Perché le persone usano il divieto di indirizzi IP quando gli indirizzi IP cambiano spesso?

Naviga le tue risposte
83

Perché le persone utilizzano il divieto degli indirizzi IP (ad es. per bloccare un utente malintenzionato da un servizio Internet) quando gli indirizzi IP cambiano spesso?

Ad esempio, spegniamo il router ogni notte, quindi il nostro indirizzo IP cambia spesso al mattino. Inoltre, spesso un semplice ciclo di accensione è sufficiente per modificare l'indirizzo IP. Quindi i divieti degli indirizzi IP sono relativamente inefficaci.

D'altra parte, vietare gli indirizzi IP può causare molto dolore agli utenti innocenti che utilizzano gli ex indirizzi IP di un utente malintenzionato e, a volte, è vietato un intervallo di indirizzi IP, il che fa sì che il divieto di colpire utenti innocenti ancora più persone.

Allora perché gli URL degli indirizzi IP sono ancora usati?

P.S. Mi riferisco specificamente ai divieti a lungo termine. Comprendo perfettamente i vantaggi dei divieti a breve termine, ad es. mettere un blocco su uno spam o attacco DoS, o altre situazioni in cui interrompe brevemente il traffico dannoso è vantaggioso.

    
posta Micheal Johnson 09.08.2015 - 20:41
fonte

9 risposte

87

I divieti dell'indirizzo IP hanno dei difetti, come lei menziona, ma penso che la ragione principale per cui vengono utilizzati è semplicemente che non ci sono alternative migliori. Altre funzionalità di identificazione, come l'agente utente del browser, i cookie, l'impronta digitale del browser, ecc., Sono ancora più facili da spoofare o aggirare. Ci sono molte estensioni che puoi usare per cambiare il tuo user-agent o le tue impronte digitali ei cookie possono essere semplicemente cancellati.

For example, we turn our router off every night so our IP address often changes in the morning. Furthermore, often a simple power-cycle is enough to change the IP address. Thus IP address bans are relatively ineffective.

La facilità con cui è possibile modificare il proprio indirizzo IP dipende strongmente dall'ISP. Ad esempio, quando avevo Verizon DSL, il mio indirizzo IP cambiava ogni volta che spengo il modem e riaccendo solo come quello che descrivi. Ma dopo il passaggio a Comcast , il mio indirizzo IP non è cambiato per tutti i due anni che ho seguito, anche dopo più interruzioni di corrente e riavvii del modem. Quindi la soluzione "riavvio del router" non funzionerà necessariamente per tutti.

Un'altra cosa che dovresti considerare è che anche se sei una di quelle persone che possono cambiare il tuo indirizzo IP con un riavvio, probabilmente otterrai comunque un indirizzo IP da un pool di indirizzi abbastanza limitato. Questo perché gli ISP generalmente non assegnano gli indirizzi in modo completamente casuale; dividono la loro area di servizio in aree più piccole (ad esempio quartieri), quindi assegnano una piccola gamma di indirizzi da assegnare ai clienti in ciascuna area. Quindi, se ci fosse un utente persistente e problematico veramente , un amministratore del sito potrebbe mettere al bando l'intero intervallo di indirizzi (anche se ciò potrebbe causare problemi significativi ad altri utenti come citato).

Nota a margine: vale la pena ricordare che esistono altri modi per mascherare il tuo indirizzo IP che aggirano questo problema, come l'utilizzo di un servizio VPN o Tor . Alcuni siti, come Wikipedia, cercano di bloccare tutti gli indirizzi IP dei proxy pubblici conosciuti per contrastare questo.

On the other hand, banning IP addresses can cause a lot of grief for innocent users who are using the former IP addresses of a malicious user, and sometimes a range of IP addresses is banned thus causing the banning of innocent users to affect even more people.

Sì, i divieti dell'indirizzo IP sono uno strumento smussato e questo è uno dei problemi inerenti a loro. Questo è specialmente il caso in cui un indirizzo IP è condiviso da centinaia o migliaia di utenti nello stesso edificio, o anche gran parte di un nazione intera tramite il livello di NAT via carrier. È responsabilità degli amministratori del sito minimizzare gli effetti del divieto degli indirizzi IP sugli utenti legittimi. È possibile adottare varie misure: ad esempio, è possibile fare uno sforzo per identificare gli indirizzi IP condivisi e assicurarsi che tali indirizzi IP vengano solo bannati per brevi periodi o fare in modo che utenti con una determinata reputazione minima possano ancora accedere da bannati Indirizzi IP e rimangono inalterati da loro. Se fatto bene, i divieti degli indirizzi IP possono essere molto efficaci nel bloccare utenti indesiderati pur avendo un impatto minimo su quelli legittimi.

    
risposta data 09.08.2015 - 21:59
fonte
18

Why do people use IP address bans when IP addresses often change?

Un esempio pratico che rappresenta un enorme ritorno sull'investimento:

Poiché fail2ban ( Wikipedia / fail2ban ) è molto più veloce e adattabile di DHCP ( Server Fault, lease DHCP corretto ) latenza di rinnovo dell'ISP di un aggressore o di uno stupido robot.

    
risposta data 10.08.2015 - 00:22
fonte
12

I divieti IP sono usati principalmente perché in realtà non esiste un modo migliore per vietare un utente , specialmente se stanno semplicemente usando il tuo sito web. Sì, molti indirizzi IP domestici sono dinamici (ovvero cambiano ogni volta che il modem si connette all'ISP), ma in realtà, in che altro modo ti libererai di un utente, a parte trovandoli fisicamente e fermandoli in questo modo:

Se stai tentando di bloccare l'IP di un utente dalla connessione al tuo server tramite un'applicazione client (che tu / la tua azienda ha fatto) installata sul loro computer, hai accesso a una ricchezza totale di informazioni puoi usare per vietare in modo permanente qualcuno senza usando il loro indirizzo IP, come trovare e usare i numeri seriali del loro hardware come un ID (come scheda madre, o anche MAC [anche se tecnicamente non è un seriale] ). Puoi fare in modo che tu possa bloccare il loro ID se non vuoi che l'utente, e quindi dovranno sostituire il loro hardware (o usare un altro computer) per accedere nuovamente al tuo servizio.

Torna alla domanda: gli ISP solitamente usano anche un intervallo / i specifico di IP per gli IP dinamici; se un utente ha ha effettivamente un IP dinamico, puoi quasi scommettere che useranno di nuovo lo stesso intervallo IP nel prossimo futuro (o anche lo stesso IP).

Un ISP potrebbe ad esempio scorrere tra 123.46.7x.xxx , 47.91.43.xxx e 93.41.235.xxx ; utilizzando questa logica, è possibile semplicemente escludere gli IP intervalli che l'utente utilizza, ma ciò causerà problemi con altri utenti che utilizzano lo stesso Intervallo IP.

Nel mio tempo (principalmente i server di gioco) ho visto che molti fraint> e pensano che ogni utente ha un indirizzo IP statico assegnato e non rendersi conto che gli IP dinamici effettivamente esistono. Questo, di per sé, potrebbe essere in parte del perché i divieti IP sono ancora usati.

    
risposta data 11.08.2015 - 00:06
fonte
8

Ci sono alcune ipotesi che devi identificare:

  • tempo
  • intento del divieto

Gli indirizzi IP non hanno senso se sono destinati a essere una soluzione a lungo termine, per ragioni che identificate. A breve termine (meno di un giorno), possono essere molto efficaci.

Quando hai bisogno di gestire problemi a livello di traffico allora un divieto di indirizzo IP a breve termine funziona molto bene. Sì, l'autore dell'attacco potrebbe modificare facilmente il proprio indirizzo IP, ma un sistema di bind automatico dell'indirizzo IP funziona bene (ed è comunemente utilizzato). Ancora una volta, questo funziona quando si utilizzano divieti a breve termine.

La tua domanda sembra essere preoccupata per i divieti a lungo termine relativi all'account. Se è vero, allora non posso aiutarti. Posso solo immaginare che un architetto che fa questo non possa immaginare un modo migliore per affrontare il problema e utilizzare uno strumento contundente.

    
risposta data 09.08.2015 - 22:13
fonte
5

Sebbene cambino, cambiano lentamente nel tempo. Un visitatore indesiderato può essere spento a breve termine vietando l'indirizzo IP. Se il divieto è anche solo a breve termine, non c'è un accumulo totale di punti morti.

    
risposta data 09.08.2015 - 21:08
fonte
2

Sarebbe perfettamente ragionevole vietare un intervallo di indirizzi se non ci sono possibilità che il traffico legittimo abbia origine da tali indirizzi. Come hai scritto:

[...] sometimes a range of IP addresses is banned thus causing the banning of innocent users to affect even more people.

Non hai elaborato in particolare il tipo di ban in particolare, ma per esempio non c'è motivo per cui gli intervalli di indirizzi dial-up IP consumer debbano essere la posta di origine, quindi limitare il loro accesso ha senso se sono preoccupato per lo spam. Se non ti aspetti che gli utenti remoti accedano al tuo sistema da poche località, il blocco di altri intervalli ridurrà solo il traffico spurio.

Sarebbe di grande aiuto se potessi fornire alcuni esempi più concreti di ciò a cui ti riferisci esattamente. I divieti sui server di gioco sono molto diversi rispetto al blocco dell'accesso a un servizio commerciale.

    
risposta data 10.08.2015 - 14:43
fonte
2

Bannaggio degli indirizzi IP statici

Gli indirizzi IP statici sono già stati citati e sono una delle ragioni. Sono già offerti da alcuni ISP e potrebbero guadagnare popolarità con l'aumento dell'utilizzo di IPv6.

Banning Proxies

Nella tua domanda presumi che gli utenti non usino i proxy e possano quindi semplicemente modificare il loro indirizzo IP personale. Ma la maggior parte degli aggressori usa i proxy in modo tale che un attacco non possa essere ricondotto a loro, e non possono semplicemente ottenere un nuovo indirizzo IP per questo.

Diciamo che un utente malintenzionato vuole eseguire un attacco a forza bruta sul tuo servizio specifico. Raccolgono 200 proxy operativi e iniziano ad attaccare. Diciamo che ogni proxy è bloccato per un'ora dopo cinque tentativi. Ciò lascia 1000 congetture all'ora, il che non è poi così tanto. E se l'indirizzo IP è bloccato per un giorno, è solo 1000 tentativi al giorno.

Supponiamo che un utente malintenzionato voglia fare qualcosa di più illegale di un attacco bruteforce. Potrebbero voler impostare il proprio proxy su un server che (in modo anonimo) possiede o controlla, in modo che possano assicurarsi che il proxy non registri i loro attacchi. A seconda delle risorse dell'aggressore, possono avere solo un numero molto limitato di questi proxy e quindi devono interrompere il loro attacco se tutti sono bloccati per attività dannose.

Anche questo ragionamento non cambia per i divieti anche a lungo termine. Più a lungo l'indirizzo IP viene bannato, maggiore sarà la sicurezza, ma anche gli utenti legittimi ne risentiranno maggiormente. Personalmente, non escluderei più di un'ora per servizi con molti utenti, ma forse le persone che hanno esigenze di sicurezza più elevate.

    
risposta data 10.08.2015 - 16:00
fonte
0

For example, we turn our router off every night so our IP address often changes in the morning. Furthermore, often a simple power-cycle is enough to change the IP address. Thus IP address bans are relatively ineffective.

Questa affermazione non è sempre vera. Il tuo ISP può fornirti un indirizzo IP fisso, e lo fa in alcuni casi. Inoltre, potresti non avere alcun IP pubblico (ad esempio utilizzare il proxy o il NAT di origine). In questo caso, tutta la tua rete ISP potrebbe essere bannata, quindi cambiare l'IP all'interno di questa rete non sarà di aiuto.

Ci sono diversi casi in cui il divieto IP è una buona soluzione:

  • Open proxy o open relay è disponibile su alcuni host. Qualsiasi spammer può usarlo, quindi tale IP dovrebbe essere vietato a meno che l'amministratore di rete non risolva questo problema.
  • Una rete enorme di cui non sei certo interessato. Immagina di organizzare forum per la tua comunità locale (persone della tua città). Un giorno hai affrontato un attacco di spam da parte di un paese che si trova a molte miglia da te. Puoi bandire l'intera rete (anche con /8 mask!) Perché sei sicuro che chiunque provenga da questo paese sia uno spammer. E tu non hai il tempo di bandire personalmente milioni di spammer in questo paese. Perché dovresti spendere la tua CPU e potere per servirli anche con captcha?
  • Il tuo hardware è scadente e qualcuno ti dosa. Non ti salverà in caso di REAL ddos attack (perché utilizzerà milioni di indirizzi IP in tutto il mondo), ma potrebbe salvarti da script-kiddy con una rete di 10 computer.

Ma in generale i casi di "divieto permanente per IP" non funzionano per i servizi pubblici. Dovresti usare captcha, divieto temporaneo o altre tecniche per salvarti dagli spammer.

    
risposta data 12.08.2015 - 20:31
fonte
-4

La maggior parte degli indirizzi IP non cambia automaticamente, quindi è un buon modo per bandire un utente sul tuo server perché l'indirizzo IP può cambiare da "X.Y.Z.1" a "X.Y.Z.255" , quindi dopo aver cambiato l'indirizzo IP molte volte, essere bannato dopo che il tuo indirizzo IP è tornato a "X.Y.Z.1" .

    
risposta data 09.08.2015 - 21:05
fonte

Leggi altre domande sui tag

Il pulsante "Accetta cookie" in un sito Web può essere dannoso? Come posso proteggere il mio sito web da bitsquatting?