAT kvůli na nedostatek adresy IPv4. Odepření jedné adresy IP dopravci pomocí CGN odepře tisíce nebo desítky tisíc uživatelů.
- V odkazu na váš poslední odstavec je příkladem to, že pokud StackExchange implementoval IP zákaz, mohli by povolit uživatelům s větší než řekněme 100 reputace, přihlásit se a vyhnout se zákazu. Takže ti otravní studenti vysokých škol, kteří právě spamovali SE a dostali zakázán celou síť univerzit, by to ' neovlivnilo uživatele jako já, kteří mají alespoň 101 reputaci ' důvěryhodný ' uživatel.
- Aby bylo jasné, nenávidím (dlouhodobě) zákazy IP, protože z velké části představují zásadní nepříjemnost pro legitimní (dobří) uživatelé. Jak by ale fungoval " selektivní " (dlouhodobý) zákaz IP adres (jak je navrženo). Chci říct, abyste mohli identifikovat uživatele a určit jeho reputaci, musíte mu umožnit přístup (i když nejste přihlášeni) na dobu neurčitou (vždy / navždy), aby se mohl přihlásit.
- @KevinFegan Pokud zakazujete adresy IP na úrovni brány firewall, pak ano, bylo by to docela obtížné. Ale " ban " nemusí ' znamenat úplné zabránění přístupu – pro většinu webů , fóra atd., můžete zakázat na úrovni aplikace, aby zakázané adresy IP nemohly vytvářet nové účty nebo příspěvky, ale stále mohou procházet web nebo se přihlásit a prokázat tak reputaci.
Odpověď
Proč lidé používají zákazy adres IP, když se adresy IP často mění?
Praktický příklad, který představuje obrovskou návratnost investic:
Protože fail2ban
( Wikipedia / fail2ban ) je mnohem rychlejší a adaptivnější než DHCP ( Chyba serveru, oprava pronájmu DHCP ) obnovení latence ISP útočníka nebo hloupého robota.
Komentáře
- Jste správně, ale někdy na poslední míli není DHCP. Například PPP má svůj vlastní (IPCP) protokol poskytující IP adresu. V případě PPtP VPN přes Ethernet nebo PPPoE (oba byly v mé zemi před 10 lety docela běžné: VPN pro domácí sítě a PPPoE pro DSL / ATM) se DHCP nepoužívá. Totéž platí pro PPP přes modem (dial-up), pokud si to někdo stále pamatuje.
Odpovědět
Zákazy IP se většinou používají proto, že neexistuje žádný jiný lepší způsob, jak zakázat uživateli , zejména Pokud jednoduše používají váš web.
"IP addresses change often"
pokud vám ISP poskytuje dynamickou IP. Ale ban funguje dobře (pouze), pokud má ' statickou IP. Například můj předchozí poskytovatel mi dal statickou IP a zůstal stejný několik let. Souhlasím ale s tím, že IP-ban dnes ' t nefunguje, protože ISP se statickými IP je velmi málo. (Proč? Protože existuje více zařízení připojených k internetu než IPv4 IP a jediným praktickým způsobem, jak jim poskytnout IP, je použití dynamických IP … Stále čekám na další alternativu IP, ale prosím, ne IPv6 …)