Qualsiasi risposta alla tua domanda comporterà una certa quantità di ipotesi. Le distribuzioni di IPv6 sono ancora abbastanza poche che semplicemente non sappiamo ancora come sarà esattamente lo scenario delle minacce.
Il gran numero di indirizzi IPv6 introdurrà molteplici modifiche allo scenario di minaccia che dovrai considerare.
Innanzitutto con IPv4 è del tutto possibile per un utente malintenzionato eseguire la scansione del numero di porta predefinito per un servizio vulnerabile su tutti i 3700 milioni di indirizzi IPv4 instradabili. Tali attacchi non mirati non sono fattibili con IPv6. Gli attacchi che vedi ancora dovranno essere più mirati. Resta da vedere se ciò significa che dovremo cambiare molto nella nostra gestione degli attacchi.
Lo scopo principale di vietare gli IP in base ai messaggi di registro sarebbe ridurre il rumore nei registri e in una certa misura ridurre il carico del sistema. Non dovrebbe servire da protezione contro gli exploit. Un aggressore che conosce una debolezza sarebbe dentro prima che il divieto entrasse in gioco, quindi per proteggerti devi correggere le vulnerabilità, proprio come hai sempre dovuto fare.
Il divieto di singoli indirizzi IPv6 potrebbe essere sufficiente per ridurre il rumore nei registri. Ma questo non è un dato di fatto. Non è improbabile che un utente malintenzionato possa utilizzare un nuovo indirizzo IP dall'intervallo disponibile per ogni connessione. Se gli aggressori si comportassero in questo modo, vietando singoli indirizzi IPv6 non solo sarebbe inefficace, ma potresti anche causare inavvertitamente un attacco DoS su di te usando tutta la tua memoria per le regole del firewall.
Non puoi conoscere la lunghezza del prefisso disponibile per ogni singolo attaccante. Il blocco di un prefisso troppo corto causerà un attacco DoS coprendo anche utenti legittimi. Il blocco di un prefisso troppo lungo sarà inefficace. In particolare, è probabile che i tentativi di forzatura della password utilizzino un gran numero di indirizzi IPv6 client.
Per essere efficace contro gli aggressori che cambiano indirizzo IPv6 su ogni richiesta e per mantenere basso l'uso della memoria, è necessario bloccare gli intervalli e, poiché non si conoscono in anticipo le lunghezze del prefisso, è necessario regolare dinamicamente la lunghezza del prefisso.
È possibile elaborare l'euristica già ora. Quanto funzioneranno bene non lo sappiamo ancora.
Un euristico sarebbe per ogni lunghezza del prefisso definire una soglia di quanti IP ci vogliono per bloccare un prefisso di quella lunghezza. E il blocco dovrebbe essere applicato solo a una lunghezza specifica, se un prefisso più lungo non sarebbe sufficiente. In altre parole, è necessario un numero sufficiente di IP bloccati individualmente in ciascuna delle due metà per avviare effettivamente un blocco.
Ad esempio, si potrebbe decidere che per bloccare un / 48, ci devono essere 100 IP bloccati in ciascuno dei due / 49 che compongono il / 48. Più lungo è il prefisso, minore dovrebbe essere il numero di IP necessari per bloccarlo, ma in ogni caso dovrebbero essere distribuiti su entrambe le metà.
/64
causa di un IP problematico provocherà il blocco di utenti legittimi.