Le 04/07/2023 à 11:23, Stephane Bortzmeyer a écrit :
Mais rien à voir entre le fait de poser la question en IPv4 et de
recevoir une adresse IPv4 en réponse. (Cf. mon exemple avec dig.)
Tiens, un truc marrant : j'ai essayé dig +short AAAA ovh.com : apparemment je ne
suis pas le seul à ne pas mettre d'AAAA :-)
Et ça marche aussi avec impots.gouv.fr ou urssaf.fr…
Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0
(zéro) adresses.
Une ligne dans la conf, c'est davantage que zéro, on est
d'accord. Mentionner "2^64" est juste de la réthorique.
Ah mais développer un traitement c'est pas juste "ajouter des lignes dans la
conf" :-\
Sans parler du fait que le traitement d'adresses de 128 bits, même
si on ignore les 64 bits de poids faible, est nécessairement plus
lourd que celui d'adresses de 32 bits seulement.
Euh, ça dépend complètement des processeurs/ASIC qu'on a. Sur un
processeur 16 bits, traiter 16 bits n'a jamais été plus long que d'en
traiter 8 :-)
Tout à fait : une IPv4 se traite tout entière dans un seul registre sur un
processeur 64 bits (on pourrait même en traiter deux à la fois) mais une IPv6
non. Et mes serveurs ne sont pas équipés de processeurs 128 bits.
Il n'y a pas que les traitements au niveau du processeur ; mémoriser les IPv6
bloquées prend plus de place que pour des IPv4 (quelque soit le processeur).
Mais les pirates qui attaquent en IPv6 ont potentiellement
2^32 fois plus d'adresses IP à leur disposition que s'ils attaquent en IPv4.
D'autant plus qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de
plus en plus chères alors que les IPv6 sont abondantes et gratuites.
Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et
va donc nécessiter d'avantages de ressources.
C'est de la pure théorie. La réalité des réseaux du vrai monde ne
montre pas ça (pirates paresseux et incompétents, qui ne se donnent
même pas la peine d'essayer en IPv6).
La réalité que j'observe est qu'il y a déjà des attaques en IPv6. Beaucoup
moins, certes, mais il y en a, y compris des salves qui utilisent différents /64.
Je ne dois pas être dans le vrai monde :-(
Et sinon, je suis quand même conscient que l'avenir de l'IPv4 est très
compromis.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
