IPv6が標準になると、IPベースのルール（禁止/フィルターなど）にどのような影響がありますか？

Stack ExchangeサイトがIPを禁止していることを考えると、行動を指示するためにユーザーのIPに基づいてルールを作成することについて、共通の意見や戦略があるのだろうか。

IPv4を使用すると、特定のIPについてかなり信頼できると思われることがいくつかあります。

1. サブネットを共有するIPは、同じユーザーになる可能性が非常に高い
2. IPは実際のさまざまなエンドポイントで再利用できますが、同じユーザー、または少なくとも同じ世帯/組織（基本的には共有接続）ではない IPからの重複した接続はほとんどありません。
3. ユーザーが新しいパブリックIPを取得するのは簡単ではありません（ここには中規模の障壁があります）

IPv6では、これをすべて想定できますか？NATが必要な人には十分なIPがあるので、NATは基本的にIPv6でなくなると思われるので、少なくとも2番目の点は当てはまらないと思います。

IPベースの一連のポリシーを実施している場合、2つの違いがあるため、IPv6に対してどのような考慮事項が必要ですか？

IPv6では、完璧な解決策はないと思います。ただし、考慮すべき事項がいくつかあります。

• ISPは、おそらく/64個々の顧客にサブネットを提供します。（移動するのに十分です。）
• 職場には、おそらく/64オフィスごとに少なくとも1つがあります。
• 厳密にポイントツーポイントリンクを提供するISP は、との間にプレフィックスを使用することを選択できます。（一般に/ 127を使用していない理由を参照してください）これは、おそらく近視眼のISPか、完全にをもっと充電したいISPのいずれかです。各エンドポイント（完全な顧客ネットワークである可能性があります）がであってはならない理由は本当にありません。/64/126/64/64
• ほとんどのIPv6エンドユーザーサブネットがにあると仮定すると/64、インターフェイス識別子のビット6（RFC 4941のセクション3.2.1を参照）を見て、グローバルに一意な識別子（MACアドレス）に基づいて生成された可能性が高いかどうかを確認できます。これは絶対確実ではありません。ただし、このビットが設定されている場合、アドレスがMACアドレスから生成されたことを示している可能性があります。したがって、最後の64ビットに基づいてIPv6アドレスをブロックでき、ユーザーはどのサブネットから来たとしてもブロックできます。（おそらく、これは「ヒント」として使用するのが最善です。なぜなら、MACアドレスは、実際にはグローバルに一意であるはずですが、実際には常にそうではないからです。つかむと、とにかく2 ^ 64固有のアドレスを取得します。）/64
• プライバシーアドレスが使用されている場合は、その1つのアドレスを短時間ブロックする以外は、あまりすべきことはありません。とにかくすぐに変更されるでしょう。/64この時点でのネットワーク部分を考慮しますが、誰かの会社のオフィス全体をブロックしている可能性があるため、注意してください。

最善の方法は、最初に個々のアドレスを調べ、次にアドレスの最後の64ビットを考慮に入れ、/64ブロッキング戦略を実装するために特定のサブネットからの不正使用のパターンを考慮することです。要約する：

• 個々の/128IPアドレスをブロックすることから始めます（おそらく、今日IPv4で行うように）
• アドレスの最後の64ビットの非プライバシーアドレスから悪用のパターンに気づいた場合、それをブロッキングアルゴリズムの強力なインジケータとして使用します。誰かがISPまたはサブネット間をホッピングしている可能性があります。（繰り返しますが、MACは必ずしも一意ではないので注意してください-誰かがあなたのアルゴリズムを悪用するためになりすましている可能性があります）また、これはIPv6の仕組みを知らない悪用者に対してのみ機能します。;-)
• 特定のからの不正使用のパターンに気付いた場合、問題のあるネットワークの管理者が自分の側で行う必要のある作業を行えるように、適切なエラーメッセージで/64全体/64をブロックします。

幸運を。

リストする仮定：

サブネットを共有するIPは、同じユーザーになる可能性が非常に高い

保持し続ける-実際、ISPが顧客にIPv6サブネットを割り当てている場合、それはさらに真実になります。

IPは実際のさまざまなエンドポイントに再利用できますが、同じユーザーではないIPからの接続、または少なくとも同じ世帯/組織（基本的には共有接続）からの接続が重複する可能性は比較的低いです

保持し続けます（上記のように、実際にはサブネット全体に適用されます）。

ユーザーが新しいパブリックIPを取得するのは簡単ではありません（ここには中規模の障壁があります）

個々のIPにはあまり適用されませんが、ISPから配布されたサブネットには適用されます。

したがって、基本的には、ISPがすべてのユーザーにサブネットを配布すると仮定して、現在IPが禁止されているサブネットの禁止を検討しています。代わりに、ユーザーが個別のIPv6アドレス（ユーザーごとに1つ）を取得する場合、単一のIPv6禁止を検討します。これは、多くの不正なユーザーがいる場合、はるかに長い禁止テーブル（および関連するパフォーマンスの問題）につながる可能性があります。
どちらの場合でも、IP禁止はよりきめ細かなツールになります（つまり、1人が誤動作したために動的プールを持つISPから多くのユーザーをブロックするリスクが低くなります）。

Wikipedia / MediaWikiは、/ 64内の5番目のIPをブロックするときに、/ 64全体をブロックするポリシーを採用しています。

5つは他の人が採用している標準的な経験則のようです-私が見たDNSBLのいくつかは同じポリシーを採用しています。

/ 48または/ 56を取得することは、控えめな組織でも非常に簡単ですが、/ 64を超えるブロックを集計する計画を見たことはありません。もちろん、スパマーは現在/ 24（IPv4）程度を持っていることが多いので、IPv6スペースの大きな塊をつかみ始めることを期待しています。

サブネットを共有するIPは、同じユーザーになる可能性が非常に高い

v6ではさらに真実です。

IPは実際のさまざまなエンドポイントで再利用できますが、同じユーザー、または少なくとも同じ世帯/組織（基本的には共有接続）ではないIPからの重複した接続はほとんどありません。

おそらくv4よりもv6の方が真実です。

ユーザーが新しいパブリックIPを取得するのは簡単ではありません（ここには中規模の障壁があります）

ほとんどの場合、ISPは個々のアドレスではなく、アドレスのブロックを配布します。顧客はブロック内を簡単に移動できます。新しいブロックを取得することは（不可能ではありませんが）より困難です。

最も難しいのは、顧客への割り当てサイズが大きく異なることです。一部のISPは、個別のアドレス、一部の/ 64ブロック、一部の/ 56ブロック、一部の/ 48ブロックを配布します。

これにより、すべてのISPで機能する適切な禁止/制限ポリシーを考案するのが難しくなります。「ホット」/ 48は、大きなブロックを提供したISPを見つけた単一の悪用者ですか、それとも個々のアドレスを提供するケチなモバイルプロバイダーのユーザーの大規模なグループですか。

PS IPv6を実装することを拒否することは、IPv4の枯渇に伴い、ISPレベルのNATの背後にますます多くの顧客がいるため、実際には問題ではありません。

ISPが何をするかに大きく依存すると思います。実際の動的IPをユーザーに提供し続けますか？そうでない場合、またはすべてのユーザーが独自のip / subnetを排他的に取得する場合、IPはライセンスプレートとほとんど同じになります。

私は、IPv6はIPアドレスの数を増やすとしていたことを理解すると、多くのが、ホストあたりのポート数を増やすことではない、私は最初戸惑いました。コンピューターがますます強力になり、膨大な数の同時接続を処理できるようになると、IPv6アドレスあたり最大65535ポートに制限されることが「次のボトルネック」と思われました。

それからもう一度考えてみたところ、複数のIPv6を1つの物理インターフェイスに割り当てるのは簡単で、その方法でホストに接続できるポート数の制限を回避できることがわかりました。実際に考えてみると、1024または4096のIPv6アドレスをホストに非常に簡単に割り当ててから、すべてのアドレスのさまざまなポートでサービスをランダムに分散させることができ、ポートスキャナにかなりの時間をかけることができます（少なくとも理論上） 。

ホスト仮想化（比較的強力な物理ホスト上の複数の小さな仮想ホスト）やハンドヘルドデバイス（地球上のすべての人にIPv6接続されたモバイルを考える）などの傾向はおそらくこれに反するかもしれませんが、将来のインターネット上のほとんどのホストはおそらくかなり使用するでしょうポートが少ないため、ホストごとに1つのIPv6アドレスのみが必要です。

（ただし、ほとんどすべての状況で明らかに薄いものであっても、所有し、ランダムに選択できるすべてのIPv6アドレスのプールで「隠す」機能は、ある程度のセキュリティ層を提供します）