另一方面,禁止IP地址会给使用恶意用户以前IP地址的无辜用户带来很多麻烦,有时甚至是IP地址被禁止,从而导致无辜用户的禁止甚至影响到更多人。
为什么仍在使用IP地址禁令?
PS我指的是长期禁令。我完全了解短期禁令的优势,例如在垃圾邮件或DoS攻击或其他短暂破坏恶意流量的情况下是有利的。
#1 楼
正如您提到的,IP地址禁令有缺陷,但我认为使用禁令的主要原因是,实际上没有更好的选择。其他识别功能,例如浏览器用户代理,Cookie,浏览器指纹等,甚至更容易被欺骗或规避。您可以使用许多扩展名来更改用户代理或指纹,并且可以清除cookie。例如,我们每晚都关闭路由器,因此IP地址< br经常在早晨改变。此外,通常只需执行一次电源循环就可以更改IP地址。因此,IP地址禁令相对无效。
更改IP地址的难易程度在很大程度上取决于ISP。例如,回到Verizon DSL时,每次关闭调制解调器并重新打开时,我的IP地址都会更改,就像您描述的一样。但是,切换到Comcast之后,即使在多次停电和重新启动调制解调器之后,我的IP地址在整整两年的时间里都没有改变。因此,“路由器重新启动”变通办法不一定适用于所有人。
您应该考虑的另一件事是,即使您是可以通过重新启动来更改IP地址的人之一,您也可以可能仍会从相当有限的地址池中获取IP地址。这是因为ISP通常不会完全随机分配地址;他们将服务区域划分为较小的区域(例如,邻居),然后分配一小部分地址,以分配给每个区域中的客户。因此,如果确实有一个长期存在且有问题的用户,则站点管理员可以禁止整个地址范围(尽管这可能会给您提到的其他用户造成严重的问题)。旁注:值得一提的是,还有其他掩盖IP地址的方法可以解决此问题,例如使用VPN服务或Tor。某些网站,例如Wikipedia,试图阻止已知代理的所有IP地址来应对。
另一方面,禁止IP地址可能会导致很多麻烦
使用恶意用户以前的IP地址的无辜用户,有时会禁止使用一系列IP地址,从而导致
禁止无辜用户影响甚至更多的人。
是的,IP地址禁令是一种钝器,这是其固有的问题之一。当IP地址由运营商级NAT由同一建筑物中的数百或数千个用户甚至整个国家的大部分用户共享时,尤其如此。网站管理员有责任尽量减少IP地址禁令对合法用户的影响。可以采取各种措施-例如,您可以尝试确定IP地址是共享的,并确保仅在短期内禁止使用这些IP地址,或者确保具有一定最低信誉的用户仍然可以从禁止状态登录IP地址,并且不受其影响。如果操作正确,则IP地址禁令可以有效地阻止有害用户,同时对合法用户的影响最小。
评论
不太重要,但仍然存在:临时IP禁止实际上非常有效-如果您只想让用户离开站点一段时间,那么“重新启动连接”解决方法并不会带来太多收益。尤其是在拨号上网的日子里,这可能意味着您需要为重新启动连接付费—例如,我的ISP按小时收费,而夜间通话的费率则不同,因此如果您希望整天连接,从晚上开始并保持运行便宜得多。
–罗安
15年8月10日在14:22
由于IPv4地址短缺,将IP地址列入黑名单的一个日益严重的问题是使用了运营商级NAT。使用CGN从运营商拒绝单个IP地址将拒绝成千上万的用户。
–罗恩·莫平(Ron Maupin)
15年8月10日在14:49
参考您的上一段,例如,如果StackExchange实施了IP禁止,则可以允许信誉超过100的用户登录并避免该禁止。因此,那些讨厌的大学生只是向SE滥发了垃圾邮件,并禁止了整个大学网络,不会影响像我这样的用户,这些用户至少具有101个“受信任”用户的声誉。
–克里斯·西里菲斯(Chris Cirefice)
15年8月10日在15:03
明确地说,我讨厌(长期)IP禁令,因为在大多数情况下,这些禁令对合法(良好)用户造成很大的不便。但是,“选择性”(长期)知识产权禁令(如建议的)如何工作。我的意思是,为了识别用户以确定用户的声誉,您必须允许他们无限期(永远/永远)访问(而不登录),以便他们可以登录。
–凯文·费根(Kevin Fegan)
15年8月10日在18:30
@KevinFegan如果要在防火墙级别禁止IP,那么是的,这将非常困难。但是“禁止”并不一定意味着完全禁止访问-对于大多数网站,论坛等,您可以在应用程序级别禁止,这样,被禁止的IP不能创建新帐户或帖子,但它们仍可以浏览网站或登录证明声誉。
–tlng05
2015年8月10日在19:32
#2 楼
人们为什么在IP地址经常更改的情况下使用IP地址禁止功能?
一个实际的例子,这是巨大的投资回报:
因为
fail2ban
(Wikipedia / fail2ban)比攻击者或愚蠢的机器人的ISP的DHCP(服务器故障,正确的DHCP租约)更新延迟要快得多且具有自适应性。评论
您是对的,但有时最后一英里没有DHCP。例如,PPP有其自己的(IPCP)协议来提供IP地址。因此,在通过以太网或PPPoE进行PPtP VPN的情况下(这在我的国家在10年前很普遍:用于家庭网络的VPN和用于DSL / ATM的PPPoE)不使用DHCP。如果仍然记得,通过调制解调器的PPP(拨号)也是如此。
–user996142
15年8月12日在18:49
#3 楼
IP禁令最常用,是因为实际上没有其他更好的方法来禁止用户,特别是如果他们只是在使用您的网站。是的,很多本地IP地址是动态的(aka,每当调制解调器连接到ISP时,它们就会更改),但实际上,除了物理找到并阻止它们之外,您还打算如何摆脱用户呢?方式:如果您试图阻止用户的IP通过其计算机上安装的客户端应用程序(您/您的公司制造)连接到服务器,您可以使用全部信息来永久禁止某人,而无需使用其IP地址,例如查找并使用其硬件的序列号作为ID(例如主板,甚至是MAC),尽管从技术上讲,这不是序列])。
您可以这样做,以便在不需要用户的情况下可以阻止其ID,然后他们将不得不更换其硬件(或使用另一台计算机)以再次访问您的服务。
回到问题:ISP通常还将特定范围的IP用于动态IP。如果用户确实拥有动态IP,则几乎可以打赌他们会在不久的将来再次使用相同的IP范围(甚至是相同的IP)。
例如,ISP可能会循环在
123.46.7x.xxx
,47.91.43.xxx
和93.41.235.xxx
之间;使用此逻辑,可以简单地禁止用户使用的IP范围,但这会导致使用相同IP范围的其他用户出现问题。我所见(主要是游戏服务器)许多系统管理员会误解并认为每个用户都分配有一个静态IP,却没有意识到动态IP实际上存在。这本身可能就是为什么仍在使用IP禁令的部分原因。
评论
我当然可以同意,很多管理员都误以为IP是静态的,因为假定通过禁止单个IP,您将几乎永久禁止一个用户(例如,直到他们获得了不同的ISP)。
–米歇尔·约翰逊(Micheal Johnson)
15年8月11日在6:49
我不知道任何管理员都误以为IP是静态的。如果他们的网络受到某种形式的攻击,则他们的优先级是将其切断(假设他们不想先观看并收集情报),并且对此实施了IP禁令。使用fail2ban之类的工具暂时禁止IP地址要比永久禁止它更简单一些。
– Craig
15年8月12日在16:29
+1相关的模因
–YetAnotherRandomUser
18年6月21日在1:43
@Craig我想这取决于它们的级别,如果他们是专业人士,那么他们不太可能会误解并不是所有IP都是静态的,但是我明白了为什么ametur会误解。
–AStopher
18年6月21日在8:09
#4 楼
您需要确定一些假设:时间
禁令的意图
IP地址禁令如果旨在出于您确定的原因,应成为长期解决方案。在短期内(不到一天),它们会非常有效。
当您需要处理流量级别的问题时,短期IP地址禁令效果很好。是的,攻击者可以轻松更改其IP地址,但是自动IP地址禁止系统可以很好地工作(并且通常被使用)。同样,这在使用短期禁令时有效。
您的问题似乎与长期的帐户发行禁令有关。如果是这样,那我无能为力。我只能猜测,执行此操作的架构师无法想象解决该问题并使用钝器的更好方法。
评论
永久性IP禁令在特定情况下非常有用。例如,假设我经营一个产品网站,并且仅运送到美国。根据我的服务器日志,可能有必要禁止来自亚洲的IP块,因为我看到了许多黑客尝试。是的,我知道有一些不寻常的情况,例如某个客户当时恰好在亚洲旅行,并想在他回家时订购该产品,但由于交通状况和黑客漏洞,这可能值得承担风险。
–里克·查塔姆
15年8月13日在19:44
您打赌-我做同样的事情(geo-ip阻止)。但是,OP由于特定的行为询问个别的IP禁令。
– schroeder♦
15年8月13日在19:47
#5 楼
尽管它们发生了变化,但是随着时间的推移它们变化缓慢。可以通过禁止IP地址在短期内关闭有害访客。如果该禁令也是短期的,则没有死角的整体积累。评论
但是,我在谈论长期禁令(尽管从未在问题中明确说明这一点)。
–米歇尔·约翰逊(Micheal Johnson)
2015年8月10日在6:41
编辑了问题。
–米歇尔·约翰逊(Micheal Johnson)
15年8月10日在6:46
但是我感到,许多在访问站点时遇到某种“被禁止”废话的用户只有在没有其他选择的情况下才会稍后再试,尤其是那些非技术人员但在某种程度上担心安全性的用户(它们比我们想像的要普遍得多)。从网站的角度来看,也许IP禁止了“工作”,从网站的角度来看,流量的数量和/或质量有所提高,但是从被错误地禁止的良好用户的角度来看,IP肯定不会那样。我不会接受网站的一个好用户被告知我的网站禁止他们。
– SantiBailors
2015年8月11日在10:17
#6 楼
如果没有合法流量来自这些地址的可能性,则禁用一系列地址是完全合理的。如您所写:[...]有时会禁止一系列IP地址,从而导致
禁止无辜用户影响甚至更多的人。
您还没有详细说明哪种禁令,但是例如,没有理由将消费者IP拨号地址范围设为原始邮件,因此如果我担心,限制其访问是有意义的关于垃圾邮件。如果您不希望远程用户只能从几个位置访问系统,则阻止其他范围只会减少虚假流量。
如果您可以提供一些具体的示例,这将有所帮助你指的是禁止游戏服务器与禁止访问商业服务有很大不同。
评论
例如,我谈论的是一个合法的IRC用户被禁止的典型情况,因为一个恶意用户不断重启路由器,导致服务器op g限制了ISP的IP地址范围的一半。
–米歇尔·约翰逊(Micheal Johnson)
2015年8月10日在17:15
我不会考虑“信息安全性”场景,更像是可以出于多种任意原因而做出的任意管理员决定,并且在这种情况下是原始的。
– bobstro
15年8月10日在17:30
这是非常普遍的
–米歇尔·约翰逊(Micheal Johnson)
15年8月10日在20:22
当然,这很常见。但是“为什么”纯粹是管理员的想法。这里没有人可以肯定地说出他们在做什么时的想法。您的问题似乎更有趣,因为您似乎在询问禁止单个IP地址作为一种有效的安全措施的可行性/有效性。您所描述的内容不是,也不是有经验的人会推荐您所描述的做法,只是可能暂时限制对受攻击服务器的访问。在这种情况下,这是一种较小的邪恶选择。
– bobstro
2015年8月10日在20:34
#7 楼
禁止静态IP地址已经提到了静态IP地址,这是原因之一。它们已经由某些ISP提供,随着IPv6的使用增加,它们可能会变得越来越流行。
禁止代理
在您的问题中,您假设用户不使用代理,并且因此可以只更改其个人IP地址。但是,大多数攻击者都使用代理,因此无法追溯到他们的攻击,并且他们不能仅仅为此获得新的IP地址。强行攻击您的特定服务。他们收集了200个工作代理并开始攻击。假设在五次尝试后每个代理都被阻止了一个小时。每小时只剩下1000个猜测,不算什么。而且,如果IP地址一天被阻止,那么每天只能猜测1000次。
或者让我们假设攻击者想要做的事情比暴力攻击更非法。他们可能想在(匿名)拥有或控制的服务器上设置自己的代理,因此可以确保该代理不会记录其攻击。根据攻击者的资源,这些代理可能只具有非常有限的数量,因此,如果所有代理均被恶意活动阻止,则必须中止其攻击。
这种推理也没有更改长期禁令。 IP地址被禁止的时间越长,获得的安全性就越高,但是合法用户的影响也越大。就我个人而言,我不会禁止使用一个多小时的服务来吸引大量用户,但也许确实有更高安全需求的人。
评论
“静态IP地址已经被提及,这是原因之一。一些ISP已经提供了它们,随着ipv6的使用增加,它们可能会越来越流行。”恶意用户不太可能从其ISP大声笑中请求静态IP地址。
–米歇尔·约翰逊(Micheal Johnson)
15年8月10日在17:16
@MichealJohnson也许他们别无选择。因为他们的ISP不提供动态IP,因为他们窃取的局域网不提供动态IP,因为为其互联网付费的室友需要一个静态IP,因为他们在与ISP签订合同时没有考虑到它,因为他们的大学不提供动态IP等。但是,我认为-至少到目前为止-我要提到的第二点更多是一个原因。
–蒂姆
15年8月10日在17:26
我要说的是,没有必要说“ IP禁令是有效的,因为更多的用户正在请求静态IP”,因为应该被禁止的人不太可能会请求静态IP。
–米歇尔·约翰逊(Micheal Johnson)
15年8月10日在20:21
@Michael Johnson,您似乎误解了Tim的说法。他从未说过“更多的用户正在请求静态IP”。他只是说,他们“随着ipv6的使用增加而可能会越来越受欢迎”。最终用户似乎不太可能知道或关心。如果静态IP确实在IPV6中变得更加流行,那将是由于ISP的偏好而不是用户的需求。
–烧烤
15年8月10日在21:05
#8 楼
例如,我们每天晚上都关闭路由器,因此我们的IP地址通常在早晨更改。此外,通常只需一个简单的电源循环就足以更改IP地址。因此,IP地址禁令相对无效。
这种说法并非总是正确的。您的ISP可能会为您提供固定的IP地址,在某些情况下也会提供。另外,您可能根本没有公共IP(即使用代理或源NAT)。在这种情况下,您的所有ISP网络都可能被禁止,因此在该网络内更改IP将无济于事。
在许多情况下,IP禁令是一个很好的解决方案:
在某些主机上可以使用开放代理或开放中继。任何垃圾邮件发送者都可以使用它,因此,除非网络管理员解决此问题,否则应禁止使用此类IP。
您肯定对大型网络不感兴趣。想象一下,您正在为本地社区(镇上的人)运行论坛。有一天,您遇到了某个国家的垃圾邮件攻击,而该国家距您仅数英里之遥。您可以禁止整个网络(甚至通过
/8
掩码!),因为您确定来自该国家/地区的任何人都是垃圾邮件发送者。而且您没有时间亲自禁止该国的数百万垃圾邮件发送者。为什么即使使用验证码也要花费CPU和功能来为其提供服务?您的硬件很差,有人向您道歉。它不会为您带来真正的ddos攻击(因为它将使用世界各地的数百万个IP地址),但可能会使您免于拥有10台计算机网络的脚本缠身。
但总的来说“永久禁止知识产权”的案例不适用于公共服务。您应该使用验证码,临时禁止或其他一些方法来保护自己免受垃圾邮件发送者的侵害。
#9 楼
大多数IP地址不会自动更改,因此这是一种禁止服务器上用户的好方法,因为IP地址可能会从"X.Y.Z.1"
更改为"X.Y.Z.255"
,因此,多次更改IP地址后,返回IP地址后将被禁止到"X.Y.Z.1"
。评论
动态IP地址不一定会在/ 8块上更改,实际上,一定数量的IP地址会不时自动更改。此外,可以禁止IP范围...任何博学的网站管理员都将阻止1.1.1.0/8,而不是1.1.1.1、1.1.1.2等。如果可以的话,将阻止-1。
–阪崎伊予代
15年8月9日在19:47
@SakamakiIzayoi我也-1
–米歇尔·约翰逊(Micheal Johnson)
15年8月10日在6:44
@SakamakiIzayoi / 8表示8位网络掩码。换句话说,1.1.1.0 / 8涵盖了1.0.0.0至1.255.255.255。您可能是指/ 24,它涵盖了1.1.1.0至1.1.1.255。
–用户
15年8月10日在9:22
@MichaelKjörling我的意思是/ 8,因为用户专门键入了“ X.X.X.1”
–阪崎伊予代
15年8月10日在17:18
@KevinFegan这是一个普遍存在的误解(和/或过度简化),例如,“ C类”仅表示24位网络掩码的长度。 C类地址是以110二进制(第一个八位位组192到223)开头的IP地址,该范围被细分为2 ^ 21个网络,每个网络2 ^ 8个主机。 (3 + 21 + 8 = 32位IP地址。)en.wikipedia.org/wiki/…进行了总结,并且RFC 791(请参阅第24页)是权威参考。
–用户
15年8月10日在20:35
评论
人们还会如何将恶意用户踢出网站?并不是他们可以通过用户代理或其他方式禁止...我过去经常在定时器上关闭路由器电源,但经常没有获得新的IP地址。我仍然会关闭路由器,除非我当前正在使用ISP提供的路由器,并且它会在晚上的奇数时间进行固件更新;在更新过程中重启电源会使其变砖。另外,我假设您指的是调制解调器/路由器,而不是连接到单独调制解调器的路由器。
如果ISP为您提供动态IP,则“ IP地址经常更改”。但是,如果它是静态IP,则禁令效果很好(仅)。例如,我以前的提供商为我提供了静态IP,并且几年来一直保持不变。但是我同意IP禁止现在不起作用,因为很少有具有静态IP的ISP。 (为什么?因为Internet连接的设备比IPv4 IP多,并且为它们提供IP的唯一实际方法是使用动态IP ...仍在等待下一个IP替代方案,但请不要使用IPv6 ...)
@Jet您的意思是为它们提供所有IP的唯一实用方法是使用NAT。动态IP仍然是IPv4地址,与静态IP相同。除了它们并不总是像静态设备一样属于同一设备。不过,网络对它们的处理方式相同(某些黑名单除外...)
@Jet我知道你的意思。我只是说静态IP,动态IP就Internet协议而言是一回事。