跳转到内容

User:Cwek/论述/IPv6封锁

维基百科,自由的百科全书

从“用户:意面混凝土”用IPv6发言和跳脸的事,对于IPv6封锁的一些看法:

IPv6的设计理念,允许了一个接入户后面存在一个有多个终端用户的子网,加上SLAAC机制,意味着一个接入户通过ISP接入互联网时,不像IPv4那样只有一个“公共”(还包括NAT444,虽然对于只对外访问的接入户来说,没差别)地址,然后依靠NAT来给内部子网提供对互联网访问,其获得的IPv6地址是一个,而且普遍物理层是以太网体系的情况下,一般是至少/64的子网长度(在以太网体系及SLACC机制下,子网下主机号生成是通过EUI-64将一个48位的链路层MAC地址扩展为64位的网络层IPv6主机位,也就限定了网络号至少要预留64位,即/64;一来很少有ISP会抠门到划分小于/64的地址段,这样会无法实现SLAAC功能;二来更可能会给更大的地址段,例如/60,/58,/56等,方便接入户给其内部大网进一步划分小子网)。也就是一个时间段内,一个破坏者直接使用互联网接入来“破坏”维基百科时,他的IPv6地址一般会在这个/64段范围内,所以如果短时间内要阻止其跳脚的话,封一个/64是最有效的选择。参见mw:Help:Range_blocks/IPv6
另一方面,其用到的2001:B011:3811:29D0:B21D:7B06:FFCC:1C1C、2001:B011:3811:2DF1:619A:DF44:757A:2F16、2001:B011:3811:29D0:B21D:7B06:FFCC:1C1C,按照范围计算是在2001:b011:3800::/43;而根据whois,地址段属于台湾中华电信(HiNET),为2001:b011:3800::/37。根据以往一些“工具”使用情况的观察,HiNET的whois信息似乎不容易区分家庭接入户还是数据中心接入(而且在mw的IPInfo功能信息——这是对接maxmind的GeoIP2数据库,是归类为“家庭”网络)。另外meta的NOP中基金会撰文提过由于P2P型VPN(可以基于家庭网络)对于限制Proxy的困难,也就是存在某些Proxy供应商可以利用P2P网络工具,借用这些家庭类型网络的IPv6地址段来作为访问出口;甚至也存在利用一个IPv6地址段为不同的用户或者程序进程分配不同的IPv6来源地址,来实现规避单一地址封锁的情况。
基于以上,针对IPv6对于接入户的地址段特性,建议管理员在封锁IPv6地址,可以考虑优先按照/64段范围封锁,因为大部分情况下,这一般是一个接入户(如果破坏者躲在这个接入户之中)的IPv6地址范围。考虑到一些无法区分家庭网络地址和数据中心地址(后者更常用于做常见形式的Proxy,前者则有可能用于P2P型或者来源地址变动型的Proxy)的网络地址段,可以考虑适当扩大封禁范围(上面文中提及,64~48是常见于分配给单一接入终端用户的地址范围,47~33常见于一般组织申请的地址范围),而不需要像IPv4那样只封锁一个(/32)地址来避免误伤情况