¿Por qué la gente usa prohibiciones de direcciones IP (por ejemplo, para bloquear a un usuario malintencionado de un servicio de Internet) cuando las direcciones IP cambian con frecuencia?
Por ejemplo, apagamos nuestro enrutador todas las noches, por lo que nuestra dirección IP a menudo cambia por la mañana. Además, a menudo un simple ciclo de energía es suficiente para cambiar la dirección IP. Por lo tanto, las prohibiciones de direcciones IP son relativamente ineficaces.
Por otro lado, la prohibición de direcciones IP puede causar mucho dolor a los usuarios inocentes que utilizan las direcciones IP anteriores de un usuario malintencionado y, a veces, un rango de direcciones IP Las direcciones están prohibidas, lo que hace que la prohibición de usuarios inocentes afecte a más personas.
Entonces, ¿por qué todavía se utilizan las prohibiciones de direcciones IP? Me refiero específicamente a las prohibiciones a largo plazo. Entiendo perfectamente las ventajas de las prohibiciones a corto plazo, p. para bloquear un ataque de spam o DoS, u otras situaciones en las que interrumpir brevemente el tráfico malicioso es beneficioso.
Comentarios
Respuesta
Las prohibiciones de direcciones IP tienen fallas como mencionas, pero creo que la razón principal por la que se usan es simplemente que no hay nada mejor alternativas. Otras características de identificación, como el agente de usuario del navegador, las cookies, la huella digital del navegador, etc., son incluso más fáciles de falsificar o eludir. Hay muchas extensiones que puede usar para cambiar su agente de usuario o huella digital, y las cookies simplemente se pueden borrar.
Por ejemplo, apagamos nuestro enrutador todas las noches para que nuestra dirección IP cambie a menudo por la mañana. Además, a menudo un simple ciclo de encendido es suficiente para cambiar la dirección IP. Por lo tanto, las prohibiciones de direcciones IP son relativamente ineficaces.
La facilidad con la que puede cambiar su dirección IP depende en gran medida del ISP. Por ejemplo, cuando tenía Verizon DSL, mi dirección IP cambiaba cada vez que apagaba y volvía a encender el módem como lo describe. Pero después de cambiarme a Comcast , mi dirección IP no ha cambiado durante los dos años que llevo con ellos, incluso después de varios cortes de energía y reinicios del módem. la solución alternativa de «reinicio del enrutador» no funcionará necesariamente para todos.
Otra cosa que debe considerar es que incluso si usted es una de esas personas que puede cambiar su dirección IP con un reinicio, es probable que aún obtenga una dirección IP de un grupo de direcciones bastante limitado. Esto se debe a que los ISP generalmente no asignan direcciones de forma completamente aleatoria; dividen su área de servicio en áreas más pequeñas (por ejemplo, vecindarios) y luego asignan un pequeño rango de direcciones para asignar a los clientes en cada área. Entonces, si hubiera un usuario realmente persistente y problemático, un administrador del sitio podría prohibir todo el rango de direcciones (aunque esto podría causar problemas importantes a otros usuarios como usted menciona).
Nota al margen: Vale la pena mencionar que existen otras formas de enmascarar su dirección IP para solucionar este problema, como usar un servicio VPN o Tor . Algunos sitios, como Wikipedia, intentan bloquear todas las direcciones IP de los servidores proxy públicos conocidos para contrarrestar esto.
Por otro lado, prohibir las direcciones IP puede causar mucho dolor a los usuarios inocentes que están utilizando las direcciones IP anteriores de un usuario y, a veces, se prohíbe un rango de direcciones IP, lo que hace que la prohibición de usuarios inocentes afecte a más personas.
Sí, las prohibiciones de direcciones IP son una herramienta contundente y este es uno de los problemas inherentes a ellos. Este es especialmente el caso cuando una dirección IP es compartida por cientos o miles de usuarios en el mismo edificio, o incluso una gran parte de una nación entera a través de un operador. grado NAT . Es responsabilidad de los administradores del sitio minimizar los efectos de las prohibiciones de direcciones IP en los usuarios legítimos. Se pueden tomar varias medidas, por ejemplo, puede hacer un esfuerzo para identificar las direcciones IP que se comparten y asegurarse de que esas direcciones IP solo estén prohibidas por períodos cortos, o hacer que los usuarios con una cierta reputación mínima aún puedan iniciar sesión desde prohibidas Direcciones IP y no se ven afectados por ellas. Si se hace correctamente, las prohibiciones de direcciones IP pueden ser muy efectivas para bloquear usuarios no deseados mientras tienen un impacto mínimo en los legítimos.
Comentarios
- Menos importante, pero sigue ahí: las prohibiciones de IP temporales son bastante efectivas: si solo desea mantener al usuario alejado del sitio por un tiempo, » reinicia la conexión » la solución alternativa no ‘ da sus frutos. Especialmente en los días de acceso telefónico, cuando eso podría significar que usted ‘ tendría que pagar para iniciar la conexión nuevamente. Mi ISP cobraba por hora, por ejemplo, y tenía una tarifa diferente para llamadas nocturnas, por lo que si deseaba la conexión todo el día, era mucho más barato comenzar por la noche y mantenerla funcionando.
- Un problema creciente con la inclusión de una dirección IP en la lista negra es el uso de NAT de grado de operador debido a la escasez de direcciones IPv4. Negar una sola dirección IP de un operador que usa CGN negará miles o decenas de miles de usuarios.
- En referencia a su último párrafo, un ejemplo es que si StackExchange implementa la prohibición de IP, podrían permitir a los usuarios con mayor que digamos 100 reputación, para iniciar sesión y evitar la prohibición. Por lo tanto, esos molestos estudiantes universitarios que enviaron spam a SE y prohibieron toda la red universitaria no ‘ t afectarían a los usuarios como yo, que tienen al menos 101 reputación como ‘ confiable ‘ usuario.
- Para ser claros, odio las prohibiciones de IP (a largo plazo) porque en su mayor parte son un inconveniente importante para legitimar (buenos) usuarios. Pero, ¿cómo funcionaría una » selectiva » (a largo plazo) de prohibición de IP (como se sugiere)? Quiero decir, para identificar al usuario y determinar la reputación de los usuarios, debes permitirles el acceso (mientras no están conectados) por un período de tiempo indefinido (siempre / para siempre) para que puedan iniciar sesión.
- @KevinFegan Si estás prohibiendo las direcciones IP a nivel del firewall, entonces sí, sería bastante difícil. Pero » ban » no ‘ no tiene por qué significar impedir el acceso por completo, para la mayoría de los sitios web , foros, etc., puede prohibir a nivel de la aplicación, de modo que las direcciones IP prohibidas no puedan crear nuevas cuentas o publicaciones, pero aún puedan navegar por el sitio o iniciar sesión para demostrar su reputación.
Answer
¿Por qué la gente usa prohibiciones de direcciones IP cuando las direcciones IP cambian con frecuencia?
Un ejemplo práctico que representa un gran retorno de la inversión:
Porque fail2ban
( Wikipedia / fail2ban ) es mucho más rápido y adaptable que el DHCP ( Fallo del servidor, arrendamiento DHCP correcto ) latencia de renovación del ISP de un atacante o un robot estúpido.
Comentarios
- Estás correcto, pero a veces no hay DHCP para la última milla. Por ejemplo, PPP tiene su propio protocolo (IPCP) para proporcionar la dirección IP. Entonces, en el caso de PPtP VPN sobre Ethernet o PPPoE (ambos eran bastante comunes en mi país hace 10 años: VPN para redes domésticas y PPPoE para DSL / ATM), DHCP no se usa. Lo mismo ocurre con PPP por módem (acceso telefónico), si alguien aún lo recuerda.
Responder
Las prohibiciones de IP se utilizan principalmente porque «s no hay otra forma mejor de prohibir a un usuario , especialmente si simplemente están usando su sitio web.
"IP addresses change often"
si el ISP le proporciona una IP dinámica. Pero la prohibición funciona bien (solo) si es ‘ una IP estática. Por ejemplo, mi proveedor anterior me dio una IP estática y permaneció igual durante varios años. Pero estoy de acuerdo en que IP-ban no ‘ no funciona hoy en día porque hay muy pocos ISP con IP estáticas. (¿Por qué? Porque hay más dispositivos conectados a Internet que IPv4 y la única forma práctica de darles IPs es usar IP dinámicas … Todavía estoy esperando la próxima alternativa de IP, pero por favor, no IPv6 …)