Поможет ли IPv6 спамерам? - PullRequest
Новая
       34

Поможет ли IPv6 спамерам?

5 голосов
/ 27 января 2011

Большая (основная) часть разработки веб-приложения состоит в том, чтобы сделать его защищенным от злоупотреблений, а точнее от спамеров.

Я только что заметил, что сегодняшним спам-ботам удается запросить форму, заполнить ее, отправить и повторно отправить ее (например, в случае, если CMS запрашивает дополнительную информацию, прежде чем принимать данные формы) ... все с разных адресов IPv4.

Во-первых, два дополнительных вопроса:

  • Какие методы они используют для маршрутизации разных запросов, принадлежащих одному и тому же сеансу (отправка формы) через разные IP-адреса, все в течение секунд?
  • Я мог бы закодировать хеш на основе IP, чтобы проверить, совпадают ли IP-адрес, запрашивающий форму, и тот, который ее отправляет; но: есть ли законная причина, по которой пользователь (т.е. не спамер) может захотеть отправить форму с IP-адреса, отличного от того, который ее запросил?

Тогда, к сути этого вопроса:

С учетом практически неограниченного количества адресов, облегчит ли спамер IPv6 жизнь веб-мастеров и разработчиков веб-приложений?

Может быть, у всех конечных пользователей будет свой собственный статический IPv6, и это хорошо для нас, потому что мы можем легче блокировать пользователей, чьи машины скомпрометированы.

Или спаммеры могут продолжать атаковать нас с разных сторон, никогда не используя один и тот же IPv6 дважды ... Я не слишком уверен, как это будет работать технически, тем более что я даже не понимаю, как это работает с IPv4. *

Вопрос задается более или менее в тот день, когда адреса IPv4 исчерпаны на верхнем уровне .

Ответы [ 4 ]

4 голосов
/ 28 января 2011

Короткий ответ: IPv6, вероятно, облегчает, а не затрудняет остановку спамеров.

Для уточнения: хотя IPv6 позволяет хостам циклически проходить через практически неограниченное количество RFC 4941 адресов конфиденциальности, с которых можно устанавливать соединения с вашим веб-приложением, хорошая новость заключается в том, что 64-битная сетевая идентификация их адреса могут быть довольно разумно сопоставлены с довольно статическим идентификатором подписчика.

С другой стороны, в отношении IPv4 ситуация вскоре начнет выглядеть довольно мрачной. Поскольку все больше интернет-провайдеров начинают сталкиваться с исчерпанием адресов IPv4 путем объединения подписчиков за крупномасштабными шлюзами NAT, вы потеряете возможность обрабатывать подписчиков так, как если бы у каждого из них был уникальный идентификатор в их адресе IPv4. В какой-то момент спаммеры будут использовать это в своих интересах против вас, и ваш выбор будет заключаться в том, чтобы отрезать обширные участки невинных пользователей IPv4, проходящих через шлюзы NAT, где находится множество скомпрометированных хостов, или улучшить обнаружение и удаление спама. после факта.

2 голосов
/ 22 ноября 2011

IP-адреса могут изменяться во время заполнения формы из-за изменений топологии сети, например, если ноутбук отключен от службы Wi-Fi на железнодорожной станции и подключен к услуге Wi-Fi на поезде.Многодомный хост может изменить адрес источника случайно или в ответ на протоколы маршрутизации.

2 голосов
/ 03 июня 2011

Ну, некоторые пользователи, вероятно, будут использовать статические адреса IPv6 для запросов http; другие не будут.

Взгляните на [некоторые из] адресов IPv6 в главном интерфейсе компьютера, с которого я отправляю сообщения: 

C:\>netsh interface ipv6 show address interface=4 level=normal
Querying active state...


Interface 4: Local Area Connection

Addr Type  DAD State  Valid Life   Pref. Life   Address
---------  ---------- ------------ ------------ -----------------------------
[...]
Temporary  Preferred     23h59m47s     3h59m47s 2001:4830:16c0:0:f51c:8f47:26ff:596b
Temporary  Deprecated    23h59m47s           0s 2001:4830:16c0:0:8d09:1a8:6039:548b
Temporary  Deprecated    23h59m47s           0s 2001:4830:16c0:0:954b:fd2d:6528:a6b2
Temporary  Deprecated    23h59m47s           0s 2001:4830:16c0:0:4c27:9415:e1cc:5a5a
Temporary  Deprecated    23h59m47s           0s 2001:4830:16c0:0:951f:b93:b21e:1d97
Temporary  Deprecated    23h59m47s           0s 2001:4830:16c0:0:59c3:d575:189e:4fbb
Temporary  Deprecated     6h32m45s           0s 2001:4830:16c0:0:f838:1133:38d0:894c
Public     Preferred     23h59m47s     3h59m47s 2001:4830:16c0:0:20b:dbff:fe26:9fc5
Link       Preferred      infinite     infinite fe80::20b:dbff:fe26:9fc5
No entries were found.

(я пропустил некоторые другие адреса, которые могли бы только ввести в заблуждение.)

Обратите внимание, что в дополнение к адресу "Link", есть "Public" адрес и группа "временных" адресов (большинство из которых "устарели").

Адрес "Link" - это просто локальный адрес интерфейса, который используется для различных локальных административных разговоров. (Как следует из названия, его можно использовать только для связи с другими хостами по той же «ссылке»; его нельзя использовать в трафике, который должен маршрутизироваться.) 

naesten@hydrogen:~% ipv6calc -i fe80::20b:dbff:fe26:9fc5 2>/dev/null
Address type: unicast, link-local
Registry for address: reserved
Interface identifier: 020b:dbff:fe26:9fc5
EUI-48/MAC address: 00:0b:db:26:9f:c5
MAC is a global unique one
MAC is an unicast one
OUI is: Dell ESG PCBA Test

Как видите, идентификатор интерфейса (правая 64-битная половина) этого адреса напрямую основан на MAC-адресе интерфейса.

Другие показанные адреса были из моей подсети, предоставленной Sixxs, 2001:4830:16c0::/48, хотя, к сожалению, они сейчас не работают, потому что точка присутствия не работает.

«Открытый» адрес просто соединяет префикс вместе с тем же идентификатором интерфейса, что и в локальном адресе ссылки, и неудивительно (учитывая имя), что это адрес, который серверы и долго работающие одноранговые программы одноранговой связи обычно слушают.

А как насчет этих «временных» адресов?

Теперь о загадочном бите: для чего все эти другие адреса и откуда они берутся?

Ответ можно найти в RFC 4941 - Расширения конфиденциальности для автоматической настройки адреса без учета состояния в IPv6 . Видите ли, оказывается, что использование одного и того же идентификатора интерфейса в ваших IP-адресах навсегда позволяет злоумышленникам действительно «коррелировать, казалось бы, не связанную деятельность» (устраняя необходимость в «отслеживании файлов cookie», а также позволяя объединять собранные данные независимо друг от друга). позже).

Решением является использование временных IPv6-адресов для большинства соединений. В любой момент времени один из них является «предпочтительным» адресом, который используется для новых коммуникаций, а некоторые другие являются «действительными», но не «предпочтительными», так что текущая связь не излишне прерывается, когда приходит время переключиться на новый "предпочтительный" адрес. Ни один адрес не остается «предпочтительным» или «действительным» дольше, чем TEMP_VALID_LIFETIME или TEMP_PREFERRED_LIFETIME, соответственно.

В частности, раздел 5 устанавливает следующие значения по умолчанию, которые, безусловно, соответствуют тому, что мы видим здесь: 

TEMP_VALID_LIFETIME -- Default value: 1 week.  Users should be able
to override the default value.

TEMP_PREFERRED_LIFETIME -- Default value: 1 day.  Users should be
able to override the default value.
1 голос
/ 29 ноября 2014

Если вы сопоставляете злоупотребления маской с длиной префикса / 64, т. Е. Игнорируете часть адреса, относящуюся к хосту, у вас есть довольно хороший шанс предотвратить базовые атаки с одного хоста.

И есливы хотите иметь возможность обрабатывать злоумышленников с доступом к еще большему адресному пространству (например, / 56 или / 48), тогда нет никаких причин, по которым вы не можете справиться и с этим.

...