Administrace komentářů

Blokování IP rozsahů i jednotlivých IP adres je v podstatě nesmysl, protože to nefunguje korektně pro IPv6.

Těžko si lze dnes představit server, který nemá IPv6, pokud ho ovšem neprovozuje dědeček pro účely nostalgie, že ano... Jenže s IPv6 většina způsobů blokování IP adres známých z IPv4 selhává. Zaprvé, ne každá banovací utilita rozumně podporuje IPv6. Zadruhé, u IPv6 se nebavíme o blokování jedné adresy, protože každý útočník si může vygenerovat tolik adres, že se nevejdou do žádné blokovací tabulky ani na disk. Znamená to tedy, že by se v případě IPv6 měly blokovat celé rozsahy? To rovněž není rozumně proveditelné, protože se nedá úplně snadno a rychle zjistit, zda daný útočník má /32, /48, /64 nebo jiný rozsah, a protože v daném rozsahu může být potenciálně spousta dalších počítačů, které do botnetu nepatří a které nechceme odříznout všechny najednou.

Blokování adres má obecně ještě jeden zásadní problém: Proč by někdo věřil IP adresám? IP adresu může podvrhnout kdokoliv, kdo má přístup na některý (z hlediska daného serveru) důležitý router. (Nejbližší router u poskytovatele bude samozřejmě „nejrizikovější“ pro počítače k němu připojené.) IP adresa nepodléhá žádné autentifikaci. Tedy filtrování a blokování na základě IP adres sice může některým útočníkům trochu ztížit práci, ale obecně vzato je neúčinné.

Kryptografická autentifikace (SSH a spousta typů VPN) problém nedůvěryhodnosti IP adres řeší a je to zatím v podstatě jediné řešení tohoto problému, které existuje. (Může ovšem přestat existovat, pokud NSA příliš pokročí s experimenty na kvantových strojích.) Umím si představit případy, ve kterých by filtrování na základě IP adres mohlo částečně pomoct proti některým DDOS útokům, ale SSH mezi ně nepatří.