禁止IPv6地址

我目前习惯于使用诸如fail2ban之类的工具，通过禁止IPv4地址来使不需要的流量远离服务器：每个IP的错误日志条目过多，请禁止该IP。

但是，当世界完成向IPv6的迁移时，由于“正常”的僵尸网络计算机或攻击者拥有很多IPv6地址，禁止单一地址可能不再起作用了吗？

如果我想阻止IPv6用户，什么是最好的方法？使用某个IP掩码还是其他？

当您在IPv6内收到多个单个匹配然后禁止整个块时，如何进行“升级启发式”呢？

对我来说，减轻威胁更为重要。如果某些贫穷的真实用户属于具有被阻止IP的同一阻止，那么这些人与其ISP之间的问题就是清除该网络阻止。

当将/ 64大小的子网用于攻击时，不会按/ 128禁止扩展。您最终将在表中获得2 ^ 64个条目，从而可能导致拒绝服务。

最终用户将始终按照全局地址分配策略获得/ 56的权限。在全球范围内，企业始终会收到/ 48

请参阅：https : //tools.ietf.org/html/rfc6177 / 128永远不要分配给服务器/用户，对另一个实体（服务器/ vps客户）的最小分配应该是/ 64。网站的最小分配应为/ 56。发出/ 128s从根本上来说是无效的，应将其视为配置错误。

因此，我建议按/ 64进行临时禁止，因为典型的最终用户只能访问2 ^ 8 / 64s，因此不应在禁止表中引入太多条目。

您问题的任何答案都将涉及一些猜测。IPv6部署仍然很少，我们只是还不知道，威胁情景将是什么样子。

大量的IPv6地址将对您必须考虑的威胁情形进行多种更改。

首先，使用IPv4，对于攻击者而言，扫描所有37亿可路由IPv4地址中某些漏洞服务的默认端口号是完全可行的。这种非针对性的攻击对于IPv6是不可行的。您仍然看到的那些攻击将必须更具针对性。这是否意味着我们必须在处理攻击方面进行很多更改，还有待观察。

禁止基于日志消息的IP的主要目的是减少日志中的噪音，并在某种程度上减少系统负载。它不应作为抵御攻击的保护措施。知道弱点的攻击者将在禁令生效之前进入内部，因此为了防止这种情况，您必须修复漏洞-就像您始终必须这样做一样。

禁止单个IPv6地址可能足以减少日志中的噪音。但这不是给定的。攻击者不太可能会使用每个连接可用的范围内的新IP地址。如果攻击者的行为如此，禁止单个IPv6地址不仅无效，而且您甚至可能无意中通过将所有内存用于防火墙规则对自己进行DoS攻击。

您无法知道每个攻击者可用的前缀长度。阻止太短的前缀也会覆盖合法用户，从而导致DoS攻击。阻止太长的前缀将无效。特别是密码暴力破解尝试可能会使用大量客户端IPv6地址。

为了有效防止攻击者在每个请求上切换IPv6地址并降低内存使用量，您必须限制范围，并且由于事先不知道前缀长度，因此必须动态调整前缀长度。

现在可能已经提出了启发式方法。我们还不知道他们将如何运作。

一种启发式方法是针对每个前缀长度来定义一个阈值，该阈值用于阻止该长度的前缀需要多少个IP。如果只有较长的前缀还不够，则只能以特定的长度应用阻塞。换句话说，您需要在两半中的每一个中有足够的单独阻止的IP，以便实际启动阻止。

例如，可能决定为了阻止/ 48，组成/ 48的两个/ 49中的每个必须有100个被阻止的IP。前缀越长，阻止它所需要的IP数量就越少，但是在每种情况下，它们都必须分布在两半上。

您应该坚持禁止单个地址。

没有定义将给最终用户多少地址。一些ISP可能会提供整个子网，而其他ISP只会提供一个地址。