鉴于阻止一个IPv6地址似乎有点毫无意义,因为最终用户通常至less有2 ** 64个,我们需要阻止一个范围,这标识了一个“站点”。
在这种情况下,“网站”就像是家庭或小型办公室用户。 RFC 6177讨论了分配给小型站点的地址块:
…给家乡网站一个/ 64个网站可能是很诱人的,因为与现在的IPv4网站相比,它已经占据了更多的地址空间。
但是,这排除了甚至家庭网站将会增长以支持向前多个子网的期望。 因此,强烈的意图是,即使是家庭网站默认情况下,也会给予多个子网值得的空间。 因此,这个文件仍然build议给家庭网站明显多于一个/ 64个,但是不build议每个家庭网站都要有一个/ 48个。
这就是说,我已经在网上的讨论中读到,64和56都是国内用户的共同分配。
如果我阻止一个/ 64,攻击者有一个/ 56,那么他们有255个子网攻击我。
相反,如果我阻塞/ 56,并且事实certificateISP分配/ 64的块,我可能也排除了其他255个用户。 现在,如果您考虑随机分布,那么通过随机排除255个网站实际上影响您的stream量的概率是相当低的。 但是,根据定义,这不是随机的。 从这个意义上说,我可以阻止一个我的网站很受欢迎的小地理区域。
我使用阻塞的例子,但它确实是一个更普遍的问题,它扩展到速率限制,分析等。
简而言之,识别“网站”的最佳前缀大小是多less? 有没有关于这方面的指导?
最好的algorithm是开始阻止单独的地址。 那么当多个地址被阻塞在相同的/ 64你阻止整个/ 64。 重复这个更大的聚合。
前缀通常在半字节边界(4的倍数或一个hex数字)上给出。 你可能想从/ 64到/ 60,/ 56,/ 52和/ 48。 A / 48通常是给单个站点的最大的前缀。
取决于你想要多么小心,你可以从/ 64直接跳到/ 56和/ 48。
根据你在哪个区域你也可以使用区域互联网registry(RIR)公共数据库。 在RIPE数据库中,互联网提供商logging了他们在那里给客户的聚合大小。 在这种情况下,你确切地知道使用什么大小。