Dlaczego ludzie używają zakazów adresów IP (np. aby zablokować złośliwemu użytkownikowi dostęp do usługi internetowej), skoro adresy IP często się zmieniają?
Na przykład każdego wieczoru wyłączamy router, więc nasz adres IP często zmienia się rano. Ponadto często do zmiany adresu IP wystarczy prosty cykl zasilania. W związku z tym zakazy adresów IP są stosunkowo nieskuteczne.
Z drugiej strony blokowanie adresów IP może przysporzyć wielu przykrości niewinnym użytkownikom, którzy używają poprzednich adresów IP złośliwego użytkownika, a czasami zakresu adresów IP adresy są zbanowane, co powoduje, że banowanie niewinnych użytkowników wpływa na jeszcze więcej osób.
Dlaczego więc nadal stosowane są zakazy adresów IP?
PS Mam na myśli zwłaszcza długoterminowe zakazy. Doskonale rozumiem zalety krótkoterminowych zakazów np. aby zablokować spam lub atak DoS lub inne sytuacje, w których krótkotrwałe przerwanie złośliwego ruchu jest korzystne.
Komentarze
Odpowiedź
Zakazy adresów IP mają wady, jak wspomniałeś, ale myślę, że głównym powodem ich użycia jest po prostu to, że tak naprawdę nie ma nic lepszego Alternatywy. Inne funkcje identyfikujące, takie jak agent użytkownika przeglądarki, pliki cookie, odcisk palca przeglądarki itp., są jeszcze łatwiejsze do sfałszowania lub obejścia. Istnieje wiele rozszerzeń, których można użyć do zmiany klienta użytkownika lub odcisku palca, a pliki cookie można po prostu wyczyścić.
Na przykład każdego wieczoru wyłączamy router, więc nasz adres IP często zmienia się rano. Ponadto często wystarczy prosty cykl zasilania, aby zmienić adres IP. Dlatego zakazy dotyczące adresów IP są stosunkowo nieskuteczne.
Łatwość, z jaką możesz zmienić adres IP, zależy w dużej mierze od usługodawcy internetowego. Na przykład, kiedy miałem Verizon DSL, mój adres IP zmieniał się za każdym razem, gdy wyłączałem i włączałem modem, tak jak to opisujesz. Ale po przejściu na Comcast mój adres IP nie zmienił się przez całe dwa lata, kiedy z nimi byłem, nawet po wielu przerwach w dostawie prądu i ponownym uruchomieniu modemu. obejście „restart routera” niekoniecznie będzie działać dla wszystkich.
Inną rzeczą, którą powinieneś wziąć pod uwagę, jest to, że nawet jeśli jesteś jedną z osób, które mogą zmienić Twój adres IP przy ponownym uruchomieniu, prawdopodobnie nadal uzyskuje adres IP z dość ograniczonej puli adresów. Dzieje się tak, ponieważ dostawcy usług internetowych na ogół nie przydzielają adresów całkowicie losowo; dzielą swój obszar usług na mniejsze obszary (np. Dzielnice), a następnie przydzielają niewielki zakres adresów do przypisania klientom w każdym obszarze. Jeśli więc istniałby naprawdę uporczywy i problematyczny użytkownik, administrator witryny mógłby zablokować cały zakres adresów (chociaż może to spowodować poważne problemy dla innych użytkowników, o czym wspomniałeś).
Uwaga dodatkowa: warto wspomnieć, że istnieją inne sposoby maskowania adresu IP, które pozwalają obejść ten problem, na przykład użycie usługi VPN lub Tor . Niektóre witryny, takie jak Wikipedia, próbują blokować wszystkie adresy IP znanych publicznych serwerów proxy, aby temu przeciwdziałać.
Z drugiej strony blokowanie adresów IP może spowodować wiele przykrości dla niewinnych użytkowników, którzy używają poprzednich adresów IP złośliwego użytkownika, a czasami zakres adresów IP jest blokowany, co powoduje, że blokowanie niewinnych użytkowników dotyczy jeszcze większej liczby osób.
Tak, zakazy adresów IP są tępym narzędziem i jest to jeden z problemów z nimi związanych. Dzieje się tak zwłaszcza wtedy, gdy adres IP jest współdzielony przez setki lub tysiące użytkowników w tym samym budynku lub nawet przez dużą część całego kraju za pośrednictwem operatora. klasa NAT . Obowiązkiem administratorów witryny jest zminimalizowanie wpływu zakazów adresów IP na legalnych użytkowników. Można podjąć różne środki – na przykład możesz spróbować zidentyfikować adresy IP, które są udostępniane i upewnić się, że te adresy IP są zbanowane tylko na krótkie okresy, lub sprawić, by użytkownicy o określonej minimalnej reputacji mogli nadal logować się z konta zbanowanego Adresy IP i pozostają przez nie nienaruszone. Jeśli zostanie to zrobione prawidłowo, zakazy adresów IP mogą bardzo skutecznie blokować niechcianych użytkowników, a jednocześnie mieć minimalny wpływ na legalnych.
Komentarze
- Mniej ważne, ale nadal tam jest: tymczasowe bany IP są w rzeczywistości dość skuteczne – jeśli chcesz tylko zatrzymać użytkownika na stronie przez jakiś czas, ” zrestartuj połączenie ” obejście nie ' nie opłaca się aż tak bardzo. Zwłaszcza w dniach dial-up, kiedy może to oznaczać, że ' będziesz musiał płacić za ponowne nawiązanie połączenia – na przykład mój dostawca usług internetowych naliczał godzinę i miał inną stawkę za połączenia nocne, więc jeśli chcesz mieć połączenie przez cały dzień, znacznie tańsze było rozpoczęcie w nocy i utrzymanie go w ruchu.
- Narastającym problemem związanym z umieszczaniem adresu IP na czarnej liście jest użycie NAT klasy Carrier na niedobór adresu IPv4. Odmowa pojedynczego adresu IP od operatora używającego CGN odmówi tysiącom lub dziesiątkom tysięcy użytkowników.
- W odniesieniu do ostatniego akapitu, przykładem jest to, że jeśli StackExchange wdrożył blokowanie adresów IP, mogliby zezwolić użytkownikom z więcej niż powiedzmy, 100 reputacji, aby zalogować się i uniknąć zakazu. Zatem ci nieznośni studenci, którzy właśnie spamowali SE i zostali zablokowani w całej sieci uniwersyteckiej, nie ' nie wpłyną na użytkowników takich jak ja, którzy mają co najmniej 101 reputacji jako ' zaufany ' użytkownik.
- Żeby było jasne, nienawidzę (długoterminowych) zakazów adresów IP, ponieważ w większości przypadków stanowią one poważną niedogodność (dobrzy) użytkownicy. Ale jak działałaby ” selektywna ” (długoterminowa) blokada adresów IP (zgodnie z sugestią). Chodzi mi o to, że aby zidentyfikować użytkownika i określić jego reputację, musisz zezwolić mu na dostęp (gdy nie jest on zalogowany) na czas nieokreślony (zawsze / na zawsze), aby mogli się zalogować.
- @KevinFegan Jeśli blokujesz adresy IP na poziomie zapory, to tak, byłoby to dość trudne. Ale ” ban ” nie ' nie musi oznaczać całkowitego blokowania dostępu – w przypadku większości witryn , fora, itp. możesz zablokować na poziomie aplikacji, aby zablokowane adresy IP nie mogły tworzyć nowych kont ani postów, ale nadal mogły przeglądać witrynę lub logować się w celu udowodnienia swojej reputacji.
Odpowiedz
Dlaczego ludzie używają zakazów adresów IP, kiedy adresy IP często się zmieniają?
Praktyczny przykład, który daje ogromny zwrot z inwestycji:
Ponieważ fail2ban ( Wikipedia / fail2ban ) jest znacznie szybsza i bardziej adaptacyjna niż DHCP ( Błąd serwera, poprawna dzierżawa DHCP ) opóźnienie odnowienia usługodawcy internetowego atakującego lub głupiego robota.
Komentarze
- Jesteś racja, ale czasami na ostatniej mili nie ma DHCP. Na przykład PPP ma własny protokół (IPCP) zapewniający adres IP. Tak więc w przypadku PPtP VPN przez Ethernet lub PPPoE (oba były dość powszechne w moim kraju 10 lat temu: VPN dla sieci domowych i PPPoE dla DSL / ATM) DHCP nie jest używany. To samo dotyczy PPP przez modem (połączenie telefoniczne), jeśli ktoś nadal je pamięta.
Odpowiedź
Zakazy IP są najczęściej stosowane, ponieważ „s nie ma innego lepszego sposobu na zablokowanie użytkownika , zwłaszcza jeśli po prostu korzystają z Twojej witryny.
"IP addresses change often"jeśli ISP zapewnia dynamiczne IP. Ale ban działa dobrze (tylko), jeśli ' ma statyczny adres IP. Na przykład mój poprzedni dostawca dał mi statyczny adres IP i pozostał taki sam przez kilka lat. Ale zgadzam się, że banowanie IP nie ' nie działa obecnie, ponieważ bardzo niewielu dostawców usług internetowych ma statyczne adresy IP. (Dlaczego? Ponieważ jest więcej urządzeń podłączonych do Internetu niż IPv4, a jedynym praktycznym sposobem nadania im IP jest użycie dynamicznych adresów IP … Wciąż czekam na następną alternatywę IP, ale proszę, nie IPv6 …)