Frage:
Warum verwenden Menschen IP-Adressverbote, wenn sich IP-Adressen häufig ändern?
Micheal Johnson
2015-08-09 23:41:07 UTC
view on stackexchange narkive permalink

Warum verwenden Benutzer IP-Adressverbote (z. B. um einen böswilligen Benutzer von einem Internetdienst abzuhalten), wenn sich IP-Adressen häufig ändern?

Beispielsweise schalten wir unseren Router jede Nacht aus, sodass unsere IP-Adresse häufig geändert wird Änderungen am Morgen. Darüber hinaus reicht häufig ein einfaches Aus- und Wiedereinschalten aus, um die IP-Adresse zu ändern. Daher sind IP-Adressverbote relativ unwirksam.

Andererseits kann das Verbot von IP-Adressen unschuldigen Benutzern, die die früheren IP-Adressen eines böswilligen Benutzers verwenden, und manchmal auch einer Reihe von IP-Adressen, viel Kummer bereiten Adressen sind gesperrt, wodurch das Verbot unschuldiger Benutzer noch mehr Menschen betrifft.

Warum werden IP-Adressverbote weiterhin verwendet?

PS Ich beziehe mich speziell auf langfristige Verbote. Ich verstehe die Vorteile kurzfristiger Verbote, z. einen Spam- oder DoS-Angriff oder andere Situationen zu blockieren, in denen eine kurzzeitige Unterbrechung des böswilligen Datenverkehrs von Vorteil ist.

Wie sonst werden Leute böswillige Benutzer von ihrer Website werfen? Es ist nicht so, dass sie per User-Agent oder so etwas verbieten können ...
Früher habe ich meinen Router über Nacht über einen Timer ausgeschaltet, aber oft * keine * neue IP-Adresse erhalten. Ich würde den Router immer noch herunterfahren, außer ich verwende derzeit den vom ISP bereitgestellten Router und er erhält zu ungeraden Zeiten in der Nacht Firmware-Updates. Das Aus- und Einschalten während eines Updates würde es blockieren. Ich gehe auch davon aus, dass Sie sich auf ein Modem / einen Router beziehen, nicht auf einen Router, der an ein separates Modem angeschlossen ist.
Sie haben die Art Ihrer Frage stark verändert: Es gibt 3 (für mich) sehr unterschiedliche Ansätze für die schwarze Auflistung von @IPs. Daher sind einige Antworten jetzt nicht mehr gültig. Sie hätten besser eine andere Frage zu * statischen schwarzen Listen * eingereicht.
"IP-Adressen ändern sich häufig", wenn der ISP Ihnen eine dynamische IP-Adresse gibt. Aber das Verbot funktioniert (nur) gut, wenn es sich um eine statische IP handelt. Zum Beispiel gab mir mein vorheriger Anbieter eine statische IP und diese blieb mehrere Jahre lang gleich. Ich stimme jedoch zu, dass das IP-Verbot heutzutage nicht funktioniert, da es nur sehr wenige ISPs mit statischen IPs gibt. (Warum? Weil es mehr mit dem Internet verbundene Geräte als IPv4-IPs gibt und die einzige praktische Möglichkeit, ihnen IPs zu geben, darin besteht, dynamische IPs zu verwenden ... Warten Sie immer noch auf die nächste IP-Alternative, aber bitte nicht auf IPv6 ...)
@Jet Sie meinen, die einzige praktische Möglichkeit, ihnen alle IPs zu geben, ist die Verwendung von * NAT *. Dynamische IPs sind weiterhin IPv4-Adressen, genau wie die statischen. Nur dass sie nicht immer zum selben Gerät gehören wie ein statisches. Das Netzwerk behandelt sie jedoch gleich (mit Ausnahme einiger schwarzer Listen ...)
@BenjiWiebe ja, aber mit "dynamisch" meinte ich nicht statische globale IPs
@Jet Ich wusste, was du meinst. Ich sage nur, dass statische IPs, dynamische IPs, in Bezug auf das * Internetprotokoll * dasselbe sind.
Wenn Sie nach IRC-Blöcken fragen, hat die Tatsache, dass Administratoren beliebige Blöcke zuweisen können, mehr mit ihrem Entscheidungsprozess zu tun als mit jeder formalen Informationssicherheitspraxis.
@Jet: Wie glauben Sie, werden wir jemals die nächste IP-Alternative bekommen?Was ist, wenn jede Alternative von einer beträchtlichen Anzahl von Personen, die Sie gerade für IPv6 geäußert haben, dieselbe Reaktion erhält?
Neun antworten:
tlng05
2015-08-10 00:59:25 UTC
view on stackexchange narkive permalink

IP-Adressverbote weisen, wie Sie bereits erwähnt haben, Mängel auf, aber ich denke, der Hauptgrund für ihre Verwendung ist einfach, dass es keine wirklich besseren Alternativen gibt. Andere identifizierende Funktionen wie Browser-Benutzeragenten, Cookies, Browser-Fingerabdruck usw. sind noch einfacher zu fälschen oder zu umgehen. Es gibt viele Erweiterungen, mit denen Sie Ihren Benutzeragenten oder Fingerabdruck ändern können, und Cookies können einfach gelöscht werden.

Beispielsweise schalten wir unseren Router jede Nacht aus, sodass sich unsere IP-Adresse häufig ändert der Morgen. Darüber hinaus reicht häufig ein einfaches Aus- und Wiedereinschalten aus, um die IP-Adresse zu ändern. Daher sind IP-Adressverbote relativ unwirksam.

Die Leichtigkeit, mit der Sie Ihre IP-Adresse ändern können, hängt stark vom ISP ab. Als ich beispielsweise Verizon DSL hatte, änderte sich meine IP-Adresse jedes Mal, wenn ich das Modem aus- und wieder einschaltete, genau wie Sie es beschrieben haben. Aber nach dem Wechsel zu Comcast hat sich meine IP-Adresse in den letzten zwei Jahren, in denen ich bei ihnen war, auch nach mehreren Stromausfällen und Neustarts des Modems nicht geändert. Die Problemumgehung "Router-Neustart" funktioniert also nicht unbedingt für alle.

Eine andere Sache, die Sie berücksichtigen sollten, ist, dass Sie selbst dann zu den Personen gehören, die Ihre IP-Adresse bei einem Neustart ändern können. Wahrscheinlich erhalten Sie immer noch eine IP-Adresse aus einem relativ begrenzten Adresspool. Dies liegt daran, dass ISPs Adressen im Allgemeinen nicht vollständig zufällig zuweisen. Sie unterteilen ihren Servicebereich in kleinere Bereiche (z. B. Nachbarschaften) und weisen dann einen kleinen Adressbereich zu, der den Kunden in jedem Bereich zugewiesen werden soll. Wenn es also einen wirklich beständigen und problematischen Benutzer gibt, kann ein Site-Administrator den gesamten Adressbereich sperren (obwohl dies, wie Sie bereits erwähnt haben, erhebliche Probleme für andere Benutzer verursachen kann).

Randnotiz: Es ist erwähnenswert, dass es andere Möglichkeiten gibt, Ihre IP-Adresse zu maskieren, um dieses Problem zu umgehen, z. B. die Verwendung eines VPN-Dienstes oder Tor. Einige Websites, wie Wikipedia, versuchen, alle IP-Adressen bekannter öffentlicher Proxys zu blockieren, um dem entgegenzuwirken.

Andererseits kann das Verbot von IP-Adressen unschuldigen Menschen viel Kummer bereiten Benutzer, die die früheren IP-Adressen eines böswilligen Benutzers verwenden, und manchmal eine Reihe von IP-Adressen, sind gesperrt, wodurch das Verbot unschuldiger Benutzer noch mehr Personen betrifft.

Ja, IP-Adresse Verbote sind ein stumpfes Werkzeug und dies ist eines der Probleme, die mit ihnen verbunden sind. Dies ist insbesondere dann der Fall, wenn eine IP-Adresse von Hunderten oder Tausenden von Benutzern im selben Gebäude oder sogar von einem großen Teil einer ganzen Nation über Carrier-Grade NAT gemeinsam genutzt wird . Es liegt in der Verantwortung der Site-Administratoren, die Auswirkungen von IP-Adressverboten auf legitime Benutzer zu minimieren. Es können verschiedene Maßnahmen ergriffen werden. Sie können beispielsweise versuchen, zu ermitteln, ob IP-Adressen gemeinsam genutzt werden, und sicherstellen, dass diese IP-Adressen nur für kurze Zeit gesperrt sind, oder festlegen, dass sich Benutzer mit einer bestimmten Mindestreputation weiterhin von gesperrt anmelden können IP-Adressen und bleiben von ihnen unberührt. Wenn dies richtig gemacht wird, können IP-Adressverbote sehr effektiv dazu beitragen, unerwünschte Benutzer zu blockieren, während sie nur minimale Auswirkungen auf legitime Benutzer haben.

Weniger wichtig, aber immer noch vorhanden: * temporäre * IP-Verbote sind tatsächlich sehr effektiv. Wenn Sie den Benutzer nur für eine Weile von der Site fernhalten möchten, zahlt sich die Problemumgehung "Verbindung neu starten" nicht allzu viel aus. Besonders in den Einwähltagen, in denen dies bedeuten könnte, dass Sie für das erneute Starten der Verbindung bezahlen müssten - mein ISP berechnete beispielsweise stundenweise und hatte einen anderen Tarif für Nachtanrufe, wenn Sie also die Verbindung den ganzen Tag haben wollten Es war viel billiger, in der Nacht zu beginnen und es am Laufen zu halten.
Ein wachsendes Problem bei der Sperrung einer IP-Adresse ist die Verwendung von Carrier-Grade-NAT aufgrund des Mangels an IPv4-Adressen. Durch das Verweigern einer einzelnen IP-Adresse von einem Netzbetreiber, der CGN verwendet, werden Tausende oder Zehntausende von Benutzern verweigert.
In Bezug auf Ihren letzten Absatz ist ein Beispiel, dass wenn StackExchange ein IP-Verbot implementiert, Benutzer mit mehr als beispielsweise 100 Reputationen sich anmelden und das Verbot vermeiden können. Diese lästigen Universitätsstudenten, die gerade SE-Spam gesendet und das gesamte Universitätsnetzwerk gesperrt haben, würden Benutzer wie mich nicht beeinträchtigen, die mindestens den Ruf eines "vertrauenswürdigen" Benutzers haben.
Um es klar auszudrücken, ich hasse (langfristige) IP-Verbote, weil sie für legitime (gute) Benutzer größtenteils eine große Unannehmlichkeit darstellen. Aber wie würde ein "selektives" (langfristiges) IP-Verbot (wie vorgeschlagen) funktionieren? Ich meine, um den Benutzer zu identifizieren, um die Reputation des Benutzers zu bestimmen, müssen Sie ihm den Zugriff (während er nicht angemeldet ist) auf unbestimmte Zeit (immer / für immer) gewähren, damit er sich anmelden kann.
@KevinFegan Wenn Sie IPs auf Firewall-Ebene verbieten, ist dies ziemlich schwierig. "Verbot" muss jedoch nicht bedeuten, den Zugriff vollständig zu verhindern. Für die meisten Websites, Foren usw. können Sie das Verbot auf Anwendungsebene festlegen, sodass gesperrte IPs keine neuen Konten oder Beiträge erstellen können, aber dennoch die Website durchsuchen oder sich anmelden können Ruf zu beweisen.
In diesem Fall geht es eher um ein IP-Verbot "Junk nicht mehr in unserem Forum veröffentlichen", das häufig auftritt, wenn ein böswilliger Benutzer mit einem gesperrten Konto wiederholt neue Konten erstellt. Im Fall von "Stoppen Sie die Überflutung unseres Servers mit Datenverkehr" ist es üblicher, auf Firewall-Ebene zu verbieten (andernfalls muss der Server den übermäßigen Datenverkehr noch verarbeiten), aber in solchen Fällen ist es, wie ich erfahre, mehr Es ist üblich, ein kurzfristiges Verbot zu verwenden, um den Verkehr zu stören, bis mehr langfristige Maßnahmen ergriffen werden können.
"* Es gibt keine besseren Alternativen *" - die * Bedrohung * eines IP-Verbots reicht manchmal für einige Benutzer aus, weil sie nicht genau wissen, wie es funktioniert. Aber natürlich hängt es von der Benutzerbasis ab, wie effektiv diese Bedrohung ist.
Ändern Sie die MAC-Adresse Ihres Routers, um Ihre IP-Adresse zu ändern, wenn Ihr ISP Sticky-IPs verwendet.
dan
2015-08-10 03:22:40 UTC
view on stackexchange narkive permalink

Warum verwenden Benutzer IP-Adressverbote, wenn sich IP-Adressen häufig ändern?

Ein praktisches Beispiel, das einen enormen Return on Investment darstellt:

Weil fail2ban ( Wikipedia / fail2ban) ist viel schneller und anpassungsfähiger als die Erneuerung von DHCP ( Serverfehler, korrekter DHCP-Lease) Latenz des ISP eines Angreifers oder eines dummen Roboters.

Sie haben Recht, aber manchmal gibt es kein DHCP für die letzte Meile. Beispielsweise verfügt PPP über ein eigenes IPCP-Protokoll (IPCP) zur Bereitstellung der IP-Adresse. Im Fall von PPtP-VPN über Ethernet oder PPPoE (beide waren in meinem Land vor 10 Jahren ziemlich verbreitet: VPN für Heimnetzwerke und PPPoE für DSL / ATM) wird DHCP nicht verwendet. Gleiches gilt für PPP über Modem (DFÜ), wenn sich noch jemand daran erinnert.
AStopher
2015-08-11 03:07:00 UTC
view on stackexchange narkive permalink

IP-Verbote werden meistens verwendet, weil es keine andere bessere Möglichkeit gibt, einen Benutzer zu sperren , insbesondere , wenn er einfach Ihre Website nutzt. Ja, viele inländische IP-Adressen sind dynamisch (auch bekannt als, sie ändern sich jedes Mal, wenn das Modem eine Verbindung zum ISP herstellt), aber wie können Sie einen Benutzer wirklich loswerden, abgesehen davon Sie physisch finden und auf diese Weise stoppen:

enter image description here

Wenn Sie versuchen, die IP-Adresse eines Benutzers daran zu hindern, über einen Client eine Verbindung zu Ihrem Server herzustellen Wenn Sie eine Anwendung (die Sie / Ihr Unternehmen erstellt haben) auf dem Computer installiert haben, haben Sie Zugriff auf eine Fülle von Informationen , mit denen Sie jemanden dauerhaft sperren können, ohne seine IP-Adresse zu verwenden. B. das Suchen und Verwenden der Seriennummern ihrer Hardware als ID (z. B. Motherboard oder sogar MAC [obwohl dies technisch gesehen keine Seriennummer ist]). Sie können es so gestalten, dass Sie ihre ID blockieren können, wenn Sie nicht möchten, dass der Benutzer seine Hardware austauscht (oder einen anderen Computer verwendet), um erneut auf Ihren Dienst zuzugreifen.

Zurück auf die Frage: ISPs verwenden normalerweise auch einen spezifischen Bereich von IPs für dynamische IPs; Wenn ein Benutzer tatsächlich tatsächlich eine dynamische IP hat, können Sie fast darauf wetten, dass er in naher Zukunft wieder denselben IP-Bereich (oder sogar dieselbe IP) verwenden wird.

Ein ISP könnte beispielsweise zwischen 123.46.7x.xxx , 47.91.43.xxx und 93.41.235.xxx wechseln. Mit dieser Logik ist es möglich, die vom Benutzer verwendeten IP Bereiche einfach zu sperren, aber dies führt zu Problemen mit anderen Benutzern, die diese verwenden IP-Bereich.

In meiner Zeit (hauptsächlich Spieleserver) habe ich gesehen, dass viele Systemadministratoren falsch verstehen und denken, dass jedem Benutzer eine statische IP zugewiesen wurde und stellen Sie nicht fest, dass dynamische IPs tatsächlich vorhanden sind. Dies an sich könnte teilweise sein, warum IP-Verbote immer noch verwendet werden.

Ich kann mit Sicherheit zustimmen, dass viele Administratoren das Missverständnis haben, dass IPs statisch sind, da davon ausgegangen wird, dass Sie durch das Verbot einer einzelnen IP einen Benutzer fast dauerhaft sperren (z. B. bis sie einen anderen ISP erhalten).
Ich weiß nicht, dass * irgendwelche * Administratoren den falschen Eindruck haben, dass IPs statisch sind. Wenn ihr Netzwerk in irgendeiner Form angegriffen wird, besteht ihre Priorität darin, es abzuschalten (vorausgesetzt, sie möchten es nicht sehen und zuerst Informationen sammeln), und ein IP-Verbot ist dafür wirksam. Das vorübergehende Sperren einer IP-Adresse mit einem Tool wie fail2ban ist weniger stumpf als das dauerhafte Sperren.
+1 für relevantes Mem
@Craig Ich nehme an, es hängt davon ab, auf welchem Niveau sie sind. Wenn sie ein Profi sind, werden sie wahrscheinlich nicht falsch verstehen, dass nicht alle IPs statisch sind, aber ich kann sehen, warum ein Ametur falsch verstehen würde.
schroeder
2015-08-10 01:13:18 UTC
view on stackexchange narkive permalink

Es gibt einige Annahmen, die Sie identifizieren müssen:

  • Zeit
  • Absicht des Verbots

IP-Adressverbote Es macht keinen Sinn, wenn sie aus von Ihnen angegebenen Gründen eine langfristige Lösung darstellen sollen. Kurzfristig (weniger als ein Tag) können sie sehr effektiv sein.

Wenn Sie sich mit Problemen auf Verkehrsebene befassen müssen, funktioniert ein kurzfristiges Verbot von IP-Adressen sehr gut. Ja, der Angreifer kann seine IP-Adresse leicht ändern, aber ein automatisiertes IP-Adressverbotssystem funktioniert gut (und wird häufig verwendet). Auch dies funktioniert, wenn kurzfristige Verbote verwendet werden.

Ihre Frage scheint besorgt über langfristige Verbote von Kontoproblemen zu sein. Wenn das stimmt, kann ich dir nicht helfen. Ich kann nur vermuten, dass sich ein Architekt, der dies tut, keinen besseren Weg vorstellen kann, um mit dem Problem umzugehen, und ein stumpfes Werkzeug verwendet hat.

Permanente IP-Verbote können in bestimmten Fällen sehr nützlich sein. Angenommen, ich betreibe eine Produktwebsite und versende nur in die USA. Aufgrund meiner Serverprotokolle könnte es sich lohnen, IP-Blöcke aus Asien zu verbannen, von wo aus viele Hack-Versuche kommen. Ja, ich weiß, dass es ungewöhnliche Randfälle gibt, wie zum Beispiel einen Kunden, der gerade in Asien unterwegs ist und das Produkt bestellen möchte, wenn er nach Hause kommt, aber das könnte das Risiko aufgrund von Verkehrsmustern und Hacking-Schwachstellen wert sein.
Sie wetten - und ich mache das Gleiche (Geo-IP-Blockierung). Das OP fragt jedoch nach individuellen IP-Verboten aufgrund eines bestimmten Verhaltens.
ddyer
2015-08-10 00:08:12 UTC
view on stackexchange narkive permalink

Obwohl sie sich ändern, ändern sie sich im Laufe der Zeit langsam. Ein unerwünschter Besucher kann durch Sperren der IP-Adresse kurzfristig heruntergefahren werden. Wenn das Verbot auch nur kurzfristig ist, gibt es keine allgemeine Anhäufung von toten Stellen.

Ich habe jedoch über langfristige Verbote gesprochen (obwohl dies in der Frage nie ausdrücklich erwähnt wurde).
Die Frage wurde bearbeitet.
Ich habe jedoch das Gefühl, dass viele Benutzer, die beim Besuch einer Website den Unsinn "Sie sind verboten" erhalten, es später erneut versuchen, nur wenn sie keine Alternativen haben, insbesondere Benutzer, die nicht technisch, aber in gewissem Maße besorgt über die Sicherheit sind ( Sie sind häufiger als wir denken. Vielleicht "funktionieren" IP-Verbote in dem Sinne, dass sich aus Sicht der Website die Menge und / oder Qualität des Datenverkehrs verbessert, aber aus Sicht der falsch gesperrten guten Benutzer wird dies sicher nicht so aussehen. Ich würde nicht akzeptieren, dass ein einziger guter Benutzer meiner Website erfährt, dass meine Website sie gesperrt hat.
bobstro
2015-08-10 17:43:45 UTC
view on stackexchange narkive permalink

Es wäre durchaus sinnvoll, einen Adressbereich zu sperren, wenn keine Chance besteht, dass legitimer Datenverkehr von diesen Adressen ausgeht. Wie Sie geschrieben haben:

[...] manchmal ist ein Bereich von IP-Adressen gesperrt, wodurch das Verbot unschuldiger Benutzer noch mehr Menschen betrifft.

Sie haben nicht näher erläutert, welche Art von Verboten speziell gelten, aber es gibt keinen Grund, warum IP-DFÜ-Adressbereiche von Verbrauchern aus E-Mails stammen sollten. Daher ist es sinnvoll, den Zugriff einzuschränken, wenn ich über Spam besorgt bin. Wenn Sie nicht erwarten, dass Remotebenutzer von nur wenigen Standorten aus auf Ihr System zugreifen, wird durch das Blockieren anderer Bereiche nur der unechte Datenverkehr reduziert.

Es wäre hilfreich, wenn Sie konkretere Beispiele für genau das liefern könnten, was Sie tun beziehen sich auf. Verbote auf Spieleservern unterscheiden sich stark vom Sperren des Zugriffs auf einen kommerziellen Dienst.

Ich spreche zum Beispiel von der klassischen Situation, dass ein legitimer IRC-Benutzer gesperrt wird, weil ein Server aufgrund eines böswilligen Benutzers, der seinen Router immer wieder neu startet, die Hälfte des IP-Adressbereichs eines Internetdienstanbieters überprüft.
Ich würde das nicht als "Informationssicherheit" -Szenario betrachten, eher als eine willkürliche Verwaltungsentscheidung, die aus einer beliebigen Anzahl willkürlicher Gründe hätte getroffen werden können, und zwar primitiv.
es ist überraschend häufig
Es ist üblich, klar. Aber das "Warum" ist reine Admin-Laune. Niemand hier kann mit Sicherheit sagen, was sie denken, wenn sie es tun. Ihre Frage schien interessanter zu sein, da Sie anscheinend nach der Realisierbarkeit / Wirksamkeit des Verbots einzelner IP-Adressen als * wirksame * Sicherheitsmaßnahme gefragt haben. Was Sie beschreiben, ist nicht, und niemand würde die von Ihnen beschriebenen Praktiken empfehlen, außer vielleicht den Zugriff auf einen Server zu beschränken, der als vorübergehende Maßnahme angegriffen wird. In einem solchen Szenario ist es eine Auswahl kleinerer Übel.
tim
2015-08-10 19:00:29 UTC
view on stackexchange narkive permalink

Verbot statischer IP-Adressen

Statische IP-Adressen wurden bereits erwähnt und sind ein Grund. Sie werden bereits von einigen ISPs angeboten und werden mit zunehmender Nutzung von IPv6 möglicherweise immer beliebter.

Proxies verbieten

In Ihrer Frage gehen Sie davon aus, dass Benutzer dies nicht tun Verwenden Sie keine Proxys und können Sie daher einfach ihre persönliche IP-Adresse ändern. Die meisten Angreifer verwenden jedoch Proxys, damit ein Angriff nicht auf sie zurückgeführt werden kann, und sie können dafür nicht einfach eine neue IP-Adresse erhalten.

Nehmen wir an, ein Angreifer möchte eine Brute-Force ausführen Angriff auf Ihren spezifischen Dienst. Sie sammeln 200 funktionierende Proxies und greifen an. Angenommen, jeder Proxy wird nach fünf Versuchen für eine Stunde blockiert. Das lässt 1000 Vermutungen pro Stunde, was nicht allzu viel ist. Und wenn die IP-Adresse für einen Tag gesperrt ist, sind es nur 1000 Vermutungen pro Tag.

Oder nehmen wir an, ein Angreifer möchte etwas Illegaleres als einen Bruteforce-Angriff ausführen. Möglicherweise möchten sie einen eigenen Proxy auf einem Server einrichten, den sie (anonym) besitzen oder steuern, damit sie sicherstellen können, dass der Proxy ihre Angriffe nicht protokolliert. Abhängig von den Ressourcen des Angreifers verfügen sie möglicherweise nur über eine sehr begrenzte Anzahl dieser Proxys und müssen daher ihren Angriff abbrechen, wenn alle für böswillige Aktivitäten blockiert sind.

Diese Argumentation ändert sich ebenfalls nicht für noch längerfristige Verbote. Je länger die IP-Adresse gesperrt ist, desto mehr Sicherheit wird gewonnen, aber auch legitime Benutzer sind stärker betroffen. Persönlich würde ich nicht länger als eine Stunde für Dienste mit vielen Benutzern verbieten, aber vielleicht für Leute, die höhere Sicherheitsanforderungen haben.

"Statische IP-Adressen wurden bereits erwähnt und sind ein Grund. Sie werden bereits von einigen ISPs angeboten und werden mit zunehmender Nutzung von IPv6 möglicherweise immer beliebter." Es ist unwahrscheinlich, dass ein böswilliger Benutzer eine statische IP-Adresse von seinem ISP anfordert.
@MichealJohnson vielleicht haben sie keine Wahl. Weil ihr ISP keine dynamischen IPs anbietet, weil der WLAN, den sie stehlen, diese nicht anbietet, weil ihr Mitbewohner, der für das Internet bezahlt, eine statische IP benötigt, weil sie bei der Unterzeichnung ihres Vertrags mit ihrem ISP nicht darüber nachgedacht haben , weil ihre Universität keine dynamischen IPs usw. anbietet. Aber ich denke, dass - zumindest für den Moment - der zweite Punkt, den ich erwähne, eher ein Grund ist.
Der Punkt, den ich angesprochen habe, ist, dass es keinen Sinn macht zu sagen, dass "IP-Verbote effektiv sind, weil mehr Benutzer statische IPs anfordern", da diejenigen, die gesperrt werden sollten, wahrscheinlich keine statische IP anfordern, wenn sie die Wahl haben.
@Michael Johnson, Sie scheinen Tims Aussage falsch verstanden zu haben. Er sagte nie "mehr Benutzer fordern statische IPs an." Er sagte nur, dass sie "mit zunehmender Nutzung von ipv6 an Popularität gewinnen könnten". Es scheint ziemlich unwahrscheinlich, dass Endbenutzer es überhaupt wissen oder sich darum kümmern. Wenn statische IPs mit IPV6 immer beliebter werden, liegt dies an den ISP-Präferenzen und nicht an den Anforderungen der Benutzer.
user996142
2015-08-12 23:31:36 UTC
view on stackexchange narkive permalink

Zum Beispiel schalten wir unseren Router jede Nacht aus, sodass sich unsere IP-Adresse häufig morgens ändert. Darüber hinaus reicht häufig ein einfaches Aus- und Wiedereinschalten aus, um die IP-Adresse zu ändern. Daher sind IP-Adressverbote relativ unwirksam.

Diese Aussage ist nicht immer wahr. Ihr ISP gibt Ihnen möglicherweise eine feste IP-Adresse, in einigen Fällen auch. Außerdem haben Sie möglicherweise überhaupt keine öffentliche IP-Adresse (d. H. Verwenden Sie Proxy- oder Quell-NAT). In diesem Fall ist möglicherweise Ihr gesamtes ISP-Netzwerk gesperrt, sodass das Ändern der IP-Adresse in diesem Netzwerk nicht hilfreich ist.

In mehreren Fällen ist ein IP-Verbot eine gute Lösung:

  • Öffnen Auf einigen Hosts ist Proxy oder Open Relay verfügbar. Jeder Spammer kann es verwenden, daher sollte eine solche IP gesperrt werden, es sei denn, der Netzwerkadministrator behebt dieses Problem.
  • Riesiges Netzwerk, an dem Sie nicht sicher interessiert sind. Stellen Sie sich vor, Sie betreiben ein Forum für Ihre lokale Gemeinde (Menschen in Ihrer Stadt). Eines Tages waren Sie einem Spam-Angriff aus einem Land ausgesetzt, das viele tausend Meilen von Ihnen entfernt war. Sie können das gesamte Netzwerk verbieten (sogar mit der / 8 -Maske!), Da Sie sicher sind, dass jemand aus diesem Land Spammer ist. Und Sie haben keine Zeit, Millionen Spammer in diesem Land persönlich zu verbieten. Warum sollten Sie Ihre CPU und Energie dafür ausgeben, sie auch mit Captcha zu versorgen?
  • Ihre Hardware ist schlecht, und jemand dosiert Sie. Es rettet Sie nicht im Falle eines REAL-DDOS-Angriffs (da Millionen von IP-Adressen auf der ganzen Welt verwendet werden), kann Sie jedoch vor Skript-Kiddy mit einem Netzwerk von 10 Computern bewahren.

Im Allgemeinen funktioniert das "dauerhafte Verbot durch geistiges Eigentum" jedoch nicht für öffentliche Dienste. Sie sollten Captcha, vorübergehendes Verbot oder andere Techniken verwenden, um sich vor Spammern zu schützen.

user82886
2015-08-10 00:05:27 UTC
view on stackexchange narkive permalink

Die meisten IP-Adressen ändern sich nicht automatisch. Daher ist es eine gute Möglichkeit, einen Benutzer auf Ihrem Server zu sperren, da sich die IP-Adresse möglicherweise von "XYZ1" zu "XYZ255" ändert. Nach mehrmaliger Änderung der IP-Adresse werden Sie gesperrt, nachdem Ihre IP-Adresse auf "XYZ1" zurückgekehrt ist.

Dynamische IP-Adressen ändern sich nicht unbedingt im / 8-Block, und eine anständige Anzahl von IP-Adressen ändert sich tatsächlich von Zeit zu Zeit automatisch. Außerdem ist es möglich, IP-Bereiche zu verbieten ... Jeder sachkundige Webmaster würde 1.1.1.0/8 blockieren, nicht 1.1.1.1, 1.1.1.2 usw. ... Würde -1, wenn ich könnte.
@SakamakiIzayoi Ich würde auch -1 dies
@SakamakiIzayoi / 8 bedeutet eine 8-Bit-Netzmaske. Mit anderen Worten, 1.1.1.0/8 deckt 1.0.0.0 bis 1.255.255.255 ab. Sie meinten wahrscheinlich / 24, was 1.1.1.0 bis 1.1.1.255 abdecken würde.
@MichaelKjörling Ich meinte / 8, da der Benutzer speziell "X.X.X.1" eingab.
@SakamakiIzayoi - Wenn der Benutzer speziell "X.X.X.1" eingibt, bedeutet dies einen Bereich von IP-Adressen, bei dem sich die ersten drei Teile der IP-Adresse nicht ändern und der dritte Teil alles sein kann (0-255). Also so etwas wie "10.09.08.00" bis "10.09.08.255". Diese Art von Bereich ist "/ 24" (früher "C-Klasse" genannt), nicht "/ 8".
Ich dachte, der Benutzer bezog sich auf den / 8-Block, der durch die 3 führenden X geändert wurde, nicht auf die letzte Ziffer (/ 24). Entschuldigung.
@KevinFegan 10.9.8.0/24 war keine Klasse C im klassischen Routing. Es war ein kleiner Teil des Klasse-A-Netzwerks, das wir jetzt als 10.0.0.0/8 bezeichnen. Wenn das erste Oktett den Wert 0 bis 127 hatte, war dies ein Klasse-A-Netzwerk, das im klassenlosen Routing a / 8 entspricht.
@MichaelKjörling - Ich bin in keiner Weise ein Experte für Netzwerke. Bevor ich meinen Kommentar gepostet habe, habe ich eine Google-Suche durchgeführt, um ihn zu recherchieren, und diese Seite gefunden: http://www.netfilter.org/documentation/HOWTO/networking-concepts- HOWTO-4.html. Diese Seite zeigt an, dass "/ 24" früher "C-Klasse" genannt wurde. Vielleicht liegen sie falsch. Obwohl dies relativ unwichtig (wahrscheinlich sogar irrelevant) ist, habe ich diese "Tatsache" in meinem Kommentar erwähnt. Ich entschuldige mich, wenn das falsch ist.
@SakamakiIzayoi - Ich verstehe ... Dieser Punkt war im Benutzerbeitrag nicht genau klar, da die Verwendung von "X" überall darauf schließen lässt, dass alle 3 "X" alles sein können. Im vollständigen Kontext ist es etwas klarer, aber es wäre besser gewesen, wenn der Benutzer es wie folgt gepostet hätte: ** `" X.Y.Z.0 "` ** bis ** `" X.Y.Z.255 "` **.
@KevinFegan Es ist ein weit verbreitetes Missverständnis (und / oder eine zu starke Vereinfachung), dass (zum Beispiel) "Klasse C" einfach eine Netzwerkmaskenlänge von 24 Bit bedeutete. Klasse-C-Adressen waren IP-Adressen, die mit 110 Binäradressen begannen (erstes Oktett 192 bis 223), und dieser Bereich wurde in 2 ^ 21 Netzwerke mit jeweils 2 ^ 8 Hosts unterteilt. (3 + 21 + 8 = 32 Bit IP-Adresse.) Https://en.wikipedia.org/wiki/Classful_network#Introduction_of_address_classes enthält eine Zusammenfassung und [RFC 791] (https://tools.ietf.org/html) / rfc791) (siehe Seite 24) ist die maßgebliche Referenz.
Vor vielen Jahren verwendeten sie Klassen, um eine Maske zu finden (wie viele Bits sind für das Netzwerk und wie viel für den Host). Das heißt: Wenn Sie "192" als erstes Byte haben, dann ist es "Klasse C" und Sie verwenden 24 Bit für das Netzwerk und 8 für den Host. Aber seit 1993 luden sie "klassenloses Domain-Routing" ein. Sie stellen jetzt die Maske direkt als Anzahl der Bits für das Netzwerk bereit (d. H. "/ 24"), daher sollten Sie jetzt nicht "C-Klasse" sagen. Aber einige Leute sagen immer noch "Klasse C" anstelle von "/ 24".


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...