Por que as pessoas usam proibições de endereço IP (por exemplo, para bloquear um usuário mal-intencionado de um serviço de Internet) quando os endereços IP mudam com frequência?
Por exemplo, desligamos nosso roteador todas as noites, então nosso endereço IP muda frequentemente pela manhã. Além disso, muitas vezes, um simples ciclo de energia é suficiente para alterar o endereço IP. Assim, banimentos de endereços IP são relativamente ineficazes.
Por outro lado, banir endereços IP pode causar muitos problemas para usuários inocentes que estão usando os antigos endereços IP de um usuário malicioso e, às vezes, uma faixa de IP endereços são banidos, fazendo com que usuários inocentes afetem ainda mais pessoas.
Então, por que banimentos de endereços IP ainda são usados? Refiro-me especificamente a proibições de longo prazo. Compreendo perfeitamente as vantagens das proibições de curto prazo, por exemplo, para bloquear um ataque de spam ou DoS ou outras situações em que interromper brevemente o tráfego malicioso seja benéfico.
Comentários
Resposta
As proibições de endereços IP têm falhas, como você mencionou, mas acho que o principal motivo de serem usadas é simplesmente que não há realmente nenhuma melhor alternativas. Outros recursos de identificação, como agente de usuário do navegador, cookies, impressão digital do navegador, etc. são ainda mais fáceis de falsificar ou contornar. Existem muitas extensões que você pode usar para alterar seu agente de usuário ou impressão digital, e os cookies podem ser simplesmente apagados.
Por exemplo, desligamos nosso roteador todas as noites, então nosso endereço IP muda frequentemente pela manhã. Além disso, muitas vezes um simples ciclo de energia é suficiente para mudar o endereço IP. Assim, as proibições de endereços IP são relativamente ineficazes.
A facilidade com que você pode alterar seu endereço IP depende muito do ISP. Por exemplo, de volta quando eu tinha Verizon DSL, meu endereço IP mudava cada vez que desligava e ligava o modem, exatamente como você descreveu. Mas depois de mudar para Comcast , meu endereço IP não mudou durante os dois anos que estive com eles, mesmo depois de várias falhas de energia e reinicializações do modem. a solução alternativa de “reinicialização do roteador” não funcionará necessariamente para todos.
Outra coisa que você deve considerar é que mesmo que você seja uma daquelas pessoas que pode alterar seu endereço IP com uma reinicialização, você é provavelmente ainda obtendo um endereço IP de um conjunto bastante limitado de endereços. Isso ocorre porque os ISPs geralmente não atribuem endereços de forma completamente aleatória; eles dividem sua área de serviço em áreas menores (por exemplo, bairros) e, em seguida, alocam um pequeno intervalo de endereços para atribuir aos clientes em cada área. Portanto, se houvesse um realmente usuário persistente e problemático, um administrador de site pode banir todo o intervalo de endereços (embora isso possa causar problemas significativos para outros usuários, conforme você mencionou).
Nota lateral: É “s vale a pena mencionar que existem outras maneiras de mascarar seu endereço IP que contornam esse problema, como usar um serviço VPN ou o Tor . Alguns sites, como a Wikipedia, tentam bloquear todos os endereços IP de proxies públicos conhecidos para combater isso.
Por outro lado, banir endereços IP pode causar muita dor a usuários inocentes que estão usando os antigos endereços IP de um usuário e, às vezes, um intervalo de endereços IP é banido, fazendo com que o banimento de usuários inocentes afete ainda mais pessoas.
Sim, banimentos de endereços IP são um ferramenta sem corte e este é um dos problemas inerentes a eles. Este é especialmente o caso quando um endereço IP é compartilhado por centenas ou milhares de usuários no mesmo prédio, ou mesmo uma grande parte de uma nação inteira via operadora- grau NAT . É responsabilidade dos administradores do site minimizar os efeitos da proibição de endereços IP em usuários legítimos. Várias medidas podem ser tomadas – por exemplo, você pode fazer um esforço para identificar os endereços IP são compartilhados e certificar-se de que esses endereços IP são apenas banidos por curtos períodos, ou fazer com que usuários com uma certa reputação mínima ainda possam fazer login no banned Endereços IP e não sejam afetados por eles. Se feito da maneira certa, a proibição de endereços IP pode ser muito eficaz no bloqueio de usuários indesejados, ao mesmo tempo que causa impacto mínimo sobre os legítimos.
Comentários
- Menos importante, mas ainda está lá: temporários os banimentos de IP são bastante eficazes – se você quiser apenas manter o usuário fora do site por um tempo, ” reinicie a conexão ” a solução alternativa não ‘ não compensa tanto. Especialmente nos dias de discagem, quando isso poderia significar que você ‘ teria que pagar para reiniciar a conexão – meu ISP cobrava por hora, por exemplo, e tinha uma tarifa diferente para chamadas noturnas, então, se você quisesse a conexão o dia todo, seria muito mais barato começar à noite e mantê-la funcionando.
- Um problema crescente com a lista negra de um endereço IP é o uso de NAT de grau de operadora devido à escassez de endereços IPv4. Negar um único endereço IP de uma operadora usando CGN negará milhares ou dezenas de milhares de usuários.
- Em referência ao seu último parágrafo, um exemplo é que se StackExchange implementasse o banimento de IP, eles poderiam permitir que usuários com maior do que, digamos, 100 reputação, para fazer o login e evitar a proibição. Portanto, aqueles estudantes universitários irritantes que acabaram de enviar spam para SE e baniram toda a rede universitária não ‘ afetariam usuários como eu, que têm pelo menos 101 reputação de ‘ usuário ‘ confiável.
- Para ser claro, odeio proibições de IP (de longo prazo) porque, em sua maioria, são um grande inconveniente para legitimar (bons) usuários. Mas, como funcionaria um ” ” (longo prazo) proibição de IP (como sugerido) seletivo. Quer dizer, para identificar o usuário e determinar a reputação do usuário, você deve permitir o acesso (enquanto não estiver conectado) por um período indefinido (sempre / para sempre) para que ele possa fazer o login.
- @KevinFegan Se você está banindo IPs no nível do firewall, então sim, seria muito difícil. Mas ” banir ” não ‘ significa impedir totalmente o acesso – para a maioria dos sites , fóruns, etc. você pode banir no nível do aplicativo, de modo que IPs banidos não possam criar novas contas ou postagens, mas eles ainda podem navegar no site ou fazer login para provar sua reputação.
Resposta
Por que as pessoas usam proibições de endereços IP quando os endereços IP mudam com frequência?
Um exemplo prático que é um grande retorno do investimento:
Porque fail2ban ( Wikipedia / fail2ban ) é muito mais rápido e adaptável do que o DHCP ( Falha do servidor, aluguel de DHCP correto ) latência de renovação do ISP de um invasor ou um robô estúpido.
Comentários
- Você está certo, mas às vezes não há DHCP para a última milha. Por exemplo, o PPP tem seu próprio protocolo (IPCP) para fornecer o endereço IP. Portanto, no caso de PPtP VPN sobre Ethernet ou PPPoE (ambos eram bastante comuns no meu país há 10 anos: VPN para redes domésticas e PPPoE para DSL / ATM), o DHCP não é usado. O mesmo é verdadeiro para PPP sobre modem (dial-up), se alguém ainda se lembra dele.
Resposta
Banimentos de IP são usados principalmente porque “s realmente não há outra maneira melhor de banir um usuário , especialmente se eles estiverem simplesmente usando o seu site.
"IP addresses change often"se o ISP fornece IP dinâmico. Mas ban funciona bem (apenas) se ‘ for IP estático. Por exemplo, meu provedor anterior me deu IP estático e permaneceu o mesmo por vários anos. Mas eu concordo que a proibição de IP não ‘ funciona hoje em dia porque existem poucos ISPs com IPs estáticos. (Por quê? Porque há mais dispositivos conectados à Internet do que IPs IPv4 e a única maneira prática de fornecer IPs a eles é usar IPs dinâmicos … Ainda esperando a próxima alternativa de IP, mas, por favor, não IPv6 …)