Qualquer resposta à sua pergunta envolverá alguma quantidade de adivinhação. As implementações de IPv6 ainda são poucas o suficiente para que simplesmente não saibamos ainda, como exatamente o cenário de ameaças será.
O grande número de endereços IPv6 apresentará várias alterações no cenário de ameaças que você terá que considerar.
Primeiro de tudo, com o IPv4, é totalmente factível para um invasor verificar o número de porta padrão de algum serviço vulnerável em todos os 3700 milhões de endereços IPv4 roteáveis. Esses ataques não segmentados não são viáveis com o IPv6. Esses ataques que você ainda vê terão que ser mais direcionados. Se isso significa que teremos que mudar muito no manuseio dos ataques, ainda não se sabe.
O objetivo principal de proibir IPs com base em mensagens de log seria reduzir o ruído nos logs e, até certo ponto, reduzir a carga do sistema. Não deve servir como proteção contra exploits. Um atacante que conhece uma fraqueza estaria dentro antes do embarque, então, para se proteger contra isso, você tem que corrigir vulnerabilidades - assim como você sempre teve que fazer.
A proibição de endereços IPv6 individuais pode ser suficiente para reduzir o ruído nos registros. Mas isso não é um dado. Não é improvável que um invasor use um novo endereço IP do intervalo disponível para cada conexão. Se os invasores se comportarem assim, proibir endereços IPv6 individuais não será apenas ineficaz, mas você pode até causar inadvertidamente um ataque DoS a si mesmo usando toda a sua memória para regras de firewall.
Você não pode saber o comprimento do prefixo disponível para cada atacante individual. Bloquear um prefixo muito curto causará um ataque DoS cobrindo usuários legítimos também. Bloquear um prefixo muito longo será ineficaz. As tentativas de força bruta de senha, em particular, provavelmente usarão um grande número de endereços IPv6 do cliente.
Para ser eficaz contra invasores comutando o endereço IPv6 em cada solicitação e para manter o uso de memória inativo, é necessário bloquear intervalos e, devido ao desconhecimento antecipado de comprimentos de prefixo, é necessário ajustar os comprimentos de prefixo dinamicamente.
É possível criar heurísticas já agora. Quão bem eles vão trabalhar, não sabemos ainda.
Uma heurística seria para cada tamanho de prefixo definir um limite de quantos IPs são necessários para bloquear um prefixo desse comprimento. E o bloqueio só deve ser aplicado em um tamanho específico, se um prefixo maior não for suficiente. Em outras palavras, você precisa de IPs bloqueados individualmente em cada uma das duas metades para realmente iniciar um bloqueio.
Por exemplo, pode-se decidir que, para bloquear um / 48, deve haver 100 IPs bloqueados em cada um dos dois / 49s que compõem o / 48. Quanto mais longo for o prefixo, menor será o número de IPs necessários para bloqueá-lo, mas, em todos os casos, eles teriam que ser distribuídos pelas duas metades.