Waarom gebruiken mensen IP-adresverboden (bijv. om een kwaadwillende gebruiker van een internetdienst te blokkeren) wanneer IP-adressen vaak veranderen?
We zetten onze router bijvoorbeeld elke nacht uit, zodat ons IP-adres s ochtends vaak verandert. Bovendien is een simpele power-cycle vaak voldoende om het IP-adres te wijzigen. Daarom is het verbieden van IP-adressen relatief ineffectief.
Aan de andere kant kan het verbieden van IP-adressen veel verdriet veroorzaken bij onschuldige gebruikers die de voormalige IP-adressen van een kwaadwillende gebruiker gebruiken, en soms een reeks IP-adressen adressen worden verbannen, waardoor het verbieden van onschuldige gebruikers nog meer mensen treft.
Dus waarom worden IP-adresverboden nog steeds gebruikt?
PS Ik doel specifiek op langdurige verboden. Ik begrijp perfect de voordelen van kortetermijnverboden, b.v. om een spam- of DoS-aanval te blokkeren, of andere situaties waarin het kortstondig verstoren van kwaadaardig verkeer gunstig is.
Reacties
Answer
IP-adresverboden hebben gebreken, zoals je vermeldt, maar ik denk dat de belangrijkste reden dat ze worden gebruikt simpelweg is dat er niet echt beter is alternatieven. Andere identificerende functies, zoals browser user-agent, cookies, browservingerafdruk, enz. zijn nog gemakkelijker te vervalsen of te omzeilen. Er zijn tal van extensies die u kunt gebruiken om uw user-agent of vingerafdruk te wijzigen, en cookies kunnen eenvoudig worden gewist.
We zetten onze router bijvoorbeeld elke nacht uit, zodat ons IP-adres s ochtends vaak verandert. Bovendien is een simpele power-cycle vaak voldoende om te veranderen het IP-adres. Daarom zijn IP-adresverboden relatief ineffectief.
Het gemak waarmee u uw IP-adres kunt wijzigen, hangt sterk af van de ISP. toen ik Verizon DSL, veranderde mijn IP-adres elke keer dat ik de modem uit- en weer inschakelde, precies zoals u beschrijft. Maar na het overschakelen naar Comcast , is mijn IP-adres de hele twee jaar dat ik bij hen ben niet veranderd, zelfs niet na meerdere stroomuitval en opnieuw opstarten van de modem. de oplossing voor het omzeilen van de router werkt niet per se voor iedereen.
Een ander ding dat u moet overwegen, is dat zelfs als u een van die mensen bent die uw IP-adres kan wijzigen door opnieuw op te starten, u krijgt waarschijnlijk nog steeds een IP-adres van een vrij beperkte verzameling adressen. Dit komt doordat ISPs over het algemeen geen adressen volledig willekeurig toewijzen; ze verdelen hun servicegebied in kleinere gebieden (bijvoorbeeld buurten) en wijzen vervolgens een klein aantal adressen toe om toe te wijzen aan klanten in elk gebied. Dus als er een echt een hardnekkige en problematische gebruiker, zou een sitebeheerder het volledige adresbereik kunnen verbannen (hoewel dit aanzienlijke problemen kan veroorzaken voor andere gebruikers, zoals u vermeldt).
Kanttekening: het is vermeldenswaard dat er andere manieren zijn om uw IP-adres te maskeren die dit probleem omzeilen, zoals het gebruik van een VPN-service of Tor . Sommige sites, zoals Wikipedia, proberen alle IP-adressen van bekende openbare proxys te blokkeren om dit tegen te gaan.
Aan de andere kant kan het verbieden van IP-adressen veel verdriet veroorzaken bij onschuldige gebruikers die de voormalige IP-adressen van een kwaadwillende gebruiken gebruiker, en soms wordt een reeks IP-adressen verbannen, waardoor het verbieden van onschuldige gebruikers nog meer mensen treft.
Ja, IP-adresverboden zijn een botte tool en dit is een van de problemen die ermee gepaard gaan. Dit is vooral het geval wanneer een IP-adres wordt gedeeld door honderden of duizenden gebruikers in hetzelfde gebouw, of zelfs een groot deel van een heel land via een provider. cijfer NAT . Het is de verantwoordelijkheid van sitebeheerders om de gevolgen van IP-adresverboden voor legitieme gebruikers te minimaliseren. Er kunnen verschillende maatregelen worden genomen – u kunt bijvoorbeeld een poging doen om te identificeren dat IP-adressen worden gedeeld en ervoor zorgen dat die IP-adressen slechts voor korte perioden worden geblokkeerd, of ervoor zorgen dat gebruikers met een bepaalde minimale reputatie nog steeds kunnen inloggen op verboden IP-adressen en blijven hierdoor onaangetast. Als het goed wordt gedaan, kunnen IP-adresverboden zeer effectief zijn bij het blokkeren van ongewenste gebruikers, terwijl het minimale impact heeft op legitieme gebruikers.
Opmerkingen
- Minder belangrijk, maar nog steeds aanwezig: tijdelijke IP-bans zijn eigenlijk best effectief – als je de gebruiker maar een tijdje van de site wilt houden, herstart de ” de verbinding ” workaround betaalt niet ‘ zoveel uit. Vooral in de inbeldagen waarop dat zou kunnen betekenen dat u ‘ zou moeten betalen voor het opnieuw starten van de verbinding – mijn ISP rekende bijvoorbeeld per uur en had een ander tarief voor nachtoproepen, dus als je de hele dag de verbinding wilde, was het veel goedkoper om s nachts te beginnen en hem aan de gang te houden.
- Een groeiend probleem met het op de zwarte lijst zetten van een IP-adres is het gebruik van Carrier-Grade NAT vanwege naar het tekort aan IPv4-adressen. Als u een enkel IP-adres van een provider weigert die CGN gebruikt, worden duizenden of tienduizenden gebruikers geweigerd.
- Met verwijzing naar uw laatste alinea, is een voorbeeld dat als StackExchange IP-banning implementeerde, ze gebruikers zouden kunnen toestaan meer dan laten we zeggen, 100 reputatie, om in te loggen en de ban te vermijden. Dus die vervelende universiteitsstudenten die zojuist SE spamden en het hele universiteitsnetwerk hebben verbannen, zouden geen ‘ gebruikers zoals ik beïnvloeden die ten minste 101 reputatie hebben als een ‘ vertrouwde ‘ gebruiker.
- Voor alle duidelijkheid, ik haat (langdurige) IP-verboden omdat ze voor het grootste deel een groot ongemak vormen voor legitieme (goede) gebruikers. Maar hoe zou een ” selectieve ” (lange termijn) IP-ban (zoals voorgesteld) werken? Ik bedoel, om de gebruiker te identificeren om de reputatie van de gebruiker te bepalen, moet je hem toegang geven (terwijl hij niet is ingelogd) voor onbepaalde tijd (altijd / voor altijd) zodat hij kan inloggen.
- @KevinFegan Als je IPs verbiedt op firewall-niveau, dan zou het best moeilijk zijn. Maar ” ban ” betekent niet ‘ dit betekent dat toegang volledig wordt geblokkeerd – voor de meeste websites , forums, enz. die u kunt verbannen op applicatieniveau, zodat uitgesloten IPs geen nieuwe accounts of berichten kunnen maken, maar ze kunnen wel op de site bladeren of inloggen om hun reputatie te bewijzen.
Answer
Waarom gebruiken mensen IP-adresverboden als IP-adressen vaak veranderen?
Een praktisch voorbeeld dat een enorm investeringsrendement oplevert:
Omdat fail2ban
( Wikipedia / fail2ban ) is veel sneller en adaptief dan de DHCP ( Serverfout, correcte DHCP-lease ) verlengingslatentie van de ISP van een aanvaller of een domme robot.
Opmerkingen
- U bent klopt, maar soms is er geen DHCP voor de laatste kilometer. PPP heeft bijvoorbeeld zijn eigen (IPCP) protocol om een IP-adres op te geven. Dus in het geval van PPtP VPN via Ethernet of PPPoE (beide waren 10 jaar geleden vrij gebruikelijk in mijn land: VPN voor thuisnetwerken en PPPoE voor DSL / ATM) wordt DHCP niet gebruikt. Hetzelfde geldt voor PPP via modem (inbelverbinding), als iemand het zich nog herinnert.
Answer
IP-bans worden meestal gebruikt omdat er “s niet echt een andere betere manier is om een gebruiker , vooral als ze gewoon uw website gebruiken.
"IP addresses change often"
als ISP u dynamische IP geeft. Maar ban werkt goed (alleen) als het ‘ s statische IP-adres is. Mijn vorige provider gaf me bijvoorbeeld een statisch IP-adres en het bleef een aantal jaren hetzelfde. Maar ik ben het ermee eens dat IP-ban tegenwoordig niet ‘ werkt, omdat er maar weinig ISPs zijn met statische IPs. (Waarom? Omdat er meer apparaten met internetverbinding zijn dan IPv4 IPs en de enige praktische manier om ze IPs te geven, is door dynamische IPs te gebruiken … Wacht nog steeds op het volgende IP-alternatief, maar alstublieft, niet IPv6 …)