Меню

Главная
Случайная статья
Настройки
Википедия:Блокировка диапазонов IP-адресов
Материал из https://ru.wikipedia.org

Блокировка диапазонов IP-адресов применяется в тех случаях, когда единичные блокировки отдельных IPадресов оказываются неэффективны. Наиболее типичная ситуация — многократный обход блокировок нарушителем за счёт смены адресов в пределах одной сети.

Диапазонная блокировка позволяет пресечь подобное поведение, однако при неосторожном использовании может затронуть добросовестных участников. Поэтому каждое применение должно быть обоснованным и направленным на минимизацию побочного ущерба.

Содержание

Когда лучше блокировать диапазон вместо защиты страницы

Частая ошибка: при повторяющихся неконструктивных правках с динамических IP администраторы защищают страницу вместо блокировки диапазона. Это неэффективно, потому что:
  • Защита страницы блокирует редактирование для всех анонимов и неавтоподтвержденных участников
  • Участник может переключиться на другие статьи


Правильный подход:
  • Если правки идут с нескольких IP одного провайдера — блокируйте редактирование страниц(ы) для диапазона ip-адресов, а не защищайте страницу.


Особенности и риски
  • Блокировка диапазона автоматически включает множество адресов, часть из которых могут использовать обычные редакторы.
  • Эффективна только при наличии систематических нарушений.
  • Решение должно быть обоснованным и взвешенным.


Основы

Диапазон IPадресов — это набор последовательных адресов, которые принадлежат одной сети. У каждого адреса есть две части:
  • сетевая часть — общая для всех адресов диапазона;
  • часть узла (хоста, устройства) — отличающая одни адреса от других внутри этой сети.


Разделение выполняется с помощью маски подсети. Маска — это последовательность бит, где:
  • биты, равные «1», фиксируют сеть;
  • биты, равные «0», указывают на изменяемую часть (конкретные адреса устройств).


Проще говоря, все разряды IP-адреса, находящиеся на тех же местах, что и бит «1» в маске подсети всегда такие же, как у всех других IP-адресов диапазона.

Чтобы не указывать маску в привычном длинном виде, её записывают в сокращённой форме: после IPадреса сети ставится косая черта и число зафиксированных бит, например 12.34.56.0/23. Эта запись означает, что первые 23 бита «зарезервированы» под сеть, а оставшиеся используются для адресов устройств.

Пример:

Адрес 12.34.56.78 с маской 255.255.254.0 принадлежит сети 12.34.56.0/23.
Октеты IP-адреса 12 34 56 0
Биты IP-адреса 0 0 0 0 1 1 0 0 0 0 1 0 0 0 1 0 0 0 1 1 1 0 0 0 0 0 0 0 0 0 1 0
Биты маски подсети 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0
Октеты маски подсети 255 255 254 0


Такой диапазон содержит все адреса от 12.34.56.1 до 12.34.57.254. Всего в нём 512 возможных адресов (включая адрес сети 12.34.56.0 и широковещательный адрес 12.34.57.255).

Важно: чем больше число после косой черты, тем меньше диапазон.

Шпаргалка

Для IPv4:
  • /32 — 1 адрес
  • /31 — 2 адреса
  • /30 — 4 адреса
  • /29 — 8 адресов
  • /28 — 16 адресов
  • /27 — 32 адреса
  • /26 — 64 адреса
  • /25 — 128 адресов
  • /24 — 256 адресов
  • /23 — 512 адресов
  • /22 — 1024 адреса
  • /21 — 2048 адресов
  • /20 — 4096 адресов
  • /19 — 8192 адреса
  • /18 — 16384 адреса
  • /17 — 32768 адресов
  • /16 — 65536 адресов


Для IPv6:
  • /128 — один адрес,
  • /64 — стандартный блок, выдаваемый провайдером пользователю.
  • /48 — организация или провайдер


Пошаговая инструкция

Шаг 2 — Использую шаблон {{IP range calculator}} в формате:
{{IP range calculator|195.189.196.118|195.189.197.54}}

Шаг 5 — Полностью блокирую диапазон на 1 год, исходя из соображений на шаге 4.
Основано на реальном примере.

Шаг 1: Определите проблемные IP

Откройте историю правок статьи и выпишите IP-адреса:
  • 109.160.20.58
  • 109.160.20.73
  • 109.160.23.33
  • 109.160.23.110


Шаг 2: Вычислите минимальный диапазон

Можно использовать разные методы определения диапазона адресов

Самый простой способ — шаблон {{IP range calculator}}:

{{IP range calculator|109.160.20.58|109.160.20.73|109.160.23.33|109.160.23.110}}

Шаблон покажет минимальный диапазон, охватывающий все указанные адреса: 109.160.20.0/22

Пример выдачи шаблона:
Отсортировано 4 IPv4 адресов
109.160.20.58
109.160.20.73
109.160.23.33
109.160.23.110
Всего
затронуто		 Затронуто
адресов		 Указано
адресов		 Диапазон Вклад
1024 1024 4 109.160.20.0/22 вклад
256 128 2 109.160.20.0/25 вклад
128 2 109.160.23.0/25 вклад
4 1 1 109.160.20.58 вклад
1 1 109.160.20.73 вклад
1 1 109.160.23.33 вклад
1 1 109.160.23.110 вклад


Введите список IP и получите рекомендуемый диапазон.
  1. Откройте страницу вклада любого из IP
  2. Внизу найдите ссылку «WHOIS»
  3. Посмотрите диапазон провайдера (обычно указан как «cidr» или «asn_cidr»)


Или открыть напрямую сами сервисы и вручную набрать IP адрес:

Шаг 3: Проверьте диапазон

Перед блокировкой проверьте:
  1. Откройте Служебная:Вклад/109.160.20.0/22
  2. Просмотрите последние правки из диапазона
  3. Убедитесь, что нет конструктивных участников


Предупреждение: Если видите много разных участников — сузьте диапазон или используйте частичную блокировку.

Шаг 4: Наложите блокировку
  1. Откройте Служебная:Заблокировать/109.160.20.0/22
  2. Установите параметры:
    • Срок: от нескольких дней до месяца (для динамических IP)
    • Только для анонимов
    • Запретить создание учётных записей
  3. Укажите причину, например «Вандализм» или более конкретную


Если нужно заблокировать только для конкретных страниц:
  1. Откройте Служебная:Заблокировать/109.160.20.0/22
  2. Выберите «Частичная блокировка»
  3. Добавьте проблемные страницы или пространства имён
  4. Срок можно сделать длиннее (до нескольких месяцев)


Практические рекомендации

Золотое правило: Лучше несколько точечных блокировок, чем одна слишком широкая.

IPv6 особенности
  • Рекомендуется блокировать минимум /64 — это стандартная подсеть одного пользователя.
    • Но если будет заблокирован только единичный IPv6 адрес — не страшно, блокировку до диапазона /64 автоматически расширит бот.
  • IPv6 почти никогда не используется совместно.
  • Пользователь может менять адреса внутри своего /64, поэтому блокировка отдельных IPv6 бесполезна.


Пример: вандализм с 2001:db8:1234:5678::1 блокируйте 2001:db8:1234:5678::/64

Для упрощения блокировки стандартной подсети одного пользователя IPv6 можно просто в конце приписывать /64 к любому IP-адресу.

Пример: при открытии страницы вклада Служебная:Вклад/2001:db8:1234:5678::1/64 откроется на самом деле Служебная:Вклад/2001:db8:1234:5678::/64.

Чувствительные диапазоны

Будьте осторожны с диапазонами:
  • Государственных организаций
  • Крупных корпораций
  • Университетов
  • Библиотек


Для них предпочтительна частичная блокировка конкретных страниц.

Блокировка этих диапазонов может вызвывать нежелательные технические эффекты для проекта.
IPv4 IPv6 Описание
  • 91.198.174.0/24
  • 185.15.56.0/22
  • 198.35.26.0/23
  • 208.80.152.0/22
  • 2620:0:860::/46
  • 2a02:ec80::/32

IP-адреса Фонда Викимедиа.

45.79.106.114

2600:3c01::f03c:93ff:fe24:db1b

IP-адрес OAuth-сервера Wiki Education Foundation (https://dashboard.wikiedu.org/).

Зарезервированные IP-адреса (127.0.0.1, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, ...)

Иногда используются инфраструктурой проектов Фонда Викимедиа.



Типичные ошибки
  • Блокировка слишком узкого диапазона не охватит все возможные IP. По возможности найти и заблокировать весь диапазон провайдера.
  • Указание чрезмерно широкого диапазона (например, /16 вместо /24) для IPv4 или слишком больших блоков в IPv6. Начать нужно с минимального диапазона, расширять при необходимости.
  • Бессрочная блокировка IP-диапазона. Бессрочные блокировки не должны накладываться на IP-адреса, в том числе и на диапазоны.


Полезные ссылки

Когда НЕ СТОИТ блокировать диапазон
  • Единичный случай вандализма
  • Конструктивные правки многократно превышают деструктивные
  • Диапазон крупного образовательного учреждения c которого имеется ненулевое количество конструктивных правок (имеет смысл связаться с администрацией)


Альтернативы блокировке диапазона

См. также
Downgrade Counter