Proč lidé používají zákazy adres IP, když se adresy IP často mění?

Zákazy IP adres mají nedostatky, jak zmiňujete, ale myslím, že hlavním důvodem, proč se používají, je prostě to, že ve skutečnosti nic lepšího není alternativy. Další identifikační funkce, jako je uživatelský agent prohlížeče, soubory cookie, otisk prstu prohlížeče atd., je ještě snazší zfalšovat nebo obejít. Existuje spousta rozšíření, pomocí kterých můžete změnit svého uživatelského agenta nebo otisk prstu, a soubory cookie lze jednoduše vymazat. / p>

Například náš router vypínáme každou noc, takže se naše IP adresa ráno často mění. Kromě toho ke změně často stačí jednoduchý cyklus napájení IP adresa. Zákazy IP adres jsou tedy relativně neúčinné.

Snadnost, s jakou můžete změnit svou IP adresu, závisí do značné míry na poskytovateli internetových služeb. zpět, když jsem měl Verizon DSL, moje IP adresa by se změnila pokaždé, když jsem modem vypnul a znovu zapnul, stejně jako to, co popisujete. Ale po přepnutí na Comcast se moje IP adresa nezměnila po celé dva roky, kdy jsem s nimi byl, a to ani po několika výpadcích napájení a restartu modemu. Takže řešení „restartování routeru“ nemusí nutně fungovat pro každého.

Další věc, kterou byste měli zvážit, je, že i když jste jedním z těch lidí, kteří mohou změnit vaši IP adresu pomocí restartu, jste pravděpodobně stále dostává IP adresu z poměrně omezeného počtu adres. Důvodem je to, že poskytovatelé internetových služeb obecně nepřidělují adresy zcela náhodně; rozdělují svou obsluhovanou oblast na menší oblasti (např. Sousedství) a poté přidělují malý rozsah adres, které mají být přiřazeny zákazníkům v každé oblasti. Takže pokud existovala opravdu trvalý a problematický uživatel, administrátor webu by mohl zablokovat celý rozsah adres (i když by to mohlo způsobit značné problémy ostatním uživatelům, jak jste zmínili).

Postranní poznámka: Je to stojí za zmínku, že tento problém lze obejít i jinými způsoby maskování vaší IP adresy, například pomocí služby VPN nebo Tor . Některé weby, například Wikipedia, se snaží zablokovat všechny IP adresy známých veřejných proxy serverů.

Na druhou stranu může zákaz IP adres způsobit nevolným uživatelům, kteří používají dřívější IP adresy škodlivého, mnoho smutku. uživatele a někdy je řada IP adres zakázána, což má za následek, že zákaz nevinných uživatelů ovlivní ještě více lidí.

Ano, zákazy IP adres jsou tupý nástroj a to je jeden z problémů s nimi spojených. To platí zejména v případě, že adresu IP sdílejí stovky nebo tisíce uživatelů ve stejné budově nebo dokonce velká část celé země prostřednictvím operátora- stupeň NAT . Je odpovědností správců stránek minimalizovat dopady zákazů IP adres na legitimní uživatele. Lze podniknout různá opatření – můžete se například snažit zjistit, zda jsou sdílené adresy IP a zajistit, aby tyto adresy IP byly zakázány pouze na krátkou dobu, nebo to udělat tak, aby se uživatelé s určitou minimální reputací mohli stále přihlašovat ze zakázaných IP adresy a zůstávají jimi nedotčeny. Pokud je to uděláno správně, mohou být zákazy IP adres velmi účinné při blokování nechtěných uživatelů při minimálním dopadu na ty legitimní.

Komentáře

• Méně důležité, ale stále existuje: dočasné zákazy IP jsou ve skutečnosti docela účinné – pokud chcete uživatele jen na chvíli udržet na webu, " restartujte připojení " se ' tolik nevyplácí. Obzvláště v dnech telefonického připojení, kdy by to mohlo znamenat, že musíte ' d zaplatit za opětovné připojení – můj ISP byl například účtován za hodinu a měl jinou sazbu za noční hovory, takže pokud jste chtěli připojení po celý den, bylo mnohem levnější začít v noci a udržovat jej v chodu.
• Rostoucím problémem s černým seznamem IP adres je použití Carrier-Grade NAT kvůli na nedostatek adresy IPv4. Odepření jedné adresy IP dopravci pomocí CGN odepře tisíce nebo desítky tisíc uživatelů.
• V odkazu na váš poslední odstavec je příkladem to, že pokud StackExchange implementoval IP zákaz, mohli by povolit uživatelům s větší než řekněme 100 reputace, přihlásit se a vyhnout se zákazu. Takže ti otravní studenti vysokých škol, kteří právě spamovali SE a dostali zakázán celou síť univerzit, by to ' neovlivnilo uživatele jako já, kteří mají alespoň 101 reputaci ' důvěryhodný ' uživatel.
• Aby bylo jasné, nenávidím (dlouhodobě) zákazy IP, protože z velké části představují zásadní nepříjemnost pro legitimní (dobří) uživatelé. Jak by ale fungoval " selektivní " (dlouhodobý) zákaz IP adres (jak je navrženo). Chci říct, abyste mohli identifikovat uživatele a určit jeho reputaci, musíte mu umožnit přístup (i když nejste přihlášeni) na dobu neurčitou (vždy / navždy), aby se mohl přihlásit.
• @KevinFegan Pokud zakazujete adresy IP na úrovni brány firewall, pak ano, bylo by to docela obtížné. Ale " ban " nemusí ' znamenat úplné zabránění přístupu – pro většinu webů , fóra atd., můžete zakázat na úrovni aplikace, aby zakázané adresy IP nemohly vytvářet nové účty nebo příspěvky, ale stále mohou procházet web nebo se přihlásit a prokázat tak reputaci.

Proč lidé používají zákazy adres IP, když se adresy IP často mění?

Praktický příklad, který představuje obrovskou návratnost investic:

Protože fail2ban ( Wikipedia / fail2ban ) je mnohem rychlejší a adaptivnější než DHCP ( Chyba serveru, oprava pronájmu DHCP ) obnovení latence ISP útočníka nebo hloupého robota.

Komentáře

• Jste správně, ale někdy na poslední míli není DHCP. Například PPP má svůj vlastní (IPCP) protokol poskytující IP adresu. V případě PPtP VPN přes Ethernet nebo PPPoE (oba byly v mé zemi před 10 lety docela běžné: VPN pro domácí sítě a PPPoE pro DSL / ATM) se DHCP nepoužívá. Totéž platí pro PPP přes modem (dial-up), pokud si to někdo stále pamatuje.

Zákazy IP se většinou používají proto, že neexistuje žádný jiný lepší způsob, jak zakázat uživateli , zejména Pokud jednoduše používají váš web.