Pourquoi les gens utilisent-ils des interdictions d'adresses IP alors que les adresses IP changent souvent?
Pourquoi les gens utilisent-ils des interdictions d'adresses IP (par exemple pour bloquer un utilisateur malveillant d'un service Internet) lorsque les adresses IP changent souvent?
Par exemple, nous éteignons notre routeur tous les soirs afin que notre adresse IP change souvent le matin. De plus, un simple cycle d'alimentation suffit souvent pour changer l'adresse IP. Ainsi, les interdictions d'adresses IP sont relativement inefficaces.
D'un autre côté, l'interdiction des adresses IP peut causer beaucoup de problèmes aux utilisateurs innocents qui utilisent les anciennes adresses IP d'un utilisateur malveillant, et parfois une plage d'adresses IP est interdite, ce qui entraîne l'interdiction d'utilisateurs innocents d'affecter encore plus de personnes .
Alors pourquoi les interdictions d'adresses IP sont-elles toujours utilisées?
P.S. Je parle spécifiquement des interdictions de longue durée. Je comprends parfaitement les avantages des interdictions à court terme, par exemple pour bloquer un spam ou une attaque DoS, ou d'autres situations où une brève interruption du trafic malveillant est bénéfique.
Les interdictions d'adresses IP ont des défauts comme vous le mentionnez, mais je pense que la principale raison pour laquelle elles sont utilisées est simplement qu'il n'y a pas vraiment de meilleures alternatives. D'autres fonctionnalités d'identification, comme l'agent utilisateur du navigateur, les cookies, les empreintes digitales du navigateur, etc. sont encore plus faciles à usurper ou à contourner. Il existe de nombreuses extensions que vous pouvez utiliser pour modifier votre agent utilisateur ou votre empreinte digitale, et les cookies peuvent simplement être effacés.
Par exemple, nous éteignons notre routeur tous les soirs afin que notre adresse IP change souvent le matin. De plus, un simple cycle d'alimentation suffit souvent pour changer l'adresse IP. Ainsi, les interdictions d'adresses IP sont relativement inefficaces.
La facilité avec laquelle vous pouvez modifier votre adresse IP dépend fortement du FAI. Par exemple, lorsque j'avais Verizon DSL, mon adresse IP changeait à chaque fois que j'éteignais et rallumais le modem comme vous le décrivez. Mais après être passé à Comcast , mon adresse IP n'a pas changé depuis deux ans, je suis avec eux, même après plusieurs pannes de courant et redémarrages du modem. La solution de contournement du routeur ne fonctionnera donc pas nécessairement pour tout le monde.
Une autre chose que vous devriez considérer est que même si vous faites partie de ces personnes qui peuvent changer votre adresse IP avec un redémarrage, vous obtenez probablement toujours une adresse IP à partir d'un pool d'adresses assez limité. Cela est dû au fait que les FAI n'affectent généralement pas les adresses de manière complètement aléatoire; ils divisent leur zone de service en zones plus petites (par exemple, les quartiers), puis attribuent une petite plage d'adresses à attribuer aux clients dans chaque zone. Donc, s'il y avait un utilisateur vraiment persistant et problématique, un administrateur de site pourrait interdire toute la plage d'adresses (bien que cela puisse causer des problèmes importants aux autres utilisateurs comme vous mention).
Note latérale: Il convient de mentionner qu'il existe d'autres façons de masquer votre adresse IP pour contourner ce problème, comme l'utilisation d'un service VPN ou Tor . Certains sites, comme Wikipedia, essaient de bloquer toutes les adresses IP des proxys publics connus pour contrer cela.
D'autre part, l'interdiction des adresses IP peut causer beaucoup de chagrin aux utilisateurs innocents qui utilisent les anciennes adresses IP d'un utilisateur malveillant, et parfois une plage d'adresses IP est interdite, ce qui entraîne l'interdiction d'utilisateurs innocents d'affecter encore plus de personnes .
Oui, les interdictions d'adresses IP sont un outil contondant et c'est l'un des problèmes inhérents à elles. C'est particulièrement le cas lorsqu'une adresse IP est partagée par des centaines ou des milliers d'utilisateurs dans le même bâtiment, ou même une grande partie d'un nation entière via la classe opérateur NAT . Il est de la responsabilité des administrateurs du site de minimiser les effets des interdictions d'adresses IP sur les utilisateurs légitimes. Diverses mesures peuvent être prises - par exemple, vous pouvez faire un effort pour identifier les adresses IP sont partagées et vous assurer que ces adresses IP ne sont interdites que pendant de courtes périodes, ou faire en sorte que les utilisateurs ayant une certaine réputation minimale puissent toujours se connecter à partir de bannis Les adresses IP et ne sont pas affectées par elles. Si cela est fait correctement, les interdictions d'adresses IP peuvent être très efficaces pour bloquer les utilisateurs indésirables tout en ayant un impact minimal sur les utilisateurs légitimes.
Pourquoi les gens utilisent-ils des interdictions d'adresses IP alors que les adresses IP changent souvent?
Un exemple pratique qui est un énorme retour sur investissement:
Parce que fail2ban ( Wikipedia/fail2ban ) est beaucoup plus rapide et adaptatif que le DHCP ( Erreur serveur, bail DHCP correct) ) latence de renouvellement du FAI d'un attaquant ou d'un robot stupide.
Les interdictions IP sont principalement utilisées parce qu'il n'y a pas vraiment d'autre meilleur moyen d'interdire un utilisateur , surtout s'ils sont en utilisant simplement votre site Web. Oui, beaucoup de adresses IP nationales sont dynamiques (c'est-à-dire qu'elles changent chaque fois que le modem se connecte au FAI), mais vraiment, comment allez-vous vous débarrasser d'un utilisateur, à part les trouver physiquement et les arrêter de cette façon:
Si vous tentez d'empêcher l'IP d'un utilisateur de se connecter à votre serveur via une application client (que vous/votre entreprise avez créée) installée sur sa machine, vous avez accès à une richesse entière d'informations que vous peut utiliser pour interdire définitivement quelqu'un sans en utilisant son adresse IP, comme trouver et utiliser les numéros de série de son matériel comme identifiant (comme la carte mère ou même MAC [bien que techniquement ce ne soit pas une série ]). Vous pouvez faire en sorte que vous puissiez bloquer leur ID si vous ne voulez pas que l'utilisateur, puis il devra remplacer son matériel (ou utiliser un autre ordinateur) pour accéder à nouveau à votre service.
Retour à la question: les FAI utilisent également généralement une plage (s) spécifique (s) des IP pour les IP dynamiques; si un utilisateur fait a en effet une IP dynamique, vous pouvez presque parier qu'il utilisera à nouveau la même plage IP dans un avenir proche (ou même la même IP).
Un FAI pourrait par exemple faire un cycle entre 123.46.7x.xxx, 47.91.43.xxx, et 93.41.235.xxx; en utilisant cette logique, il est possible d'interdire simplement les plages IP que l'utilisateur utilise, mais cela entraînera des problèmes avec d'autres utilisateurs utilisant la même plage IP.
Dans mon temps (principalement des serveurs de jeux), j'ai vu que de nombreux administrateurs système malentendu et pense que chaque utilisateur a une IP statique qui leur est attribuée , et ne réalisez pas que les IP dynamiques existent réellement. En soi, cela pourrait être en partie pourquoi les interdictions IP sont toujours utilisées.
Il y a quelques hypothèses que vous devez identifier:
- temps
- intention de l'interdiction
Les interdictions d'adresses IP n'ont aucun sens si elles sont destinées à être une solution à long terme, pour des raisons que vous identifiez. À court terme (moins d'une journée), ils peuvent être très efficaces.
Lorsque vous devez faire face à problèmes de trafic alors une interdiction d'adresse IP à court terme fonctionne très bien. Oui, l'attaquant pourrait facilement changer son adresse IP, mais un système automatisé d'interdiction des adresses IP fonctionne bien (et est couramment utilisé). Encore une fois, cela fonctionne lorsque vous utilisez des interdictions à court terme.
Votre question semble concerner les interdictions à long terme liées aux comptes. Si c'est vrai, je ne peux pas t'aider. Je peux seulement deviner qu'un architecte qui fait cela ne pouvait pas imaginer une meilleure façon de traiter le problème et a utilisé un outil contondant.
Bien qu'ils changent, ils changent lentement au fil du temps. Un visiteur indésirable peut être fermé à court terme en interdisant l'adresse IP. Si l'interdiction n'est également que de courte durée, il n'y a pas d'accumulation globale de points morts.
Il serait parfaitement raisonnable d'interdire une plage d'adresses s'il n'y a aucune chance que le trafic légitime provienne de ces adresses. Comme vous l'avez écrit:
[...] parfois une plage d'adresses IP est interdite, ce qui entraîne l'interdiction d'utilisateurs innocents pour toucher encore plus de personnes.
Vous n'avez pas précisé quel type d'interdiction en particulier, mais par exemple, il n'y a aucune raison pour que les plages d'adresses IP d'accès à distance des consommateurs soient à l'origine du courrier, donc restreindre leur accès est logique si je suis préoccupé par le spam. Si vous ne vous attendez pas à ce que des utilisateurs distants accèdent à votre système à partir de quelques emplacements seulement, le blocage d'autres plages ne fera que réduire le trafic parasite.
Il serait utile que vous puissiez fournir des exemples plus concrets de ce à quoi vous faites exactement référence. Les interdictions sur les serveurs de jeux sont très différentes du blocage de l'accès à un service commercial.
interdiction des adresses IP statiques
Les adresses IP statiques ont déjà été mentionnées et sont une des raisons. Ils sont déjà proposés par certains FAI et pourraient gagner en popularité à mesure que l'utilisation d'IPv6 augmente.
interdiction des proxys
Dans votre question, vous supposez que les utilisateurs n'utilisent pas de procurations et peuvent donc simplement changer leur adresse IP personnelle. Mais la plupart des attaquants utilisent des proxys afin qu'une attaque ne puisse pas leur être retracée, et ils ne peuvent pas simplement obtenir une nouvelle adresse IP pour cela.
Supposons qu'un attaquant veuille effectuer une attaque par force brute sur votre service spécifique. Ils collectent 200 procurations actives et commencent à attaquer. Disons que chaque proxy est bloqué pendant une heure après cinq tentatives. Cela laisse 1000 suppositions par heure, ce qui n'est pas tant que ça. Et si l'adresse IP est bloquée pendant une journée, ce n'est que 1000 suppositions par jour.
Ou supposons qu'un attaquant veuille faire quelque chose de plus illégal qu'une attaque bruteforce. Ils peuvent vouloir configurer leur propre proxy sur un serveur qu'ils possèdent (de manière anonyme) ou contrôlent, afin qu'ils puissent s'assurer que le proxy ne consigne pas leurs attaques. Selon les ressources de l'attaquant, ils peuvent ne disposer que d'un nombre très limité de ces mandataires, et doivent donc abandonner leur attaque si tous sont bloqués pour des activités malveillantes.
Ce raisonnement ne change pas non plus pour les interdictions à plus long terme. Plus l'adresse IP est interdite, plus la sécurité est renforcée, mais les utilisateurs légitimes sont également plus affectés. Personnellement, je n'interdirais pas plus d'une heure pour les services avec beaucoup d'utilisateurs, mais peut-être les personnes qui ont des besoins de sécurité plus élevés.
Par exemple, nous éteignons notre routeur tous les soirs afin que notre adresse IP change souvent le matin. De plus, un simple cycle d'alimentation suffit souvent pour changer l'adresse IP. Ainsi, les interdictions d'adresses IP sont relativement inefficaces.
Cette affirmation n'est pas toujours vraie. Votre FAI peut vous fournir une adresse IP fixe, et c'est le cas dans certains cas. De plus, vous pouvez ne pas avoir d'IP publique du tout (c'est-à-dire utiliser un proxy ou un NAT source). Dans ce cas, tout votre réseau ISP peut être banni, donc changer l'adresse IP à l'intérieur de ce réseau n'aidera pas.
Il existe plusieurs cas où l'interdiction IP est une bonne solution:
- Un proxy ouvert ou un relais ouvert est disponible sur certains hôtes. Tout spammeur peut l'utiliser, donc cette adresse IP doit être interdite, sauf si l'administrateur réseau résout ce problème.
- Un énorme réseau qui ne vous intéresse pas. Imaginez que vous organisez un forum pour votre communauté locale (les habitants de votre ville). Un jour, vous avez fait face à une attaque de spam d'un pays à plusieurs kilomètres de vous. Vous pouvez interdire l'ensemble du réseau (même par
/8mask!) car vous êtes sûr que quiconque de ce pays est un spammeur. Et vous n'avez pas le temps d'interdire personnellement des millions de spammeurs dans ce pays. Pourquoi devriez-vous dépenser votre processeur et votre puissance pour les servir même avec captcha? - Votre matériel est pauvre et quelqu'un vous dose. Il ne vous sauvera pas en cas d'attaque REAL ddos (car il utilisera des millions d'adresses IP dans le monde entier), mais peut vous sauver de script-kiddy avec un réseau de 10 ordinateurs.
Mais dans les cas généraux, "l'interdiction permanente par la propriété intellectuelle" ne fonctionne pas pour les services publics. Vous devez utiliser le captcha, l'interdiction temporaire ou d'autres techniques pour vous protéger des spammeurs.