Vlákno názorů k článku Základy nasazení IPv6: od získání adres až po síť pro hosty od Bezejména - Já mám jeden důvod k odporu. Čas od...

Já mám jeden důvod k odporu. Čas od času, jednou za půl roku, mám na svém prostém serveru takový menší "script kiddie" ddos. Nejvíce to snad kolem 500 IP adres, které scrapovali na více vláknech a bez pauz, vyšplhalo by se to na několik stovek tisíc requestu za minutu. Automatika to vyřešila bany jednotlivým IPv4 adresám.

Ve světe kde je IPv6 přidělováno různé, někteří klienti mají rozsah pár IP, někteří obrovský subnet, nelze rozumně udat co je a co není IP adresa koncového klienta a co celé město.

Ve výsledku pokud by někdo zkoušel ddos z na IPv6 bude mít namísto 500ti zdrojových IP třeba 100 tisíc a automatika nebude vědět co vše banovat.

Takže, příznivci, kde je řešení pro mě jako provozovatele serveru s pár weby?

Ano, IPv6 adres je mnohem vic. Podobny problem mate ale i u ctyrky - taky nevite, kolik adres ten utocnik ma. Nebo naopak bloknete jednu IP adresu a na te je treba NAT a misto jednoho zarizeni zablokujete desitky jinych.

Jak moc tohle bude velky problem se uvidi casem

Banoval bych po /64 a když jich bude víc z jednoho /48 tak bych zabanoval /48.

U IPv4 taky máte riziko že postupně zabanujete celý CGNAT třeba Vodafonu, kde je náhodné množství lidí s náhodnými adresami.

Zcela běžně se banuje /64, či odvážnější /56 a někteří, co na to jdou hodně hustě klidně rovnou /48.
Můžete samozřejmě kombinovat block a rate limit na prefix. S běžnými nástroji přímo v Linuxu by to neměl být problém realizovat.