web-dev-qa-db-ja.com

IPアドレスが頻繁に変更されるのに、なぜ人々はIPアドレス禁止を使用するのですか?

IPアドレスが頻繁に変更されるのに、なぜ人々はIPアドレスの禁止(たとえば、悪意のあるユーザーをインターネットサービスからブロックするため)を使用するのですか?

たとえば、毎晩ルーターの電源を切るため、朝にIPアドレスが頻繁に変更されます。さらに、多くの場合、IPアドレスを変更するには、単純な電源の再投入で十分です。したがって、IPアドレスの禁止は比較的効果がありません。

一方、IPアドレスを禁止すると、悪意のあるユーザーの以前のIPアドレスを使用している無実のユーザーに多くの悲しみをもたらす可能性があり、IPアドレスの範囲が禁止されることにより、無実のユーザーの禁止がさらに多くの人々に影響を与える。

それでは、なぜIPアドレス禁止がまだ使用されているのですか?

追伸私は特に長期的な禁止について言及しています。私は短期間の禁止の利点を完全に理解しています。スパムやDoS攻撃、または悪意のあるトラフィックを一時的に妨害することが有益であるその他の状況をブロックする。

ip
85
Micheal Johnson

IPアドレスの禁止には、あなたが言及するように欠陥がありますが、それらが使用される主な理由は、実際にはより良い代替手段がないということだけです。ブラウザのユーザーエージェント、Cookie、ブラウザの指紋など、その他の識別機能は、なりすましや回避がさらに容易です。ユーザーエージェントや指紋を変更するために使用できる拡張機能はたくさんあり、Cookieは簡単に消去できます。

たとえば、毎晩ルーターの電源を切るため、朝にIPアドレスが頻繁に変更されます。さらに、多くの場合、IPアドレスを変更するには、単純な電源の再投入で十分です。したがって、IPアドレスの禁止は比較的効果がありません。

IPアドレスを簡単に変更できるかどうかは、ISPに大きく依存します。たとえば、 Verizon DSLを使用していたときは、モデムの電源をオフにしてからオンに戻すたびに、IPアドレスが変更されていました。しかし Comcast に切り替えた後、複数回の停電やモデムの再起動後も、私のIPアドレスは2年間ずっと変化していません。したがって、「ルーターの再起動」の回避策は、必ずしもすべての人にとって機能するとは限りません。

考慮すべきもう1つのことは、リブートでIPアドレスを変更できるユーザーの1人であっても、かなり限定されたアドレスのプールからIPアドレスを取得している可能性があるということです。これは、ISPが一般に完全にランダムにアドレスを割り当てるわけではないためです。サービスエリアをより小さなエリア(近隣など)に分割し、各エリアの顧客に割り当てるために狭い範囲のアドレスを割り当てます。したがって、reallyの永続的で問題のあるユーザーがいる場合、サイト管理者はアドレス範囲全体を禁止できます(ただし、これにより、他のユーザーに重大な問題が発生する可能性があります言及)。

注意:この問題を回避するには、VPNサービスや Tor を使用するなど、IPアドレスをマスクする他の方法があることに言及する価値があります。 Wikipediaのような一部のサイトは、既知のパブリックプロキシのすべてのIPアドレスをブロックしてこれに対抗しようとします。

一方、IPアドレスの禁止は、悪意のあるユーザーの以前のIPアドレスを使用している無実のユーザーに多大な悲しみをもたらす可能性があり、時にはIPアドレスの範囲が禁止されるため、無実のユーザーの禁止がさらに多くの人々に影響を与える。

はい、IPアドレスの禁止は率直なツールであり、これはそれらに固有の問題の1つです。これは、IPアドレスが同じ建物内の数百または数千のユーザーによって共有されている場合、または 国全体 のキャリアグレード [〜#〜 ] nat [〜#〜] 。正当なユーザーに対するIPアドレスの禁止の影響を最小限に抑えることは、サイト管理者の責任です。さまざまな対策を講じることができます。たとえば、IPアドレスが共有されていることを特定し、それらのIPアドレスが短期間のみ禁止されるようにするか、特定の最低レピュテーションを持つユーザーが引き続き禁止された状態からログインできるようにすることができます。 IPアドレスであり、影響を受けません。正しく実行すれば、IPアドレスの禁止は、正当なユーザーへの影響を最小限に抑えながら、不要なユーザーをブロックするのに非常に効果的です。

88
tlng05

IPアドレスが頻繁に変更されるのに、なぜ人々はIPアドレス禁止を使用するのですか?

投資収益率が非常に高い実例:

fail2banWikipedia/fail2ban )は [〜#〜] dhcp [〜#〜]サーバー障害、正しいDHCPリース)よりもはるかに高速で適応性があります )攻撃者または愚かなロボットのISPの更新待ち時間。

19
dan

ユーザーを禁止する他の方法(-===-)がない方法がないため、IP禁止が主に使用されます特に彼らが単に使用している場合あなたのウェブサイト。はい、かなりの数の国内IPアドレスは動的です(つまり、モデムがISPに接続するたびに変化します)が、実際には、他にどのようにしてユーザーを排除するのでしょうか。それらを物理的に見つけ、そのように停止する:

enter image description here

ユーザーのマシンにインストールされているクライアントアプリケーション(あなた/あなたの会社が作成したもの)を介してユーザーのIPがサーバーに接続するのをブロックしようとしている場合は、全資産の情報にアクセスできます。誰かを恒久的に禁止するにはなしハードウェアのシリアル番号を見つけてIDとして使用するなど、IPアドレスを使用します(マザーボード、MACなど[技術的にはシリアルではありません])。ユーザーが不要な場合はユーザーのIDをブロックできるようにしておくと、ハードウェアを交換(または別のコンピューターを使用)してサービスに再度アクセスする必要があります。

質問に戻ります。ISPは通常、動的IPにIPの特定の範囲も使用します。ユーザーdoesが実際に動的IPを持っている場合、近い将来再び同じIP範囲(または同じIP)を使用するようになる可能性があります。

ISPは、たとえば、123.46.7x.xxx47.91.43.xxx93.41.235.xxx;このロジックを使用すると、ユーザーが使用するIPrangesを単純に禁止することができますbutこれにより、同じIP範囲を使用する他のユーザーに問題が発生します。

私の時代(主にゲームサーバー)で、多くのシステム管理者misunderstandおよびすべてのユーザーに静的IPが割り当てられていると思います、そして動的IPが実際に存在することを理解していません。これ自体、--- IP禁止がまだ使用されている理由の一部である可能性があります。

12
AStopher

識別する必要があるいくつかの前提条件があります。

  • 時間
  • 禁止の意図

IPアドレスの禁止は、ユーザーが特定した理由により、長期的な解決策を意図している場合には意味がありません。短期間(1日未満)では、非常に効果的です。

トラフィックレベルの問題に対処する必要がある場合、短期的なIPアドレスの禁止は非常にうまく機能します。はい、攻撃者はIPアドレスを簡単に変更できますが、自動化されたIPアドレス禁止システムは適切に機能します(一般的に利用されています)。繰り返しますが、これは短期間の禁止を使用するときに機能します。

あなたの質問は、長期にわたるアカウント発行禁止について懸念しているようです。それが本当なら、私はあなたを助けることができません。私が推測できるのは、これを行うアーキテクトが問題に対処するためのより良い方法を想像できず、鈍いツールを使用したことです。

8
schroeder

それらは変化しますが、時間とともにゆっくりと変化します。不要な訪問者は、IPアドレスを禁止することにより、短期的にシャットダウンできます。禁止も短期的なものであれば、デッドスポットの全体的な蓄積はありません。

5
ddyer

正当なトラフィックがこれらのアドレスから発信される可能性がない場合、そのアドレス範囲を禁止することは完全に合理的です。あなたが書いたように:

[...]時々、ある範囲のIPアドレスが禁止されるため、無実のユーザーの禁止がさらに多くの人々に影響を及ぼします。

具体的にどのような禁止事項について詳しく説明していませんが、たとえば、コンシューマIPダイヤルアップアドレス範囲がメールを発信する必要がある理由はないため、スパムについて懸念がある場合は、アクセスを制限することは理にかなっています。リモートユーザーがいくつかの場所以外からシステムにアクセスすることを期待していない場合は、他の範囲をブロックしても偽のトラフィックが減るだけです。

あなたが正確にあなたが言及しているもののいくつかのより具体的な例を提供できればそれは助けになるでしょう。ゲームサーバーの禁止は、商用サービスへのアクセスをブロックすることとは大きく異なります。

2
bobstro

静的IPアドレスの禁止

静的IPアドレスはすでに言及されており、それが1つの理由です。これらはすでに一部のISPによって提供されており、IPv6の使用が増えるにつれて人気が高まる可能性があります。

禁止プロキシ

あなたの質問では、ユーザーはプロキシを使用せず、個人のIPアドレスを変更できると想定しています。しかし、ほとんどの攻撃者はプロキシを使用しているため、攻撃を追跡できず、そのための新しいIPアドレスを取得することはできません。

攻撃者が特定のサービスに対してブルートフォース攻撃を実行したいとします。彼らは200の動作中のプロキシを収集して攻撃を開始します。 5回試行した後、各プロキシが1時間ブロックされたとします。これは、1時間あたり1000の推測を残します。また、IPアドレスが1日間ブロックされている場合、1日あたりの推測は1000です。

または、攻撃者がブルートフォース攻撃よりも違法なことをしたいとします。彼らは、(匿名で)所有または制御しているサーバー上に独自のプロキシを設定して、プロキシが攻撃をログに記録しないようにすることができます。攻撃者のリソースによっては、これらのプロキシの数が非常に限られている可能性があるため、すべての悪意のあるアクティビティがブロックされている場合、攻撃を中止する必要があります。

この推論は、さらに長期間の禁止に対しても変わりません。 IPアドレスの禁止期間が長いほど、セキュリティは向上しますが、正当なユーザーへの影響も大きくなります。個人的には、多くのユーザーがいるサービスを1時間以上禁止するつもりはありません。

2
tim

たとえば、毎晩ルーターの電源を切るため、朝にIPアドレスが頻繁に変更されます。さらに、多くの場合、IPアドレスを変更するには、単純な電源の再投入で十分です。したがって、IPアドレスの禁止は比較的効果がありません。

このステートメントは常に正しいとは限りません。 ISPが固定IPアドレスを提供する場合がありますが、場合によってはそれが提供されます。さらに、パブリックIPがまったくない場合があります(つまり、プロキシまたはソースNATを使用します)。この場合、すべてのISPネットワークが禁止される可能性があるため、このネットワーク内のIPを変更しても効果がありません。

IP禁止が適切なソリューションである場合がいくつかあります。

  • 一部のホストでは、オープンプロキシまたはオープンリレーを使用できます。どんなスパマーもそれを使うかもしれないので、ネットワーク管理者がこの問題を修正しない限り、そのようなIPは禁止されるべきです。
  • 確かに興味がない巨大なネットワーク。あなたがあなたの地元のコミュニティ(あなたの町の人々)のためにフォーラムを運営していると想像してください。ある日、あなたは何マイルも離れた国からのスパム攻撃に直面しました。ネットワーク全体を禁止することもできます(/8 mask!)この国の誰もがスパマーであると確信しているためです。そして、あなたはこの国で何百万人ものスパマーを個人的に禁止する時間はありません。 captchaを使用する場合でも、なぜCPUとパワーを使ってそれらを提供する必要があるのですか
  • あなたのハードウェアは貧弱で、誰かがあなたを怒らせます。 REAL ddos​​攻撃の場合は(世界中で何百万ものIPアドレスを使用するため)、それはあなたを救うことはできませんが、10台のコンピューターネットワークでスクリプトキディからあなたを救うかもしれません。

しかし、一般的なケースでは、「IPによる恒久的な禁止」は公共サービスでは機能しません。キャプチャ、一時的な禁止、または他のいくつかの手法を使用して、スパマーから身を守る必要があります。

0
user996142