Pourquoi les gens utilisent-ils des interdictions dadresses IP (par exemple pour bloquer un utilisateur malveillant dun service Internet) alors que les adresses IP changent souvent?
Par exemple, nous éteignons notre routeur tous les soirs afin que notre adresse IP change souvent le matin. De plus, un simple cycle dalimentation suffit souvent pour changer ladresse IP. Ainsi, les interdictions dadresses IP sont relativement inefficaces.
Dun autre côté, linterdiction dadresses IP peut causer beaucoup de chagrin pour les utilisateurs innocents qui utilisent les anciennes adresses IP dun utilisateur malveillant, et parfois une plage dadresses IP Les adresses sont interdites, ce qui entraîne le bannissement dutilisateurs innocents pour encore plus de personnes.
Alors, pourquoi les interdictions dadresses IP sont-elles encore utilisées?
PS Je parle spécifiquement des interdictions à long terme. Je comprends parfaitement les avantages des interdictions à court terme, par ex. pour bloquer un spam ou une attaque DoS, ou dautres situations où il est avantageux de perturber brièvement le trafic malveillant.
Commentaires
Réponse
Les interdictions dadresses IP ont des défauts comme vous le mentionnez, mais je pense que la principale raison pour laquelle elles sont utilisées est simplement quil ny a pas vraiment mieux Dautres fonctionnalités didentification, comme lagent utilisateur du navigateur, les cookies, lempreinte digitale du navigateur, etc. sont encore plus faciles à usurper ou à contourner. Il existe de nombreuses extensions que vous pouvez utiliser pour modifier votre agent utilisateur ou votre empreinte digitale, et les cookies peuvent simplement être effacés.
Par exemple, nous éteignons notre routeur tous les soirs pour que notre adresse IP change souvent le matin. De plus, un simple cycle dalimentation suffit souvent pour changer ladresse IP. Par conséquent, les interdictions dadresses IP sont relativement inefficaces.
La facilité avec laquelle vous pouvez modifier votre adresse IP dépend fortement du FAI. Par exemple, à lépoque où javais Verizon DSL, mon adresse IP changerait chaque fois que jéteignais et rallumais le modem, comme vous le décrivez. Mais après être passé à Comcast , mon adresse IP na pas changé pendant les deux années que jai passées avec eux, même après plusieurs coupures de courant et redémarrages du modem. Donc la solution de contournement « redémarrage du routeur » ne fonctionnera pas nécessairement pour tout le monde.
Une autre chose à considérer est que même si vous « faites partie de ces personnes qui peuvent changer votre adresse IP avec un redémarrage, vous » re probablement toujours obtenir une adresse IP à partir dun pool dadresses assez limité. En effet, les FAI nattribuent généralement pas les adresses de manière complètement aléatoire; ils divisent leur zone de service en zones plus petites (par exemple, les quartiers), puis allouent une petite plage dadresses à attribuer aux clients dans chaque zone. Donc, sil y avait un vraiment utilisateur persistant et problématique, un administrateur de site pourrait interdire toute la plage dadresses (bien que cela puisse causer des problèmes importants pour les autres utilisateurs comme vous le mentionnez).
Note latérale: Cest Il convient de mentionner quil existe dautres moyens de masquer votre adresse IP pour contourner ce problème, comme lutilisation dun service VPN ou de Tor . Certains sites, comme Wikipedia, essaient de bloquer toutes les adresses IP des proxys publics connus pour contrer cela.
Dautre part, linterdiction des adresses IP peut causer beaucoup de chagrin pour les utilisateurs innocents qui utilisent les anciennes adresses IP dun malveillant utilisateur, et parfois une plage dadresses IP est interdite, ce qui entraîne le bannissement dutilisateurs innocents pour encore plus de personnes.
Oui, les interdictions dadresses IP sont un outil contondant et cest lun des problèmes inhérents à eux. Cest particulièrement le cas lorsquune adresse IP est partagée par des centaines ou des milliers dutilisateurs dans le même bâtiment, ou même une grande partie dune nation entière via un opérateur. grade NAT . Il est de la responsabilité des administrateurs du site de minimiser les effets des interdictions dadresses IP sur les utilisateurs légitimes. Diverses mesures peuvent être prises – par exemple, vous pouvez faire un effort pour identifier les adresses IP partagées et vous assurer que ces adresses IP ne sont interdites que pendant de courtes périodes, ou faire en sorte que les utilisateurs ayant une certaine réputation minimale puissent toujours se connecter à partir de banni. Les adresses IP et ne sont pas affectées par elles. Si elles sont bien faites, les interdictions dadresses IP peuvent être très efficaces pour bloquer les utilisateurs indésirables tout en ayant un impact minimal sur les utilisateurs légitimes.
Commentaires
- Moins important, mais toujours là: les interdictions IP temporaires sont en fait assez efficaces – si vous ne voulez garder lutilisateur du site que pendant un certain temps, » redémarre la connexion » La solution de contournement ‘ ne rapporte pas beaucoup. Surtout les jours daccès commuté où cela pourrait signifier que vous ‘ devez payer pour redémarrer la connexion – mon FAI facturé à lheure, par exemple, et avait un tarif différent pour les appels de nuit, donc si vous vouliez la connexion toute la journée, il était beaucoup moins cher de démarrer la nuit et de la faire fonctionner.
- Un problème croissant avec la liste noire dune adresse IP est lutilisation du NAT de qualité opérateur en raison à la pénurie dadresses IPv4. Refuser une seule adresse IP à un opérateur utilisant CGN refusera des milliers ou des dizaines de milliers dutilisateurs.
- En référence à votre dernier paragraphe, un exemple est que si StackExchange implémentait linterdiction dIP, il pourrait autoriser les utilisateurs avec plus de 100 points de réputation pour vous connecter et éviter linterdiction. Par conséquent, les étudiants universitaires qui viennent de spammer SE et qui ont interdit l’ensemble du réseau universitaire n’affecteraient pas ‘ des utilisateurs comme moi qui ont au moins 101 réputation de ‘ utilisateur de confiance ‘.
- Pour être clair, je déteste les interdictions dadresses IP (à long terme) car, pour la plupart, elles constituent un inconvénient majeur à légitimer (bons) utilisateurs. Mais comment fonctionnerait une » sélective » (à long terme) une interdiction IP (comme suggéré). Je veux dire, pour identifier lutilisateur afin de déterminer la réputation des utilisateurs, vous devez leur permettre daccéder (sans être connecté) pendant une période indéfinie (toujours / pour toujours) afin quils puissent se connecter.
- @KevinFegan Si vous bannissez les adresses IP au niveau du pare-feu, alors oui, ce serait assez difficile. Mais » interdire » ne ‘ t doit signifier empêcher complètement laccès – pour la plupart des sites Web , forums, etc., vous pouvez interdire au niveau de lapplication, de sorte que les adresses IP interdites ne puissent pas créer de nouveaux comptes ou messages, mais quelles puissent toujours naviguer sur le site ou se connecter pour prouver leur réputation.
Réponse
Pourquoi les gens utilisent-ils des interdictions dadresses IP alors que les adresses IP changent souvent?
Un exemple pratique qui est un énorme retour sur investissement:
Parce que fail2ban
( Wikipedia / fail2ban ) est beaucoup plus rapide et adaptatif que le DHCP ( Défaut serveur, bail DHCP correct ) latence de renouvellement du FAI dun attaquant ou dun robot stupide.
Commentaires
- Vous êtes à droite, mais parfois il ny a pas de DHCP pour le dernier kilomètre. Par exemple, PPP a son propre protocole (IPCP) pour fournir une adresse IP. Ainsi, dans le cas du VPN PPtP sur Ethernet ou PPPoE (les deux étaient assez courants dans mon pays il y a 10 ans: VPN pour les réseaux domestiques et PPPoE pour DSL / ATM), le DHCP nest pas utilisé. Il en va de même pour PPP via modem (accès commuté), si quelquun sen souvient encore.
Réponse
Les interdictions dadresses IP sont principalement utilisées car il « s pas vraiment dautre meilleure façon dinterdire un utilisateur , surtout sils utilisent simplement votre site Web.
"IP addresses change often"
si le FAI vous donne une adresse IP dynamique. Mais linterdiction fonctionne bien (uniquement) si lIP statique de ‘. Par exemple, mon ancien fournisseur ma donné une adresse IP statique et elle est restée la même pendant plusieurs années. Mais je suis daccord que linterdiction IP ne fonctionne ‘ de nos jours car il y a très peu de FAI avec des adresses IP statiques. (Pourquoi? Parce quil y a plus dappareils connectés à Internet que dIPs IPv4 et que le seul moyen pratique de leur donner des IP est dutiliser des IP dynamiques … Toujours en attente de la prochaine alternative IP, mais sil vous plaît, pas IPv6 …)