У мошенника отобрали 735 000 адресов IPv4 и вернули в реестр

Ты конечно прав, но это никак не отменяет проблему дырявых IoT и сервисов с admin:admin.

И это не только легаси, сервисы которые нельзя выпускать в интернет пишутся и сейчас (прямо сейчас). Ибо «оно же все равно в локальной сети работает, так зачем нам защита от брутфорса или авторизация по открытым ключам?».

«Налог» тогда нужен только на неиспользуемые адреса.
А то хапают себе здоровенными подсетями - и ни себе ни людям

И много ли дырявых IoT смотрит напрямую в провайдерскую сеть и лишь по счастливой милости carrier-grade NAT’а оказывается недоступными для атак из Интернета?

сервисов с admin:admin

Тот же вопрос. Много ли сервисов смотрит в локальные сети, защищённые только IPv4 NAT’ами без файрволла?

Получение белого IP сделает их частью ботнета.

Что-бы не светить во внешний мир жопой адресами устройств - нужен privacy extensions, а что-бы к ним не коннектились те кто не надо - нужен нормальный файрвол, т.к глобальная адресация совсем не означает невозможность запретить входящие подключения к своей подсети.

Но да, то как всё это сейчас организовано в типичных SOHO-роутерах и IoT - это, конечно, адовый адокъ.

Я не спорю про фаерволл, но как ты будешь защищать им сервисы? whitelist - ну такое себе решение. А иначе это будет как с ip-камерами торчащими в интернет, их даже ленивый школьник «хакнет».

На типичном домашнем роутере уже настроен вендором стейтфул фильтр. И фильтр не пускает никого извне к хостам локалки. Независимо от наличия/отсутствия ната и независимо от ipv4/ipv6. Пока не откроешь доступ из интернета к своему иоту, доступа не будет. Хочешь пользоваться своим иотом только в локалке — пользуйся. Хочешь пользоваться из интернета — открывай доступ на домашнем роутере.

Хватит нести чушь про «ipv4 за душеспасительным натом, а ipv6 голой жопой в интернете».

Не знал про апдейт. Спасибо.

Ну например, если используется slaac, и нет NAT, то ты можешь определить, что в исследуемой сети есть несколько подсетей и узнать, какие из компьютеров в какой.

С NAT же можно наружу всех загнать в одну /64, выставить одинаковый TTL и определить, ктов какой подсети будет уже гораздо сложнее

Количество единичек в маске. Чем больше единичек, тем меньше нулей, а это значит — меньше адресов, которые ты можешь использовать, а именно в степени двойки.

В IPv6 адресе 128 бит. /128 означает 128 единичек, а нулей ноль. Два в нулевой степени = 1. Так же и с /112: нулей всего лишь 16, а 2^16 = 65536.

Я для себя когда-то давно так и объяснил.