我目前习惯于使用像fail2ban这样的工具通过禁止IPv4地址来阻止不需要的流量远离我的服务器:每个IP有太多坏日志条目,禁止IP。
然而,当世界完成向 IPv6 的迁移时,禁止单个地址可能不再起作用,因为“普通”僵尸网络计算机或攻击者拥有相当多的 IPv6 地址?
如果我想阻止 IPv6 用户,那么最好的方法是什么?使用某个 IP 掩码还是其他什么?
当您在 IPv6 中获得多个单独的点击然后禁止整个块时,如何进行“升级启发式”?
对我来说,减轻威胁更为重要。如果一些可怜的真正用户与被阻止的 IP 属于同一个块,那么这些人和他们的 ISP 之间的问题是清除该网络块。
kas*_*erd 11
对您的问题的任何回答都将涉及一定程度的猜测。IPv6 部署仍然很少,我们根本不知道威胁场景究竟会是什么样子。
大量 IPv6 地址将为您必须考虑的威胁场景带来多种变化。
首先,对于 IPv4,攻击者可以在所有 37 亿个可路由 IPv4 地址中扫描某些易受攻击的服务的默认端口号,这是完全可行的。这种无针对性的攻击对于 IPv6 来说是不可行的。您仍然看到的那些攻击必须更有针对性。这是否意味着我们必须对攻击的处理方式做出很大改变还有待观察。
基于日志消息禁止 IP 的主要目的是减少日志中的噪音,并在一定程度上减少系统负载。它不应该用作防止攻击的保护。在禁令生效之前,知道弱点的攻击者会在内部,因此为了防止这种情况,您必须修补漏洞 - 就像您一直必须这样做。
禁止单个 IPv6 地址可能足以减少日志中的噪音。但这不是给定的。攻击者不太可能为每个连接使用他们可用范围中的新 IP 地址。如果攻击者的行为像禁止单个 IPv6 地址那样不仅无效,而且您甚至可能通过将所有内存用于防火墙规则而无意中对自己造成 DoS 攻击。
您无法知道每个攻击者可用的前缀长度。阻止太短的前缀也会通过覆盖合法用户而导致 DoS 攻击。阻止太长的前缀将无效。特别是密码暴力尝试可能会使用大量客户端 IPv6 地址。
为了有效抵御攻击者在每个请求上切换 IPv6 地址并降低内存使用率,您必须阻止范围,并且由于事先不知道前缀长度,您必须动态调整前缀长度。
现在已经有可能提出启发式方法了。我们还不知道它们的效果如何。
一种启发式方法是为每个前缀长度定义一个阈值,即阻止该长度的前缀需要多少个 IP。如果更长的前缀不够用,则只应在特定长度上应用阻塞。换句话说,您需要在两半中的每一半中都有足够的单独阻止的 IP 才能真正启动一个阻止。
例如,人们可能决定为了阻止 /48,在组成 /48 的两个 /49 中的每一个中必须有 100 个被阻止的 IP。前缀越长,阻止它所需的 IP 数量就越少,但在每种情况下,它们都必须分布在两半上。
小智 6
当 /64 大小的子网用于攻击时,按 /128 禁止不会扩展。您将在表中得到 2^64 个条目,这可能会导致拒绝服务。
最终用户将始终收到每个全局地址分配策略的 /56。企业将始终收到每个全球地址的 /48
请参阅:https : //tools.ietf.org/html/rfc6177 /128 不应分配给服务器/用户,分配给另一个实体(服务器/vps 客户)的最低限度应为 /64。对站点的最小分配应为 /56。发出 /128s 从根本上是坏的,应该被认为是配置错误。
因此,我建议临时禁止每个 /64,鉴于典型的最终用户只能访问 2^8 /64,它不应该在禁止表中引入太多条目。
| 归档时间: |
|
| 查看次数: |
6105 次 |
| 最近记录: |