Будь-яка відповідь на ваше запитання передбачає певну кількість здогадок. Розгортань IPv6 ще мало, що ми просто ще не знаємо, як саме буде виглядати сценарій загрози.
Велика кількість IPv6-адрес внесе кілька змін у сценарій загрози, який вам доведеться врахувати.
Перш за все, з IPv4 зловмисник цілком можливо сканувати номер порту за замовчуванням для деякої вразливої служби через усі 3700 мільйонів маршрутизованих IPv4 адрес. Такі ненавмисні атаки неможливо здійснити з IPv6. Ті напади, які ви все ще бачите, повинні бути більш націленими. Чи означає це, що нам доведеться сильно змінити обробку нападів.
Основною метою заборони IP-адрес на основі повідомлень журналу було б зменшити шум у журналах та певною мірою зменшити навантаження системи. Він не повинен слугувати захистом від подвигів. Зловмисник, який знає слабкість, опиниться всередині, перш ніж заборона наступить, тому для захисту від цього вам доведеться виправити вразливості - як завжди.
Заборона окремих IPv6-адрес може бути достатньою для зменшення шуму в журналах. Але це не дано. Навряд чи зловмисник може використовувати нову IP-адресу з доступного їм діапазону для кожного з'єднання. Якщо зловмисники мали б поводитись так, що заборона окремих IPv6-адрес не тільки буде неефективною, але ви навіть можете ненавмисно нанести атаку DoS на себе, використовуючи всю вашу пам'ять для правил брандмауера.
Ви не можете знати довжину префікса, доступного кожному нападнику. Блокування занадто короткого префікса може спричинити атаку DoS, охоплюючи також законних користувачів. Блокування занадто довгого префікса буде малоефективним. Зокрема, для спроб грубої спроби застосувати велику кількість IPv6-адрес клієнта.
Для того, щоб зловмисники могли перемикати IPv6-адресу на кожен запит і щоб зменшити використання пам'яті, вам потрібно заблокувати діапазони, і через те, що заздалегідь не знаєте довжини префіксу, вам доведеться динамічно регулювати довжини префікса.
Можна придумати евристику вже зараз. Наскільки добре вони працюватимуть, ми поки не знаємо.
Одне евристичне значення має для кожної довжини префікса визначати поріг, скільки IP-адрес потрібно для блокування префікса такої довжини. І блокування слід застосовувати лише певної довжини, якщо довший префікс не буде достатнім. Іншими словами, вам потрібно достатньо індивідуально заблокованих IP-адрес у кожній з двох половин, щоб фактично ініціювати блок.
Наприклад, можна вирішити, що для блокування a / 48 повинно бути 100 заблокованих IP-адрес у кожному з двох / 49, що складають / 48. Чим довший префікс, тим меншою є кількість IP-адрес, необхідних для його блокування, але в кожному випадку їх потрібно буде поширювати на обидві половини.
/64
через одне проблематичне IP, це призведе до блокування законних користувачів.