আইপিভি 6 ঠিকানা নিষিদ্ধ করা হচ্ছে

16

আমি বর্তমানে আইপিভি 4 অ্যাড্রেসগুলি নিষিদ্ধ করে অযাচিত ট্র্যাফিক আমার সার্ভার থেকে দূরে রাখতে ব্যর্থ 2ban এর মতো সরঞ্জামগুলি ব্যবহার করতে অভ্যস্ত: আইপি প্রতি অনেক বেশি খারাপ লগ এন্ট্রি, আইপি নিষিদ্ধ।

তবে বিশ্ব যখন আইপিভি 6-এ স্থানান্তর সম্পূর্ণ করে, একক ঠিকানা নিষিদ্ধ করা সম্ভবত আর কাজ করবে না, যেহেতু একটি "সাধারণ" বোটনেট কম্পিউটার বা আক্রমণকারী বেশ কয়েকটি আইপিভি 6 ঠিকানা রাখে?

আমি যদি আইপিভি 6 ব্যবহারকারীদের অবরুদ্ধ করতে চাই তবে এটি সম্পাদন করার সর্বোত্তম উপায় কী হবে? একটি নির্দিষ্ট আইপি মাস্ক বা অন্য কিছু ব্যবহার করবেন?

আপনি যখন আইপিভি 6 এর মধ্যে একাধিক ব্যক্তিগত হিট পেয়ে পুরো ব্লকটি নিষিদ্ধ করেন তখন "আপসেলিং হিউরিস্টিকস" কীভাবে করবেন?

আমার জন্য হুমকি হ্রাস করা আরও গুরুত্বপূর্ণ। যদি কিছু দুর্বল প্রকৃত ব্যবহারকারী যদি অবরুদ্ধ আইপিগুলির সাথে একই ব্লকের অন্তর্ভুক্ত থাকে তবে সেই নেটব্লকটি সাফ হয়ে যাওয়া সেই লোক এবং তাদের আইএসপি মধ্যে সমস্যা an

ipv6  fail2ban 
মিক্কো ওহতামা
সূত্র

উত্তর:

6

/ 128 প্রতি নিষেধাজ্ঞার আক্রমণ যখন / 64 আকারের সাবনেট ব্যবহার করা হয় তখন স্কেল হয় না। আপনি টেবিলের 2 ^ 64 এন্ট্রি দিয়ে শেষ করবেন, সম্ভাব্যভাবে পরিষেবা অস্বীকারের কারণ হবে।

সর্বশেষ ব্যবহারকারীরা সর্বদা বিশ্বব্যাপী ঠিকানা অ্যাসাইনমেন্ট নীতি অনুযায়ী একটি / 56 পাবেন। ব্যবসায়গুলি সর্বদা বিশ্বব্যাপী ঠিকানার জন্য একটি / 48 পাবে

দেখুন: https://tools.ietf.org/html/rfc6177 / 128 কোনও সার্ভার / ব্যবহারকারীর কাছে কখনই বরাদ্দ করা উচিত নয়, অন্য সত্তার (সার্ভার / ভিপিএস গ্রাহক) ন্যূনতম অ্যাসাইনমেন্টটি একটি / 64 হওয়া উচিত। কোনও সাইটে ন্যূনতম অ্যাসাইনমেন্ট হওয়া উচিত একটি / 56। / 128 গুলি প্রদান মূলত ভাঙ্গা এবং একটি কনফিগারেশন ত্রুটি হিসাবে বিবেচনা করা উচিত।

অতএব আমি প্রতি / temporary৪ টির জন্য অস্থায়ী নিষেধাজ্ঞার প্রস্তাব দিই, একটি সাধারণ শেষ ব্যবহারকারীটির কেবলমাত্র 2 ^ 8/64 এর অ্যাক্সেস থাকবে, এটি নিষিদ্ধকরণ সারণীতে খুব বেশি এন্ট্রি প্রবর্তন করা উচিত নয়।

উইলকো বান হফম্যান
সূত্র
1
একটি /64সমস্যাযুক্ত আইপির কারণে পুরোটিকে অবরুদ্ধ করা বৈধ ব্যবহারকারীদের অবরুদ্ধ করতে চলেছে।
ক্যাস্পারড
1
হ্যাঁ, তবে কেবল তারা যদি একই সাইটে থাকে .. সুতরাং হ্যাঁ, কোনও ব্যবহারকারী ভিএলএএন একটি ভবনের ভিতরেই ব্লক হয়ে যেতে পারে। বা যদি কোনও ভিএম কোনও মেঘে দুর্ব্যবহার করে তবে গ্রাহকের সাথে সম্পর্কিত সমস্ত ভিএম। একাধিক ব্যবহারকারীকে সার্ভারের জন্য একটি / Ass৪ বরাদ্দ করা অনেকভাবেই সমস্যাযুক্ত, এটি ভেঙে গেছে। কিন্তু প্রতি / 64৪ টি ব্লকিংয়ের সার্ভিস অ্যাটাকের পৃষ্ঠার প্রত্যাখ্যান / 128 এর তুলনায় অনেক কম।
উইলকো বান হফম্যান
10

আপনার প্রশ্নের যে কোনও উত্তর অনুমান করা কিছু পরিমাণে জড়িত। আইপিভি dep মোতায়েনগুলি এখনও যথেষ্ট পরিমাণে যা আমরা কেবল এখনও জানি না, হুমকির পরিস্থিতিটি ঠিক কেমন দেখাবে।

বিপুল সংখ্যক আইপিভি 6 ঠিকানা আপনাকে বিবেচনা করতে হবে এমন হুমকির দৃশ্যে একাধিক পরিবর্তন আনবে।

আইপিভি 4 দিয়ে সবার আগে আক্রমণকারীকে সমস্ত 3700 মিলিয়ন রাউটেবল আইপিভি 4 ঠিকানা জুড়ে কিছু সংবেদনশীল পরিষেবার জন্য ডিফল্ট পোর্ট নম্বরটি স্ক্যান করা সম্পূর্ণভাবে সম্ভব। এই জাতীয় নিশানাধীন আক্রমণগুলি IPv6 এর মাধ্যমে সম্ভব নয়। আপনি এখনও যে আক্রমণগুলি দেখেন তাদের আরও লক্ষ্যবস্তু করতে হবে। এর অর্থ আমাদের আক্রমণ পরিচালনার ক্ষেত্রে আরও অনেক কিছু পরিবর্তন করতে হবে কিনা তা এখনও দেখার বিষয়।

লগ বার্তাগুলির উপর ভিত্তি করে আইপি নিষিদ্ধ করার প্রাথমিক উদ্দেশ্যটি হ'ল লগগুলিতে শব্দ কমানো এবং কিছুটা হলেও সিস্টেমের লোড হ্রাস করা। এটি শোষণের বিরুদ্ধে সুরক্ষা হিসাবে কাজ করা উচিত নয়। আক্রমণকারী যিনি দুর্বলতা জানেন তার উপর নিষেধাজ্ঞার নিষেধাজ্ঞার আগে ভিতরে প্রবেশ করা উচিত, যাতে এর থেকে রক্ষা পেতে আপনাকে দুর্বলতাগুলি প্যাচ করতে হয় - ঠিক যেমনটি আপনাকে সর্বদা করতে হয়েছিল।

পৃথক IPv6 ঠিকানা নিষিদ্ধ করা লগগুলিতে শব্দ কমিয়ে আনতে যথেষ্ট sufficient তবে তা প্রদত্ত নয়। কোনও আক্রমণকারী তাদের জন্য প্রতিটি সংযোগের জন্য উপলব্ধ রেঞ্জ থেকে একটি নতুন আইপি ঠিকানা ব্যবহার করতে পারে এমনটি সম্ভাবনা নেই। আক্রমণকারীরা যদি এমন আচরণ করে যে পৃথক আইপিভি 6 ঠিকানা নিষিদ্ধ করা কেবলমাত্র অকার্যকরই হবে না, তবে আপনি অজান্তে ফায়ারওয়াল নিয়মের জন্য সমস্ত স্মৃতি ব্যবহার করে নিজের উপর একটি ডস আক্রমণও করতে পারেন।

প্রতিটি পৃথক আক্রমণকারীর জন্য উপসর্গের দৈর্ঘ্য আপনি জানতে পারবেন না। খুব সংক্ষিপ্ত উপসর্গটি ব্লক করা বৈধ ব্যবহারকারীদেরও কভার করে একটি ডস আক্রমণ করতে পারে। খুব দীর্ঘ উপসর্গটি ব্লক করা অকার্যকর হবে। বিশেষত পাসওয়ার্ড ব্রুট ফোর্স প্রচেষ্টা প্রচুর ক্লায়েন্টের IPv6 ঠিকানা ব্যবহার করতে পারে use

প্রতিটি অনুরোধে আইপিভি 6 ঠিকানা স্যুইচ করা আক্রমণকারীদের বিরুদ্ধে কার্যকর হওয়ার জন্য এবং মেমোরির ব্যবহার কম রাখতে, আপনাকে ব্যাপ্তিগুলি ব্লক করতে হবে এবং উপসর্গের দৈর্ঘ্য আগেই না জানার কারণে আপনাকে প্রিফিক্সের দৈর্ঘ্যগুলি গতিশীলভাবে সামঞ্জস্য করতে হবে।

ইতিমধ্যে ইতিমধ্যে হিউরিস্টিকস নিয়ে আসা সম্ভব। তারা কতটা ভাল কাজ করবে আমরা এখনও জানি না।

প্রতিটি উপসর্গের দৈর্ঘ্যের একটি দৈর্ঘ্যের একটি উপসর্গ ব্লক করতে কতগুলি আইপি লাগে তার একটি প্রান্তিক সংজ্ঞা নির্ধারণ করার জন্য একটি হিউরিস্টিক হবে। এবং ব্লকিং কেবলমাত্র একটি নির্দিষ্ট দৈর্ঘ্যে প্রয়োগ করা উচিত, যদি আরও দীর্ঘ উপসর্গ পর্যাপ্ত না হয়। অন্য কথায় সত্যিকার অর্থে একটি ব্লক শুরু করতে আপনার দুটি অর্ধেকের জন্য পৃথকভাবে অবরুদ্ধ পর্যাপ্ত আইপি দরকার।

উদাহরণস্বরূপ, কেউ সিদ্ধান্ত নিতে পারে যে একটি / 48 ব্লক করার জন্য, দুটি / 49 এর মধ্যে প্রতিটি / 48 তৈরির জন্য 100 টি অবরুদ্ধ আইপি থাকা আবশ্যক। এটিকে ব্লক করার জন্য প্রয়োজনীয় আইপিগুলির সংখ্যা যত বেশি উপসর্গ হবে তত বেশি হবে তবে প্রতিটি ক্ষেত্রে সেগুলি উভয় অর্ধেক জুড়েই ছড়িয়ে দিতে হবে।

kasperd
সূত্র
1
প্রায় 5 বছর পরে, আইপিভি 6 এবং ফেইল 2ban সম্পর্কে কোনও পুনর্বিবেচনা?
পল
2

আপনার একক ঠিকানা নিষিদ্ধ করা উচিত।

শেষ ব্যবহারকারীদের কতগুলি ঠিকানা দেওয়া হবে তা নির্ধারণ করা হয়নি not কিছু আইএসপি একটি সম্পূর্ণ সাবনেট এবং অন্যকে কেবল একটি ঠিকানা দিতে পারে।

পিয়েরে-ইয়ভেস গিলিয়ার
সূত্র
আপনার দ্বিতীয় প্রশ্নের একই উত্তর। আপনি জানেন না যে অন্যদিকে কোন নেটওয়ার্ক সেটআপ সংজ্ঞায়িত করা হয়েছে, আপনি প্রচুর ব্যবহারকারীকে অবরুদ্ধ করতে পারেন।
পিয়েরে-ইয়ভেস গিলিয়ার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.