IPv6 मानक बन जाने के बाद IP- आधारित नियम (जैसे, बैन / फिल्टर) कैसे प्रभावित होते हैं?

13

यह देखते हुए कि स्टैक एक्सचेंज साइट्स आईपी पर प्रतिबंध लगाती हैं , मुझे आश्चर्य होता है कि व्यवहार तय करने के लिए उपयोगकर्ता के आईपी पर आधारित नियम बनाने के बारे में कोई आम राय या रणनीति है।

IPv4 के साथ, आपको कुछ चीजें मिली हैं जो आप किसी दिए गए आईपी के बारे में काफी विश्वास कर सकते हैं:

  1. सबनेट को साझा करने वाले आईपी बहुत ही उपयोगकर्ता हो सकते हैं
  2. जबकि IP को विभिन्न वास्तविक समापन बिंदुओं के लिए पुन: उपयोग किया जा सकता है, यह अपेक्षाकृत संभावना नहीं है कि आप एक आईपी से डुप्लिकेट कनेक्शन देखेंगे जो समान उपयोगकर्ता नहीं हैं , या बहुत कम से कम एक ही घर / संगठन (मूल रूप से, एक साझा कनेक्शन)
  3. उपयोगकर्ता के लिए नया सार्वजनिक आईपी प्राप्त करना बहुत आसान नहीं है (यहां प्रवेश के लिए एक मध्यम आकार का अवरोध है)

IPv6 के साथ, क्या आप यह सब मान सकते हैं? मैं कल्पना करता हूं कि कम से कम दूसरा बिंदु अब और सच नहीं होगा क्योंकि नैटिंग को अनिवार्य रूप से आईपीवी 6 के साथ दूर जाना चाहिए क्योंकि किसी के लिए भी पर्याप्त आईपी होगा जो एक चाहता है।

यदि आपके पास नीतियों का IP- आधारित सेट है, तो दोनों में अंतर के कारण IPv6 के लिए क्या विचार किए जाने की आवश्यकता है?

ipv6 
डैनियल डिपोलो
स्रोत

जवाबों:

6

IPv6 के साथ, मुझे नहीं लगता कि एक सही समाधान है। लेकिन विचार करने के लिए कई चीजें हैं:

  • ISP संभवतः /64व्यक्तिगत ग्राहकों को सबनेट दे देगा । (चारों ओर जाने के लिए पर्याप्त होगा।)
  • कार्यस्थलों की संभावना /64प्रति कार्यालय कम से कम एक होगी ।
  • कड़ाई से बिंदु-टू-पॉइंट लिंक की पेशकश करने वाले आईएसपी के बीच और उपसर्गों का उपयोग करने के लिए उपयोग चुन सकते हैं । (देखें कि वे सामान्य रूप से / 127 का उपयोग क्यों नहीं कर रहे हैं ) यह संभवतः या तो एक अदूरदर्शी आईएसपी होगा, या वह जो पूर्ण रूप से अधिक चार्ज करना चाहता है । वास्तव में कोई कारण नहीं है कि प्रत्येक समापन बिंदु (जो एक पूर्ण ग्राहक नेटवर्क हो सकता है) नहीं होना चाहिए ।/64/126/64/64
  • अधिकांश IPv6 एंड-यूज़र सबनेट्स एक पर होंगे /64, मान लें कि कोई इंटरफ़ेस पहचानकर्ता में बिट 6 को देख सकता है ( RFC 4941 का अनुभाग 3.2.1 देखें ) यह जांचने के लिए कि क्या यह विश्व स्तर पर अद्वितीय पहचानकर्ता (मैक पते) के आधार पर उत्पन्न होता है। यह स्पष्ट नहीं है। लेकिन अगर यह बिट सेट है, तो संभवत: इंगित करता है कि पता मैक पते से उत्पन्न हुआ था। इसलिए पिछले 64 बिट्स के आधार पर कोई भी IPv6 पतों को ब्लॉक कर सकता है, और उपयोगकर्ताओं को किसी भी चीज को अवरुद्ध नहीं किया जा सकता है जो वे आते हैं। (शायद मैक पते के बाद से इसे "संकेत" के रूप में उपयोग करना सबसे अच्छा है, जबकि विश्व स्तर पर अद्वितीय माना जाता है, व्यवहार में हमेशा नहीं होते हैं। इसके अलावा वे आसानी से खराब हो जाते हैं। लेकिन किसी को भी परेशानी से गुजरने के लिए पर्याप्त समझदार शायद यह आसान होगा। पकड़ो और वैसे भी 2 ^ 64 अद्वितीय पते प्राप्त करें।)/64
  • यदि गोपनीयता पते उपयोग में हैं ... तो बहुत कम समय के लिए एक पते को ब्लॉक करने के अलावा और कुछ नहीं। यह वैसे भी जल्द ही बदलने की संभावना है। /64इस बिंदु पर नेटवर्क के हिस्से में कारक , लेकिन सावधान रहें क्योंकि आप किसी के पूरे कॉर्पोरेट कार्यालय को अवरुद्ध कर सकते हैं।

मैं कहूंगा कि सबसे अच्छा तरीका यह होगा कि व्यक्तिगत पते पर पहले ध्यान दिया जाए, फिर पते के अंतिम 64 बिट्स में कारक, और /64एक अवरुद्ध रणनीति को लागू करने के लिए विशेष सबनेट से दुरुपयोग के पैटर्न । संक्षेप में:

  • व्यक्तिगत /128IP पते अवरुद्ध करके प्रारंभ करें (जैसे कि आप शायद आज IPv4 के साथ करते हैं)
  • यदि आप किसी पते के अंतिम 64 बिट्स में गैर-गोपनीयता पते से दुरुपयोग का एक पैटर्न देखते हैं, तो इसे अपने अवरुद्ध एल्गोरिदम में एक मजबूत संकेतक के रूप में उपयोग करें। किसी व्यक्ति को ISP या सबनेट के बीच रोका जा सकता है। (फिर, इसके साथ सावधान रहें क्योंकि एमएसीएस अद्वितीय नहीं हैं - कोई आपके एल्गोरिथ्म का फायदा उठाने के लिए खराब हो सकता है) इसके अलावा, यह केवल उन दुर्व्यवहारियों के खिलाफ काम करेगा जो नहीं जानते कि आईपीवी 6 कैसे काम करता है। ;-)
  • यदि आप किसी विशेष से दुर्व्यवहार के पैटर्न को नोटिस करते हैं /64, /64तो एक अच्छी त्रुटि संदेश के साथ पूरे को ब्लॉक करें ताकि आपत्तिजनक नेटवर्क के व्यवस्थापक को उसके अंत में जो भी काम करने की आवश्यकता हो वह कर सके।

सौभाग्य।

mpontillo
स्रोत
2 ^ 64 = 18,446,744,073,709,552,000 संभावित पते। धरती पर उपयोगकर्ताओं को कई पते की आवश्यकता क्यों है?
TheLQ
@ एलक्यू, वे स्पष्ट रूप से नहीं करते हैं। हालांकि, एंड-यूज़र नेटवर्क आरएफसी 4291 को 64-बिट इंटरफ़ेस आइडेंटिफ़ायर की आवश्यकता होती है। तो पिछले 64 बिट्स, कम से कम ईथरनेट नेटवर्क पर, लगभग ईयूआई -64 पते द्वारा लिया जाएगा - 48 बिट मैक 64 बिट्स तक विस्तारित। अधिकांश घरेलू नेटवर्क, एकल (स्थिर या गतिशील) के बजाय आईपी पते को /64इस कारण से एकल (स्थिर या गतिशील) सबनेट की आवश्यकता होगी , क्योंकि आईपीवी 6 में एनएटी नहीं है।
mpontillo
इसके अलावा, जैसा कि किसी और ने उल्लेख किया है, डीएचसीपीवी 6 स्थिति को कुछ हद तक मदद कर सकता है, लेकिन यह संभवतः राउटर पर एक तनाव डाल देगा क्योंकि आपको केवल पहले 64 के बजाय सभी 128 बिट्स के आधार पर रूट करना होगा। यदि आप व्यक्तिगत आईपी पते पर रूट करते हैं /64प्रति ग्राहक के बजाय , जो आपकी रूटिंग टेबल को एक अनुचित आकार में विस्फोट कर सकता है, और रूटिंग के लिए उपयोग किए जा रहे हार्डवेयर के आधार पर समस्याओं का कारण बन सकता है।
mpontillo
धन्यवाद, मुझे नहीं पता था कि आईपी मैक पते पर आधारित थे और यह भूल गए कि कहीं न कहीं एक राउटिंग टेबल है। लगता है कि मुझे कुछ करना है
TheLQ
1
वर्तमान सर्वोत्तम अभ्यास ऐसा लगता है कि ISP के आवासीय ग्राहक के लिए न्यूनतम असाइनमेंट a / 56 है। बेशक, अधिकांश ग्राहक संभवतः एक ब्लॉक में एक या दो / 64 से अधिक सबनेट का उपयोग कभी भी नहीं करेंगे, यदि कभी हो, लेकिन उपयोग अनुमानित है।
माइकल हैम्पटन
3

आप जिन मान्यताओं को सूचीबद्ध करते हैं:

सबनेट को साझा करने वाले आईपी बहुत ही उपयोगकर्ता हो सकते हैं

जारी रखने के लिए जारी है - वास्तव में अगर ISPs अपने ग्राहकों को IPv6 सबनेट आवंटित कर रहे हैं तो यह और भी अधिक सच हो जाता है।

हालांकि IP को विभिन्न वास्तविक समापन बिंदुओं के लिए पुन: उपयोग किया जा सकता है, लेकिन यह अपेक्षाकृत संभावना नहीं है कि आप एक ऐसे आईपी से डुप्लिकेट कनेक्शन देखेंगे जो समान उपयोगकर्ता नहीं हैं, या बहुत कम से कम एक ही घर / संगठन (मूल रूप से, एक साझा कनेक्शन)

जारी रखने के लिए जारी है (वास्तव में ऊपर वर्णित के रूप में पूरे सबनेट पर लागू होता है)।

उपयोगकर्ता के लिए एक नया सार्वजनिक आईपी प्राप्त करना बहुत आसान नहीं है (यहां प्रवेश के लिए एक मध्यम आकार का अवरोध है)

एक व्यक्तिगत आईपी पर इतना लागू नहीं होता है, लेकिन एक आईएसपी द्वारा सौंपे गए सबनेट पर लागू होता है।

इसलिए मूल रूप से हम सबनेट बैन को देख रहे हैं, जहां हमारे पास वर्तमान में आईपी बैन है, यह मानकर कि आईएसपी अपने सभी उपयोगकर्ताओं को सबनेट सौंप देती है। यदि इसके बजाय उपयोगकर्ताओं को अलग-अलग IPv6 पते (प्रति उपयोगकर्ता) मिलते हैं, तो हम सिंगल IPv6 बैन देख रहे हैं, जो कि बहुत बुरे व्यवहार वाले उपयोगकर्ताओं के लिए बहुत अधिक प्रतिबंध तालिका (और संबंधित प्रदर्शन समस्याएँ) हो सकती हैं।
किसी भी मामले में एक आईपी प्रतिबंध एक अधिक दानेदार उपकरण बन जाता है (यानी एक ISP से उपयोगकर्ताओं का एक गुच्छा अवरुद्ध करने का कम जोखिम होता है, जिसमें एक गतिशील पूल होता है क्योंकि एक व्यक्ति ने दुर्व्यवहार किया), जो मेरे विचार में एक अच्छी बात है ...

voretaq7
स्रोत
1
मुझे आश्चर्य होगा कि अगर मोबाइल नेटवर्क प्रत्येक फोन को पूरे / 64s सौंप देते हैं। वे निश्चित रूप से एक गतिशील पूल से एक आईपी प्राप्त करेंगे। यदि एलटीई बड़े पैमाने पर बंद हो जाता है, तो हम अभी भी "एक आईएसपी से कई उपयोगकर्ताओं को अवरुद्ध करने पर वापस आ सकते हैं जिनके पास एक गतिशील पूल है क्योंकि एक व्यक्ति ने दुर्व्यवहार किया है"।
रिचर्ड गैड्सन
2

जब वे उस / 64 के भीतर पांचवें आईपी को ब्लॉक करते हैं तो विकिपीडिया / मीडियाविकि पूरी / 64 ब्लॉक करने की नीति अपनाते हैं।

पांच को मानक नियम-से-अंगूठा लगता है जिसे अन्य लोग अपना रहे हैं - DNSBLs के जोड़े को मैंने देखा है वही नीति अपना रहे हैं।

मैंने ए / 64 से ऊपर के ब्लॉक को एग्री करने की कोई योजना नहीं देखी है, हालांकि एक / 48 या ए / 56 प्राप्त करना एक मामूली संगठन के लिए बहुत आसान है। बेशक, स्पैमर में वर्तमान में एक / 24 (IPv4) या तो है, इसलिए मुझे उम्मीद है कि वे IPv6 स्थान के लार्ज चस्क को हथियाना शुरू कर देंगे।

रिचर्ड गडसेन
स्रोत
1

सबनेट को साझा करने वाले आईपी बहुत ही उपयोगकर्ता हो सकते हैं

अभी भी सच है, वास्तव में v6 के साथ और भी अधिक सच है।

जबकि IP को विभिन्न वास्तविक समापन बिंदुओं के लिए पुन: उपयोग किया जा सकता है, यह अपेक्षाकृत संभावना नहीं है कि आप एक आईपी से डुप्लिकेट कनेक्शन देखेंगे जो समान उपयोगकर्ता नहीं हैं, या बहुत कम से कम एक ही घर / संगठन (मूल रूप से, एक साझा कनेक्शन)

शायद v4 के साथ v6 के साथ और भी अधिक सच है।

उपयोगकर्ता के लिए नया सार्वजनिक आईपी प्राप्त करना बहुत आसान नहीं है (यहां प्रवेश के लिए एक मध्यम आकार का अवरोध है)

व्यक्तिगत पतों के बजाय ज्यादातर मामलों में आईएसपी पते के ब्लॉक सौंपेंगे। ग्राहक के लिए अपने ब्लॉक के भीतर घूमा जाना आसान होता है। हार्डर (हालांकि असंभव से दूर) एक नया ब्लॉक पाने के लिए।

सबसे मुश्किल बिट यह है कि ग्राहकों को आवंटन आकार बेतहाशा भिन्न होता है। कुछ ISPs अलग-अलग पते, कुछ / 64 ब्लॉक, कुछ / 56 ब्लॉक, कुछ / 48 ब्लॉक सौंपते हैं।

यह एक समझदार प्रतिबंध / सीमित नीति के साथ आने के लिए कठिन बना देगा जो सभी आईएसपी के लिए काम करेगा। क्या वह "हॉट" / 48 एक ऐसा एब्स है जिसने एक ISP पाया है जो बड़े ब्लॉक देता है या यह स्टिंगी मोबाइल प्रदाता पर उपयोगकर्ताओं का एक बड़ा समूह है जो व्यक्तिगत पते देता है।

PSv IPv6 को लागू करने से इंकार करना वास्तव में या तो IPv4 थकावट के साथ नहीं है, क्योंकि अधिक से अधिक ग्राहक ISP स्तर NAT के कुछ रूप के पीछे होंगे।

पीटर ग्रीन
स्रोत
0

मुझे लगता है कि यह अत्यधिक ISPs क्या करेगा पर निर्भर करता है। क्या वे उपयोगकर्ताओं को वास्तविक गतिशील आईपी साबित करना जारी रखेंगे? यदि नहीं, या यदि प्रत्येक उपयोगकर्ता को अपना स्वयं का आईपी / सबनेट विशेष रूप से मिलता है, तो आईपी लाइसेंस प्लेट के रूप में बहुत अधिक होने लगेंगे।

दायां
स्रोत
ISP प्रश्न यह है कि "क्या ISP उन इकाइयों की संख्या को सीमित करना चाहता है जिन्हें आप नेटवर्क से जोड़ सकते हैं?" यदि नहीं, प्रत्येक और विविध को सौंपने का मार्ग होगा। यदि हाँ, मुझे लगता है कि dhcpv6 हावी होगा।
२१:३३ बजे बिट्रांस
1
मुझे संदेह है कि घर-उपयोगकर्ता-ब्रॉडबैंड के लिए / 64 प्रमुख होगा - वास्तव में, घर सीपीई ("राउटर") पर बहुत सारे आईपीवी 6 कार्यान्वयन यह मानते हैं कि उन्हें / 64 दिया जाएगा। OTOH, मोबाइल टेलीकॉम प्रदाता प्रत्येक डिवाइस के लिए एक एकल IP सौंपने के द्वारा टेदरिंग को रोक सकते हैं, और उन यूजर्स को / जिन्होंने 64 टेथरिंग के लिए भुगतान किया है।
रिचर्ड गैड्सन
0

जब मुझे समझ में आया कि IPv6 IP पतों की संख्या को बहुत बढ़ाने वाला था, लेकिन प्रति होस्ट पोर्ट की संख्या नहीं बढ़ा रहा था, तो मैं पहले हैरान रह गया। यह देखते हुए कि कंप्यूटर अधिक से अधिक शक्तिशाली हो रहे हैं और इस प्रकार एक साथ बड़ी संख्या में कनेक्शन प्रदान करने में सक्षम हो जाते हैं , आईपीवी 6 पते पर अधिकतम 65535 बंदरगाहों तक सीमित होकर "अगली अड़चन" प्रतीत होती है।

तब मैंने इसके बारे में एक बार फिर से सोचा और महसूस किया कि एक से अधिक आईपीवी 6 को एक भौतिक इंटरफ़ेस के लिए सौंपना तुच्छ था और इस तरह से बंदरगाहों की संख्या की सीमा को कम किया जा सकता है जो मेजबान से जुड़ सकते हैं। वास्तव में, यह सोचने के लिए आओ, आप आसानी से अपने मेजबान को 1024 या 4096 IPv6 पते आवंटित कर सकते हैं और फिर सभी पतों पर विभिन्न बंदरगाहों पर अपनी सेवाओं को बेतरतीब ढंग से फैला सकते हैं, पोर्ट स्कैनर को काफी कठिन समय (कम से कम सिद्धांत में) दे रहे हैं ।

अब होस्ट वर्चुअलाइजेशन (अपेक्षाकृत शक्तिशाली भौतिक होस्ट पर कई छोटे वर्चुअल होस्ट) और हैंडहेल्ड डिवाइस (ग्रह पर हर किसी के लिए IPv6-कनेक्टेड मोबाइल के बारे में सोचें) शायद इसके खिलाफ बोलेंगे, भविष्य के इंटरनेट पर अधिकांश मेजबान संभवतः काफी उपयोग करेंगे कुछ बंदरगाहों और इस प्रकार प्रति होस्ट के लिए केवल एक एकल IPv6 पते की आवश्यकता होती है।

(लेकिन IPv6 पते के एक बड़े पूल में "छिपाने" की क्षमता, जो आप सभी के पास है और जिसे आप बेतरतीब ढंग से उठा सकते हैं, फिर भी सुरक्षा की कुछ परत प्रदान करता है, भले ही ज्यादातर परिस्थितियों में एक पतली हो।

IllvilJa
स्रोत
1
और कृत्रिम भार परीक्षण को छोड़कर दो कंप्यूटर एक दूसरे से 65536 एक साथ कब खुलेंगे?
माइकल हैम्पटन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.