Учитывая, что блокировка одного IPv6-адреса кажется бессмысленной, поскольку конечный пользователь обычно имеет как минимум 2 ** 64 адреса, нам необходимо заблокировать диапазон, который идентифицирует «сайт».
«Сайт» в этом контексте - это что-то вроде пользователя дома или небольшого офиса. RFC 6177 обсуждает распределение блоков адресов по небольшим сайтам:
... может возникнуть соблазн дать домашним сайтам один / 64, поскольку это уже значительно больше адресного пространства по сравнению с сегодняшней практикой IPv4.
Однако это исключает ожидания того, что даже домашние сайты будут расширяться для поддержки нескольких подсетей в будущем. Следовательно, настоятельно предполагается, что даже домашним сайтам по умолчанию будет предоставлено пространство для нескольких подсетей. Следовательно, этот документ по-прежнему рекомендует давать домашним сайтам значительно больше, чем один / 64, но не рекомендует также давать каждому домашнему сайту / 48.
Тем не менее, я читал в онлайн-обсуждениях, что / 64 и / 56 являются общими для внутренних пользователей.
Если я заблокирую / 64, а у злоумышленника есть / 56, у него будет еще 255 подсетей, из которых можно атаковать меня.
И наоборот, если я блокирую / 56, и оказывается, что интернет-провайдер выделяет блоки / 64, я также мог бы исключить 255 других пользователей. Теперь вероятность того, что вы действительно повлияете на свой трафик, случайно исключив 255 сайтов, довольно мала, если рассматривать случайное распределение. Однако это не случайность по определению. Вполне возможно, что в этом смысле я мог бы заблокировать небольшую географическую область, где мой веб-сайт популярен.
Я использую пример блокировки, но на самом деле это более общий вопрос, который распространяется на ограничение скорости, аналитику и т. Д.
Короче говоря, какой размер префикса лучше всего подходит для определения «сайта»? Есть ли какие-нибудь рекомендации по этому поводу?
Лучший алгоритм - начать блокировать отдельные адреса. Затем, когда несколько адресов заблокированы в одном / 64, вы блокируете весь / 64. Повторите это для более крупных агрегатов.
Префиксы обычно выдаются на границах полубайта (кратные 4 или одной шестнадцатеричной цифре). Возможно, вы захотите масштабировать от / 64 до / 60, / 56, / 52 и / 48. A / 48 - обычно самый большой префикс, присвоенный одному сайту.
В зависимости от того, насколько осторожны вы хотите быть, вы можете сразу перейти от / 64 к / 56 и / 48.
В зависимости от того, в каком регионе вы находитесь, вы также можете использовать общедоступную базу данных регионального интернет-реестра (RIR). В базе данных RIPE интернет-провайдеры документируют размер агрегации, который они предоставляют клиентам. В этом случае вы точно знаете, какой размер использовать.