如何保护 Web 应用程序免受 IPv6 机器人的攻击？

Question 1

IPv6 在寻址方面的灵活性非常好，但确实使这样的事情变得更加困难。我推荐一种算法：

首先阻止单独的 IPv6 地址 (a /128)。它可能是网络上的单个用户，该网络有多个用户，并且您要避免阻止无辜用户（由于 NAT，IPv4 中经常发生这种情况，我们不再赘述）
x如果同一个中有超过块/64，则假设整体/64已被污染并阻止所有块。您现在可以/128从黑名单中删除单个记录，因为它们现在已被覆盖/64。这可以防止黑名单系统溢出内存/存储。
攻击者可能拥有不止一个/64。默认大小为/48，但会出现/56和偶数/60（对于 IPv6 来说太小了，但有些 ISP 永远不会知道）。我会按每 4 位进行扩展：如果/64来自同一个的多个/60被阻止，则扩展以阻止整个/60。对于/60a 中的多个等，情况相同/56。
/64我还建议对不同的前缀长度使用不同的黑名单超时时间。单个用户意外阻止某个用户比某人“意外”阻止整个用户更容易/48。在我看来，较大的阻止时间应该在黑名单上保留更长时间。
攻击者可能会滥用此算法，从一开始就将攻击扩展到整个系统/48，从而无法快速触发扩展算法。因此，您可能需要并行设置多个条件以快速扩展。

这种扩展机制的一个例子可能是：

+---------------+----------------------------------------+-----------+
|               |   Block when containing >= of these:   | Blacklist |
| Prefix length |  /128  |  /64  |  /60  |  /56  |  /52  |   time    |
+---------------+--------+-------+-------+-------+-------+-----------+
|     /128      |   N/A  |  N/A  |  N/A  |  N/A  |  N/A  |    5 min  |
|      /64      |     5  |  N/A  |  N/A  |  N/A  |  N/A  |   15 min  |
|      /60      |    15  |    2  |  N/A  |  N/A  |  N/A  |   30 min  |
|      /56      |    50  |    4  |    2  |  N/A  |  N/A  |   60 min  |
|      /52      |    75  |    8  |    4  |    2  |  N/A  |  120 min  |
|      /48      |   100  |   16  |    8  |    4  |    2  |  240 min  |
+---------------+--------+-------+-------+-------+-------+-----------+

Answer

IPv6 在寻址方面的灵活性非常好，但确实使这样的事情变得更加困难。我推荐一种算法：

首先阻止单独的 IPv6 地址 (a /128)。它可能是网络上的单个用户，该网络有多个用户，并且您要避免阻止无辜用户（由于 NAT，IPv4 中经常发生这种情况，我们不再赘述）
x如果同一个中有超过块/64，则假设整体/64已被污染并阻止所有块。您现在可以/128从黑名单中删除单个记录，因为它们现在已被覆盖/64。这可以防止黑名单系统溢出内存/存储。
攻击者可能拥有不止一个/64。默认大小为/48，但会出现/56和偶数/60（对于 IPv6 来说太小了，但有些 ISP 永远不会知道）。我会按每 4 位进行扩展：如果/64来自同一个的多个/60被阻止，则扩展以阻止整个/60。对于/60a 中的多个等，情况相同/56。
/64我还建议对不同的前缀长度使用不同的黑名单超时时间。单个用户意外阻止某个用户比某人“意外”阻止整个用户更容易/48。在我看来，较大的阻止时间应该在黑名单上保留更长时间。
攻击者可能会滥用此算法，从一开始就将攻击扩展到整个系统/48，从而无法快速触发扩展算法。因此，您可能需要并行设置多个条件以快速扩展。

这种扩展机制的一个例子可能是：

+---------------+----------------------------------------+-----------+
|               |   Block when containing >= of these:   | Blacklist |
| Prefix length |  /128  |  /64  |  /60  |  /56  |  /52  |   time    |
+---------------+--------+-------+-------+-------+-------+-----------+
|     /128      |   N/A  |  N/A  |  N/A  |  N/A  |  N/A  |    5 min  |
|      /64      |     5  |  N/A  |  N/A  |  N/A  |  N/A  |   15 min  |
|      /60      |    15  |    2  |  N/A  |  N/A  |  N/A  |   30 min  |
|      /56      |    50  |    4  |    2  |  N/A  |  N/A  |   60 min  |
|      /52      |    75  |    8  |    4  |    2  |  N/A  |  120 min  |
|      /48      |   100  |   16  |    8  |    4  |    2  |  240 min  |
+---------------+--------+-------+-------+-------+-------+-----------+

Question 2

你可以做一些非常原始的事情通过正则表达式进行 IP 子网划分。在这里，我传递 IPv4 地址，不做任何更改，但抓取 IPv6 地址的前半部分，这对应于地址的 /64 前缀。因此，nginx 将同时跟踪整个 /64 的速率限制。

map $binary_remote_addr $masked_ip_addr {
        # Extract the first half (the /64 prefix) of an ipv6 address
        "~^(?P<a>........)........$" "$a";
        # Extract the entire ipv4 address
        "~^(?P<a>....)$" "$a";
}

limit_req_zone $masked_ip_addr zone=myzone:10m rate=1r/s;

server {
        limit_req zone=myzone;
}

Answer

你可以做一些非常原始的事情通过正则表达式进行 IP 子网划分。在这里，我传递 IPv4 地址，不做任何更改，但抓取 IPv6 地址的前半部分，这对应于地址的 /64 前缀。因此，nginx 将同时跟踪整个 /64 的速率限制。

map $binary_remote_addr $masked_ip_addr {
        # Extract the first half (the /64 prefix) of an ipv6 address
        "~^(?P<a>........)........$" "$a";
        # Extract the entire ipv4 address
        "~^(?P<a>....)$" "$a";
}

limit_req_zone $masked_ip_addr zone=myzone:10m rate=1r/s;

server {
        limit_req zone=myzone;
}

如何保护 Web 应用程序免受 IPv6 机器人的攻击？

答案1

答案2

相关内容