アカウント名:
パスワード:
モバイル網でステートフルなファイアウォールを入れてバッテリー消費を抑えるか外部からのスキャンによるバッテリー消費もインターネットの一部として受け入れるか
IPv6ならスキャンは来ない?
> IPv6ならスキャンは来ない?来ます。
IPv6はアドレス空間が広いからスキャンは来ない(あるいは少ない)と当初言われたみたいですが、IPAが指摘している通り(「6. IPv6環境でのネットワークスキャン [ipa.go.jp]」参照)、それなりの省力化が可能なので、スキャンされる可能性はあります。
実際、IPv6でスキャンを受けた報告例が散見されます(たとえばココ [geekpage.jp])。
2,3年前には、こっそり0.0.0.0でlistenするサーバーを立ち上げている行儀の悪いアプリが時々あった(Androidで。iPhoneは調べてないので分からん)バッテリー消費どころの騒ぎじゃなくなるのでIPv4は特にGlobalアドレスの付与はあまり嬉しくない派
IPv6 はアドレス空間が膨大なのでスキャンはされにくいのですが、全くないというわけではないようです完全ランダムではなく、割り当て方法から推測したり、公開情報から探ったりといった感じでしょうかただ IPv6 は実質固定IPみたいなものなので、一度バレると継続して攻撃される可能性もあるのかなー、とは思ったりします
かなり昔から IPv6 アドレスの自動生成で EUI-64 とかを使うパターンは減っていて、ほとんどのクライアント環境は標準では匿名 IPv6 アドレス (有効期限は 24h-7d) になってるかと思いますが、「一度バレると継続して攻撃される可能性」って、どのようなパターンを考慮されているのでしょう?
匿名 IPv6 アドレスは DNS への登録を行わない……という辺りは、DHCPv6 でネットワーク内アドレス配布と組み合わせたりしたら問題ないですし、外向きに使われたとしても DHCP で無制限の延長を求めていなければ永続的な攻撃を受けることはほぼないように思いますが。
# まぁ、DHCP で同一アドレスの再割り当てが簡単に来るようだとアレですが。
来るし必要リソースはv4より高くなります
弾く対象のアドレス表記は長いしv4で1つだったものがその下の複数台それぞれの攻撃者のアドレスとなる
そのためBan Listもそれを元に動くシステムもv4よりもリソースを食います
リッチ環境では誤差ですが組み込み環境ではv4縛りにしたくなるかも
v4で1つだったものがその下の複数台それぞれの攻撃者のアドレスとなる
その単位で「攻撃者」と判断していい状況だったら、それこそ単純に /32、/48、/54、/64 とかのレベルで ban できるのでは?
アドレス空間的に IPv4 より大量にまとめてアサインされている訳で、「ここのプロバイダーの利用者は行儀が悪い」とまとめてブロックする際、細切れにアサインされている IPv4 のブロックを個別に指定するようなパターンを考慮すると、64bit 以下でビットマスク単位での比較処理なら "一ターゲットが持つ" IPv4 のブロック領域が 2-4 個以上あるターゲットとだと、比較コストは割と怪しくなるかと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
IPv6は (スコア:0)
モバイル網でステートフルなファイアウォールを入れてバッテリー消費を抑えるか
外部からのスキャンによるバッテリー消費もインターネットの一部として受け入れるか
IPv6ならスキャンは来ない?
Re:IPv6は (スコア:2, 参考になる)
> IPv6ならスキャンは来ない?
来ます。
IPv6はアドレス空間が広いからスキャンは来ない(あるいは少ない)と当初言われたみたいですが、IPAが指摘している通り(「6. IPv6環境でのネットワークスキャン [ipa.go.jp]」参照)、それなりの省力化が可能なので、スキャンされる可能性はあります。
実際、IPv6でスキャンを受けた報告例が散見されます(たとえばココ [geekpage.jp])。
Re: (スコア:0)
2,3年前には、こっそり0.0.0.0でlistenするサーバーを立ち上げている行儀の悪いアプリが時々あった(Androidで。iPhoneは調べてないので分からん)
バッテリー消費どころの騒ぎじゃなくなるのでIPv4は特にGlobalアドレスの付与はあまり嬉しくない派
Re: (スコア:0)
IPv6 はアドレス空間が膨大なのでスキャンはされにくいのですが、全くないというわけではないようです
完全ランダムではなく、割り当て方法から推測したり、公開情報から探ったりといった感じでしょうか
ただ IPv6 は実質固定IPみたいなものなので、一度バレると継続して攻撃される可能性もあるのかなー、とは思ったりします
Re:IPv6は (スコア:1)
かなり昔から IPv6 アドレスの自動生成で EUI-64 とかを使うパターンは減っていて、ほとんどのクライアント環境は標準では匿名 IPv6 アドレス (有効期限は 24h-7d) になってるかと思いますが、「一度バレると継続して攻撃される可能性」って、どのようなパターンを考慮されているのでしょう?
匿名 IPv6 アドレスは DNS への登録を行わない……という辺りは、DHCPv6 でネットワーク内アドレス配布と組み合わせたりしたら問題ないですし、外向きに使われたとしても DHCP で無制限の延長を求めていなければ永続的な攻撃を受けることはほぼないように思いますが。
# まぁ、DHCP で同一アドレスの再割り当てが簡単に来るようだとアレですが。
Re: (スコア:0)
モバイル網でステートフルなファイアウォールを入れてバッテリー消費を抑えるか
外部からのスキャンによるバッテリー消費もインターネットの一部として受け入れるか
IPv6ならスキャンは来ない?
来るし
必要リソースはv4より高くなります
弾く対象のアドレス表記は長いし
v4で1つだったものがその下の複数台それぞれの攻撃者のアドレスとなる
そのためBan Listもそれを元に動くシステムもv4よりもリソースを食います
リッチ環境では誤差ですが組み込み環境ではv4縛りにしたくなるかも
Re:IPv6は (スコア:1)
その単位で「攻撃者」と判断していい状況だったら、それこそ単純に /32、/48、/54、/64 とかのレベルで ban できるのでは?
アドレス空間的に IPv4 より大量にまとめてアサインされている訳で、「ここのプロバイダーの利用者は行儀が悪い」とまとめてブロックする際、細切れにアサインされている IPv4 のブロックを個別に指定するようなパターンを考慮すると、64bit 以下でビットマスク単位での比較処理なら "一ターゲットが持つ" IPv4 のブロック領域が 2-4 個以上あるターゲットとだと、比較コストは割と怪しくなるかと思います。