Для IPv4 / 16 означает, что примерно каждую комбинацию "локальный реестр" а также "ISP распределение" захватывается, в то время как менее провайдер считается неуникальным. Некоторые организации имеют / 8 от унаследованных распределения учти, подобные IBM, MIT и т.д. Таким образом, в теории фильтрации в / 16 позволяет им получить 256 узлов в прошлом единственности фильтра.

Для IPv6 даже / 48 находится прямо как РЛК распределение поощрять / 48 на одного клиента; У меня есть / 56 для моего дома DSL соединения. Получение множества / 48-х не трудно.

Если вы посмотрите на распределение IPv6 Вы видите, что глобальное одноадресное пространство в настоящее время выделяются из 2 :: / 3 и распределение уровня реестра произойдет примерно на том уровне / 16- / 20. Это будет означать, / 28, вероятно, является разумным уникальность фильтра.

6to4 трафик представляет собой особый случай, как адрес 6to4 встраивает адрес IPv4 после 2002: префикса / 16. Таким образом, / 16 правило для IPv4 означает, что вы должны фильтровать на уровне / 32. С древоточец туннелирования адрес сервера Teredo следует за 2002: 0000: 32 / префикс, за которым следует несколько битов флага, номер порта, а клиент адреса IPv4. Однако в то время как в общем случае сервер Teredo * не * на самом деле передачи трафика IPv6, я не уверен, что злоумышленник может не поддельные соединения IPv4, (1), так что вы, вероятно, все еще застряли применения / 16 фильтра к материалу адрес сервера. Таким образом, фильтрация в 2002 году: / 48 является разумным, как не имеющий специальное правило Teredo на всех. (Кто знает, если Teredo реклама въездной маршрутизатор фильтры поддерживается должным образом) Одинаково не имея специальное правило для 6to4 не плохо, а просто означает, что вы фильтрацию встроенного IPv4-адреса на уровне / 12 с фильтром / 28 v6.

Одна хорошая вещь 6to4 и Teredo реле становится довольно распространенным, с многие Интернет-провайдеры работы локальных реле, таким образом, внешние злоумышленники имеют трудное время захвата много трафика за счет рекламы соответствующий маршрут. (Помните, что весь этот материал предполагает, что мы доверяем нашему провайдеру)

Другая проблема заключается в том, что, так как IPv6 пространстве так много, злоумышленник может также принять меры, чтобы занять место из реестра на временной основе, или даже занимать целый префикс реестра уровня. Во-вторых злоумышленник может также попытаться просто реклама целого префикса на глобальной таблице маршрутизации; Единственное, что останавливает их это часто плохо применяется входной маршрут фильтрации осуществляется интернет-провайдерами. Держу пари, вы есть много, кто не удосужился удаление правил, позволяющих 3FFE: / 16 объявлений, например.

Было бы интересно попытаться захватить как много IPv6-адресов в сети, как он стоит, и получить представление о том, как они распределены по всему адресному пространству. Впрочем, сделать то же самое для IPv4. Для чего это стоит, я запустить мой Bitcoin узел IPv6-только, и сейчас список одноранговых узлов полностью уникальным на уровне / 22, со всеми, кроме двух IP-адресов, уникальных в / 20.

1) Teredo сложна ... Она отделяет реле, хост, который несет трафик от сервера, хост, который получает клиент подключен. Сервер только пересылает пинги IPv6 от имени клиента. Каждый раз, когда клиент хочет подключиться к новому адрес IPv6 создает пинг на этот адрес и сообщает сервер для отправки, что пинг на это от имени. Это пинг имеет один и тот же адрес источника IPv6-адрес клиента. Когда адресат отвечает ответ будет в конечном итоге на ближайшее реле Teredo, либо маршрутизатор рекламы в 2002 году: 32 / префикса, или нерекламная маршрутизатор в восходящем пути назначения. Этот маршрутизатор перехватывает пакет и контакты инициирующего клиента непосредственно на встроенном IPv4-адрес и порт через UDP пройти большинство типов NAT. Благодаря тому, как реле работают в большинстве случаев вам нужно контролировать IPv4-адрес, чтобы иметь возможность использовать определенный адрес Teredo IPv6. Однако, если атакующий также контролирует реле локальной по отношению к вам они могут перехватывать целые адресные пространства и управление реле не сложнее, чем реклама 2002: / 32; они не должны быть вашим ISP. С другой стороны, если предположить, что они не имеют такой контроль, то уникальность фильтра становится маскировать а не приставка, так что вам нужна целая куча коды, если вы не реализовали префиксы как битовые маски.

Мое предложение? Не имеют специальное правило, Teredo, чтобы избежать всех этих сложностей. клиенты Teredo не так распространены в любом случае.