¿Por qué las personas utilizan las prohibiciones de direcciones IP cuando las direcciones IP cambian a menudo?

82

¿Por qué las personas utilizan las prohibiciones de direcciones IP (por ejemplo, para bloquear a un usuario malintencionado de un servicio de Internet) cuando las direcciones IP cambian con frecuencia?

Por ejemplo, apagamos nuestro enrutador todas las noches, por lo que nuestra dirección IP a menudo cambia en la mañana. Además, a menudo un simple ciclo de energía es suficiente para cambiar la dirección IP. Por lo tanto, las prohibiciones de direcciones IP son relativamente ineficaces.

Por otro lado, prohibir las direcciones IP puede causar mucha aflicción a los usuarios inocentes que usan las antiguas direcciones IP de un usuario malintencionado, y algunas veces se prohíbe un rango de direcciones IP, lo que provoca la prohibición de usuarios inocentes. aún más gente.

Entonces, ¿por qué se siguen utilizando las prohibiciones de direcciones IP?

P.S. Me refiero específicamente a las prohibiciones a largo plazo. Entiendo perfectamente las ventajas de las prohibiciones a corto plazo, por ej. para bloquear un ataque de spam o DoS, u otras situaciones en las que interrumpir brevemente el tráfico malicioso es beneficioso.

    
pregunta Micheal Johnson 09.08.2015 - 20:41
fuente

9 respuestas

87

Las prohibiciones de direcciones IP tienen fallas como usted menciona, pero creo que la razón principal por la que se usan es simplemente que no existen alternativas mejores. Otras características de identificación, como el agente de usuario del navegador, las cookies, la huella digital del navegador, etc. son incluso más fáciles de falsificar o eludir. Hay muchas extensiones que puedes usar para cambiar tu agente de usuario o huella digital, y las cookies simplemente se pueden borrar.

  

Por ejemplo, apagamos nuestro enrutador cada noche para que nuestra dirección IP   Cambios frecuentes en la mañana. Además, a menudo un simple ciclo de potencia.   Es suficiente para cambiar la dirección IP. Así las prohibiciones de direcciones IP son   relativamente ineficaz.

La facilidad con la que puede cambiar su dirección IP depende en gran medida del ISP. Por ejemplo, cuando tenía el DSL de Verizon , mi dirección IP cambiaría cada vez que apagara y volviera a encender el módem. como lo que describas Pero después de cambiar a Comcast , mi dirección IP no ha cambiado durante los dos años completos que llevo con ellos, incluso después Varios cortes de energía y reinicio del módem. Por lo tanto, la solución "reinicio del enrutador" no funcionará necesariamente para todos.

Otra cosa que debes considerar es que incluso si eres una de esas personas que pueden cambiar tu dirección IP con un reinicio, es probable que aún obtengas una dirección IP de un grupo de direcciones bastante limitado. Esto se debe a que los ISP generalmente no asignan direcciones completamente al azar; dividen su área de servicio en áreas más pequeñas (por ejemplo, barrios) y luego asignan un pequeño rango de direcciones para asignar a los clientes en cada área. Entonces, si hubo un realmente usuario persistente y problemático, un administrador del sitio podría prohibir todo el rango de direcciones (aunque esto podría causar problemas importantes para otros usuarios, como usted menciona).

Nota al margen: vale la pena mencionar que hay otras formas de enmascarar su dirección IP que solucionan este problema, como usar un servicio VPN o Tor . Algunos sitios, como Wikipedia, intentan bloquear todas las direcciones IP de proxies públicos conocidos para contrarrestar esto.

  

Por otro lado, prohibir las direcciones IP puede causar mucho dolor por   usuarios inocentes que utilizan las antiguas direcciones IP de un malicioso   usuario, y algunas veces un rango de direcciones IP está prohibido, lo que causa la   Prohibición de usuarios inocentes para afectar a más personas.

Sí, las prohibiciones de direcciones IP son una herramienta contundente y este es uno de los problemas inherentes a ellas. Este es especialmente el caso cuando una dirección IP es compartida por cientos o miles de usuarios en el mismo edificio, o incluso una gran parte de un toda la nación a través de NAT de nivel de operador. Es responsabilidad de los administradores del sitio minimizar los efectos de las prohibiciones de direcciones IP en usuarios legítimos. Se pueden tomar varias medidas: por ejemplo, podría hacer un esfuerzo para identificar las direcciones IP compartidas y asegurarse de que esas direcciones IP solo estén prohibidas por períodos cortos, o hacer que los usuarios con una cierta reputación mínima puedan iniciar sesión desde prohibidos Las direcciones IP y no se verán afectadas por ellas. Si se hace correctamente, las prohibiciones de direcciones IP pueden ser muy efectivas para bloquear usuarios no deseados y tener un impacto mínimo en los legítimos.

    
respondido por el tlng05 09.08.2015 - 21:59
fuente
18
  

¿Por qué las personas utilizan las prohibiciones de direcciones IP cuando las direcciones IP cambian con frecuencia?

Un ejemplo práctico que es un gran retorno de la inversión:

Porque fail2ban ( Wikipedia / fail2ban ) es mucho más rápido y adaptable que DHCP ( Error del servidor, concesión DHCP correcta ) latencia de renovación del ISP de un atacante o un robot estúpido.

    
respondido por el daniel Azuelos 10.08.2015 - 00:22
fuente
12

La mayoría de las prohibiciones de IP se utilizan porque no es realmente otra forma mejor de prohibir a un usuario , especialmente si simplemente están usando su sitio web. Sí, muchas direcciones IP domésticas son dinámicas (es decir, cambian cada vez que el módem se conecta al ISP), pero en realidad, ¿de qué otra manera se librará de un usuario, aparte de Físicamente encontrándolos y parándolos de esa manera:

Si está intentando bloquear la conexión de la IP de un usuario a su servidor a través de una aplicación cliente (que usted o su compañía crearon) instalada en su máquina, tiene acceso a una riqueza completa de información puede usar para prohibir permanentemente a alguien sin usando su dirección IP, como buscar y usar los números de serie de su hardware como una identificación (como una placa base o incluso MAC [aunque eso no es una serie) ). Puede hacerlo para que pueda bloquear su ID si no desea que el usuario, y luego tendrá que reemplazar su hardware (o usar otra computadora) para acceder a su servicio nuevamente.

Volver a la pregunta: los ISP también suelen utilizar un rango (s) específico de IP para IP dinámicas; Si un usuario tiene de hecho tiene una IP dinámica, casi puede apostar a que volverán a usar el mismo rango de IP en un futuro próximo (o incluso la misma IP).

Un ISP podría, por ejemplo, alternar entre 123.46.7x.xxx , 47.91.43.xxx y 93.41.235.xxx ; usando esta lógica, es posible simplemente prohibir el IP rango que usa el usuario, pero esto causará problemas con otros usuarios que usan el mismo Rango de IP.

En mi época (principalmente servidores de juegos) he visto que muchos administradores de sistemas no entienden y piensan que cada usuario tiene una IP estática asignada a ellos , y no se da cuenta de que realmente existen IP dinámicas. Esto, en sí mismo, podría ser en parte de por qué se siguen utilizando las prohibiciones de IP.

    
respondido por el cybermonkey 11.08.2015 - 00:06
fuente
8

Hay algunas suposiciones que debe identificar:

  • tiempo
  • intención de la prohibición

Las prohibiciones de direcciones IP no tienen sentido si pretenden ser una solución a largo plazo, por razones que usted identifica. A corto plazo (menos de un día), pueden ser muy efectivos.

Cuando necesita lidiar con problemas de nivel de tráfico , la prohibición de direcciones IP a corto plazo funciona muy bien. Sí, el atacante podría cambiar su dirección IP fácilmente, pero un sistema automatizado de prohibición de direcciones IP funciona bien (y es comúnmente utilizado). Nuevamente, esto funciona cuando se usan prohibiciones a corto plazo.

Su pregunta parece estar preocupada por las prohibiciones a largo plazo de problemas con la cuenta. Si eso es verdad, entonces no puedo ayudarte. Solo puedo adivinar que un arquitecto que hace esto no podría imaginar una mejor manera de lidiar con el problema y utilizó una herramienta contundente.

    
respondido por el schroeder 09.08.2015 - 22:13
fuente
5

Aunque cambian, cambian lentamente con el tiempo. Un visitante no deseado puede cerrarse a corto plazo prohibiendo la dirección IP. Si la prohibición también es solo a corto plazo, no hay acumulación general de puntos muertos.

    
respondido por el ddyer 09.08.2015 - 21:08
fuente
2

Sería perfectamente razonable prohibir un rango de direcciones si no existe la posibilidad de que el tráfico legítimo se origine en esas direcciones. Como escribiste:

  

[...] a veces se prohíbe un rango de direcciones IP, lo que provoca la   Prohibición de usuarios inocentes para afectar a más personas.

No ha explicado qué tipo de prohibiciones específicamente, pero, por ejemplo, no hay ninguna razón por la que los rangos de direcciones de acceso telefónico IP del consumidor deban ser el correo original, por lo que restringir su acceso tiene sentido si me preocupa el spam. Si no está esperando que los usuarios remotos accedan a su sistema desde una ubicación que no sea unas pocas, el bloqueo de otros rangos solo reducirá el tráfico no deseado.

Le ayudaría si pudiera proporcionar algunos ejemplos más concretos de a qué se refiere exactamente. Las prohibiciones en los servidores de juegos son muy diferentes a bloquear el acceso a un servicio comercial.

    
respondido por el bobstro 10.08.2015 - 14:43
fuente
2

Prohibición de direcciones IP estáticas

Las direcciones IP estáticas ya se mencionaron y son una de las razones. Algunos proveedores de servicios de Internet ya los ofrecen y pueden ganar popularidad a medida que aumenta el uso de IPv6.

Prohibir proxies

En su pregunta, usted asume que los usuarios no usan proxies y, por lo tanto, solo pueden cambiar su dirección IP personal. Pero la mayoría de los atacantes usan proxies para que un ataque no se pueda rastrear hasta ellos, y no pueden obtener una nueva dirección IP para eso.

Digamos que un atacante quiere realizar un ataque de fuerza bruta en su servicio específico. Recolectan 200 proxies de trabajo y comienzan a atacar. Digamos que cada proxy está bloqueado durante una hora después de cinco intentos. Eso deja 1000 conjeturas por hora, lo cual no es tanto. Y si la dirección IP está bloqueada por un día, solo son 1000 conjeturas por día.

O supongamos que un atacante quiere hacer algo más ilegal que un ataque de fuerza bruta. Es posible que deseen configurar su propio proxy en un servidor que (de forma anónima) posee o controla, para que puedan asegurarse de que el proxy no registra sus ataques. Dependiendo de los recursos del atacante, es posible que solo tengan un número muy limitado de estos proxies y, por lo tanto, deben abortar su ataque si todos están bloqueados por actividad maliciosa.

Este razonamiento tampoco cambia incluso para prohibiciones a largo plazo. Cuanto más tiempo esté prohibida la dirección IP, más seguridad se gana, pero los usuarios legítimos también se ven más afectados. Personalmente, no prohibiría más de una hora los servicios con muchos usuarios, pero quizás las personas que tienen mayores necesidades de seguridad.

    
respondido por el tim 10.08.2015 - 16:00
fuente
0
  

Por ejemplo, apagamos nuestro enrutador todas las noches, por lo que nuestra dirección IP a menudo cambia en la mañana. Además, a menudo un simple ciclo de energía es suficiente para cambiar la dirección IP. Por lo tanto, las prohibiciones de direcciones IP son relativamente ineficaces.

Esta afirmación no siempre es cierta. Su ISP puede proporcionarle una dirección IP fija, y lo hace en algunos casos. Además, es posible que no tenga ninguna IP pública (es decir, use proxy o NAT de origen). En este caso, toda la red de su ISP puede estar prohibida, por lo que cambiar la IP dentro de esta red no ayudará.

Hay varios casos en los que la prohibición de IP es una buena solución:

  • Abrir proxy o abrir relé está disponible en algunos hosts. Cualquier spammer puede usarlo, por lo que dicha IP debe ser prohibida a menos que el administrador de la red solucione este problema.
  • Gran red en la que no estás interesado, seguro. Imagina que estás ejecutando un foro para tu comunidad local (gente de tu ciudad). Un día enfrentaste un ataque de spam desde algún país a muchas millas de ti. Puede prohibir toda la red (¡incluso con /8 enmascarado!) Porque está seguro de que cualquier persona de este país es spammer. Y no tiene tiempo para prohibir a millones de spammers en este país personalmente. ¿Por qué debería gastar su CPU y potencia para servirlos incluso con captcha?
  • Tu hardware es pobre y alguien te administra una dosis. No te salvará en caso de un ataque REAL de ddos (porque usará millones de direcciones IP en todo el mundo), pero puede salvarte de script-kiddy con 10 redes de computadoras.

Pero en general, los casos de "prohibición permanente por IP" no funcionan para los servicios públicos. Debería usar captcha, prohibición temporal o alguna otra técnica para evitar los spammers.

    
respondido por el user996142 12.08.2015 - 20:31
fuente
-4

La mayoría de las direcciones IP no cambian automáticamente, por lo que es una buena manera de prohibir a un usuario en su servidor porque la dirección IP puede cambiar de "X.Y.Z.1" a "X.Y.Z.255" , así que después de cambiar la dirección IP muchas veces, será prohibido después de que su dirección IP regrese a "X.Y.Z.1" .

    
respondido por el user82886 09.08.2015 - 21:05
fuente

Lea otras preguntas en las etiquetas