De ce utilizează oamenii interzicerea adreselor IP (de exemplu, pentru a bloca un utilizator rău intenționat dintr-un serviciu de internet) atunci când adresele IP se schimbă des?
De exemplu, ne oprim routerul în fiecare seară, astfel încât adresa noastră IP se schimbă adesea dimineața. Mai mult, de multe ori un simplu ciclu de alimentare este suficient pentru a schimba adresa IP. Astfel, interzicerea adreselor IP este relativ ineficientă.
Pe de altă parte, interzicerea adreselor IP poate provoca multă durere utilizatorilor nevinovați care utilizează fostele adrese IP ale unui utilizator rău intenționat și, uneori, o serie de adrese IP adresele sunt interzise, provocând astfel interzicerea utilizatorilor nevinovați să afecteze și mai multe persoane.
Deci, de ce sunt încă folosite interzicerile adreselor IP?
PS Mă refer în special la interdicțiile pe termen lung. Înțeleg perfect avantajele interdicțiilor pe termen scurt, de ex. să blochezi un atac spam sau DoS sau alte situații în care perturbarea scurtă a traficului rău intenționat este benefică.
Comentarii
Răspuns
Interdicțiile adreselor IP au defecte așa cum menționați, dar cred că principalul motiv pentru care sunt folosite este pur și simplu că nu sunt cu adevărat mai bune alternative. Alte caracteristici de identificare, cum ar fi agentul utilizatorului browserului, cookie-urile, amprenta digitală a browserului etc. sunt chiar mai ușor de falsificat sau eludat. Există o mulțime de extensii pe care le puteți utiliza pentru a schimba agentul utilizatorului sau amprenta digitală, iar cookie-urile pot fi pur și simplu șterse.
De exemplu, ne oprim routerul în fiecare seară, astfel încât adresa noastră IP să se schimbe adesea dimineața. În plus, de multe ori este suficient un ciclu de alimentare simplu pentru a schimba adresa IP. Astfel, interdicțiile adreselor IP sunt relativ ineficiente.
Ușurința cu care vă puteți schimba adresa IP depinde în mare măsură de ISP. De exemplu, înapoi când am avut Verizon DSL, adresa mea IP s-ar schimba de fiecare dată când opream și reactivam modemul, așa cum descrii tu. Dar după ce am trecut la Comcast , adresa mea IP nu s-a schimbat în toți cei doi ani în care am fost cu ei, chiar și după mai multe întreruperi de curent și repornirea modemului. Deci soluția de „repornire router” nu va funcționa neapărat pentru toată lumea.
Un alt lucru pe care ar trebui să-l luați în considerare este că, chiar dacă sunteți unul dintre acei oameni care vă pot schimba adresa IP cu o repornire, sunteți re probabil că totuși primește o adresă IP dintr-un grup de adrese destul de limitat. Acest lucru se datorează faptului că, în general, furnizorii de servicii Internet nu atribuie adrese complet aleatoriu; își împart zona de servicii în zone mai mici (de exemplu, cartiere) și apoi alocă o gamă mică de adrese pentru a le atribui clienților din fiecare zonă. Deci, dacă a existat un utilizator cu adevărat persistent și problematic, un administrator de site ar putea interzice întregul interval de adrese (deși acest lucru ar putea provoca probleme semnificative pentru alți utilizatori așa cum menționați).
Notă laterală: merită menționat faptul că există alte modalități de a vă masca adresa IP care rezolvă această problemă, cum ar fi utilizarea unui serviciu VPN sau Tor . Unele site-uri, cum ar fi Wikipedia, încearcă să blocheze toate adresele IP ale proxy-urilor publice cunoscute pentru a contracara acest lucru.
Pe de altă parte, interzicerea adreselor IP poate cauza multă durere utilizatorilor nevinovați care utilizează fostele adrese IP ale unui program rău intenționat utilizator și, uneori, o serie de adrese IP este interzisă, determinând astfel interzicerea utilizatorilor nevinovați să afecteze și mai multe persoane.
Da, interdicțiile adreselor IP sunt instrument contondent și aceasta este una dintre problemele inerente acestora. Acest lucru este în special cazul în care o adresă IP este partajată de sute sau mii de utilizatori în aceeași clădire sau chiar o mare parte a unei întreaga națiune prin intermediul operatorului de transport- grad NAT . Este responsabilitatea administratorilor site-ului să reducă la minimum efectele interzicerilor adreselor IP asupra utilizatorilor legitimi. Se pot lua diferite măsuri – de exemplu, puteți face eforturi pentru a identifica adresele IP care sunt partajate și asigurați-vă că acele adrese IP sunt interzise numai pentru perioade scurte de timp sau faceți astfel încât utilizatorii cu o anumită reputație minimă să se poată conecta încă din interzis Adresele IP și rămân neafectate de acestea. Dacă se face corect, interzicerea adreselor IP poate fi foarte eficientă pentru a bloca utilizatorii nedoriti, având în același timp un impact minim asupra celor legitimi.
Comentarii
- Mai puțin important, dar încă acolo: temporare interdicțiile IP sunt de fapt destul de eficiente – dacă doriți doar să păstrați utilizatorul de pe site pentru o vreme, ” reporniți conexiunea ” soluție nu ‘ nu plătește atât de mult. Mai ales în zilele de dial-up când acest lucru ar putea însemna că ‘ ar trebui să plătiți pentru reluarea conexiunii – ISP-ul meu a fost taxat cu ora, de exemplu, și ați avut o rată diferită pentru apeluri nocturne, deci, dacă doriți conexiunea toată ziua, a fost mult mai ieftin să începeți noaptea și să o mențineți în funcțiune.
- O problemă în creștere cu introducerea pe o listă neagră a unei adrese IP este utilizarea NAT-ului pentru operator la lipsa adresei IPv4. Refuzarea unei singure adrese IP de la un operator care utilizează CGN va refuza mii sau zeci de mii de utilizatori.
- Referitor la ultimul dvs. paragraf, un exemplu este că, dacă StackExchange a implementat interzicerea IP, ar putea permite utilizatorilor cu mai mare decât să spunem, 100 de reputație, pentru a vă conecta și a evita interdicția. Deci, acei studenți neplăciți care tocmai au trimis spam către SE și au interzis întreaga rețea universitară nu ar afecta ‘ nu ar afecta utilizatorii ca mine care au cel puțin 101 reputație de ‘ utilizator ‘ de încredere.
- Pentru a fi clar, urăsc interdicțiile IP (pe termen lung), deoarece în cea mai mare parte sunt un inconvenient major pentru legitim (buni) utilizatori. Dar, cum ar funcționa o ” selectivă ” (pe termen lung) interzicerea IP (așa cum este sugerat). Adică, pentru a identifica utilizatorul pentru a determina reputația utilizatorilor, trebuie să le permiteți accesul (în timp ce nu este conectat) pentru o perioadă de timp nedeterminată (întotdeauna / pentru totdeauna), astfel încât să se poată conecta.
- @KevinFegan Dacă interziceți IP-urile la nivel de firewall, da, ar fi destul de dificil. Însă ” interzice ” nu trebuie să împiedice accesul în totalitate – pentru majoritatea site-urilor web , forumuri etc. le puteți interzice la nivel de aplicație, astfel încât IP-urile interzise să nu poată crea conturi sau postări noi, dar pot naviga pe site sau pot să se conecteze pentru a dovedi reputația.
Răspuns
De ce oamenii folosesc interzicerea adreselor IP când adresele IP se schimbă adesea?
Un exemplu practic care reprezintă o rentabilitate imensă a investiției:
Deoarece fail2ban
( Wikipedia / fail2ban ) este mult mai rapid și adaptabil decât DHCP ( Eroare server, leasing DHCP corect ) latența de reînnoire a ISP-ului unui atacant sau al unui robot prost.
Comentarii
- Sunteți corect, dar uneori nu există DHCP pentru ultima milă. De exemplu, PPP are propriul său protocol (IPCP) pentru a furniza adresa IP. Deci, în cazul PPtP VPN peste Ethernet sau PPPoE (ambele erau destul de frecvente în țara mea acum 10 ani: VPN pentru rețelele de domiciliu și PPPoE pentru DSL / ATM) DHCP nu este utilizat. Același lucru este valabil și pentru PPP prin modem (dial-up), dacă cineva își mai amintește.
Răspuns
Interdicțiile IP sunt utilizate mai ales pentru că „s nu este o altă modalitate mai bună de a interzice un utilizator , în special dacă pur și simplu utilizează site-ul dvs. web.
"IP addresses change often"
dacă ISP vă oferă un IP dinamic. Dar banul funcționează bine (numai) dacă este ‘ IP static. De exemplu, furnizorul meu anterior mi-a dat un IP static și a rămas același timp de câțiva ani. Dar sunt de acord că interdicția IP nu ‘ funcționează în zilele noastre, deoarece există foarte puțini ISP cu IP-uri statice. (De ce? Pentru că există mai multe dispozitive conectate la internet decât IP-urile IPv4 și singurul mod practic de a le oferi IP-uri este de a utiliza IP-uri dinamice … Așteptăm în continuare următoarea alternativă IP, dar vă rog, nu IPv6 …)