Rod*_*ney 6 networking ipv6 subnet
鉴于阻止单个 IPv6 地址似乎有些无意义,因为最终用户通常至少拥有 2**64 个地址,我们需要阻止一个范围,该范围标识“站点”。
在此上下文中,“站点”类似于家庭或小型办公室用户。RFC 6177 讨论了将地址块分配给小型站点:
... 给家庭站点一个单一的 /64 可能很诱人,因为与今天的 IPv4 实践相比,这已经是更多的地址空间。
然而,这排除了即使是主站点也会增长以支持未来多个子网的期望。因此,默认情况下,强烈希望即使是主站点也能获得多个子网的空间。因此,本文档仍然建议为主站点提供多于一个 /64 的位置,但也不建议为每个主站点提供一个 /48。
也就是说,我在网上讨论中看到 /64 和 /56 都是国内用户的常见分配。
如果我阻止一个 /64,而攻击者有一个 /56,那么他们还有 255 个子网可以攻击我。
相反,如果我阻止 /56,结果 ISP 分配了 /64 的块,我可能还会排除 255 个其他用户。现在,如果考虑随机分布,通过随机排除 255 个站点而实际影响流量的可能性非常低。然而,根据定义,它不是随机的。从这个意义上说,我可以阻止我的网站受欢迎的一个小地理区域是可行的。
我使用阻塞的例子,但实际上这是一个更普遍的问题,它扩展到速率限制、分析等。
简而言之,识别“站点”的最佳前缀大小是多少?是否有任何指导方针?
San*_*ann 10
最好的算法是开始阻塞单独的地址。然后,当多个地址在同一个 /64 中被阻止时,您就会阻止整个 /64。对较大的聚合重复此操作。
前缀通常在半字节边界(4 的倍数,或一个十六进制数字)上给出。您可能想从 /64 扩展到 /60、/56、/52 和 /48。/48 通常是给予单个站点的最大前缀。
根据您的谨慎程度,您可以直接从 /64 跳到 /56 和 /48。
根据您所在的地区,您还可以使用地区互联网注册中心 (RIR) 的公共数据库。在 RIPE 数据库中,互联网提供商记录了他们向那里的客户提供的聚合大小。在这种情况下,您确切地知道要使用什么尺寸。