Будь-яка причина не вмикати DoS Defense в моєму маршрутизаторі?


15

Нещодавно я знайшов налаштування DoS Defense в моєму маршрутизаторі DrayTek Vigor 2830 , який вимкнено як типовий. Я запускаю дуже маленький сервер у цій мережі, і я сприймаю це дуже серйозно, щоб сервер працював 24/7.

Я трохи не впевнений, чи захист DoS може спричинити мені якісь проблеми. Я ще не відчував жодних DoS-атак, але хотів би уникнути можливих атак. Чи є якась причина не ввімкнути налаштування DoS Defense?


3
Замість того, щоб запитати нас, чи варто / не слід вмикати цю функцію "DoS Defense", чому б не запитати у вашого постачальника маршрутизаторів, що він насправді робить, коли ви поставите прапорець, і тоді вирішите, чи мають ці правила сенс у вашому оточенні?
voretaq7

(Після викопування посібника з їхнього веб-сайту я можу сказати, що перелік речей, якими він перевіряє і з якими займається, є відносно розумним - навряд чи зламає що-небудь законно, тому ніякої реальної шкоди від його ввімкнення немає. Просто не чекайте цього щоб захистити вас від усього - є деякі напади, які це не може пом'якшити )
voretaq7

Оскільки це здебільшого питання аналізу ризику, ви можете розглянути питання про перенесення цього до інформаційної безпеки .
AviD

Відповіді:


21

Це означає, що маршрутизатор повинен підтримувати додатковий стан і виконувати додаткову роботу над кожним пакетом. І як це може реально допомогти у випадку DoS? Все, що можна зробити, - це скинути пакет, який ти вже отримав. Оскільки ви вже отримали його, він вже завдав шкоди, споживаючи вашу вхідну пропускну здатність Інтернету.


3
@SpacemanSpiff: З двох причин це не вірно: 1) Типовий ADSL-посилання не може нести достатньо трафіку, щоб скористатися послугою. Типові DoS-атаки над такими посиланнями працюють за рахунок споживання вашої пропускної здатності. 2) Пристрій не може надійно визначити атаку трафіку від законного трафіку. Отже, зупинення DoS-атаки - це лише атака DoS на себе, оскільки ви також скидаєте законний трафік. (Щонайбільше, це дозволить зберегти вашу вихідну пропускну здатність для інших служб, тому що ви не відповідаєте на трафік атаки. Але, не маючи корисного вхідного сигналу, захист вашої вихідної лінії зазвичай не дуже допомагає.)
Девід Шварц

1
Досить ... Як правило, якщо ви доїдетеся до будь-якої лінії, дрейтек буде триматися, ви йдете вниз.
Sirex

1
Те, що ви йому сказали, - це вимкнути наступне, тільки щоб ви знали: затоплення SYN, затоплення UDP, затоплення ICMP, виявлення сканування портів, підробляння IP-адреси, атаки сліз сліз. Тільки тому, що цей постачальник залишає його за замовчуванням, не означає, що всі це роблять. Увімкнено це маршрутизатори Juniper NetScreen і SRX Branch, як і ASA5505.
SpacemanSpiff

1
Так, але ви перетворили всю основну оборону краю, тепер навіть ідіот із командою Linux ping може його зняти.
SpacemanSpiff

3
@SpacemanSpiff: Якщо вони можуть перекрити його пропускну здатність, вони можуть зняти його навіть при включенні. Він скидає трафік після того, як він спожив свою пропускну здатність. Маючи захищений край всередині найповільнішого зв’язку, вам мало що не приносить користі. Швидше за все, його найслабшою ланкою є процесор маршрутизатора та його вхідна пропускна здатність.
Девід Шварц

5

Однією з причин заборонити налаштування DoS Defense є те, що спроба захисту систем від DOSed призведе до того, що центральний процесор маршрутизатора / брандмауера буде викликати сам DoS.


5

Я знаю старий потік, але мені просто довелося вимкнути захисні пристрої DoS на домашньому маршрутизаторі Draytek 2850, щоб запобігти деяким проблемам з підключенням (майже в усіх обмежена смуга пропускання знизилася до 0). Як не дивно, коли всі діти користуються своїми айфонами, комп'ютерами та спілкуються в чаті по Skype тощо., Це запускає захисні засоби DoS!

Я здогадуюсь, що стільки трафіку йде в обох напрямках, що маршрутизатор думає, що він знаходиться під атакою ззовні і вимикається. Відключення захисту від повені UDP не виконало повного виправлення, тому я відключив захист SYN та ICMP. (Якщо вам довелося вимкнути захист від повені SYN та ICMP, я вважаю, що маршрутизатор робив дуже гарну роботу, якщо ви не працюєте з сервером або серверами у вашій мережі) - SYN та ICMP запити надсилаються серверам під час ініціювання з'єднання, тоді клієнтські пристрої отримують SYN-ACK назад від сервера.

Гей престо - більше проблем з підключенням немає. Звичайно, я знову ввімкну захисні сили і краще налаштувати значення (виміряні в пакетах / секунду), але я намагався цю проблему впродовж віків виявити, і виявити справжню причину було досить шоком.

Я сподіваюся, що це допомагає комусь іншому.


Я можу це підтвердити на бездротовому маршрутизаторі ASUS RT-N10. Увімкнення захисту DoS призведе до погіршення бездротового з'єднання.

1
У нас була дуже схожа проблема 2930, незабаром після того, як ми почали дозволяти мобільні пристрої в мережі. Я значно підвищив порогові показники для захисту SYN, UDP та ICMP, і це зупинило проблему.

3

Так, абсолютно , увімкніть його.

Якщо це правильно виконано, двигун вашого брандмауера повинен перевірити кожен пакет. Після того, як буде вирішено скинути цей трафік як частину DoS-атаки, він повинен встановити правило в апаратне забезпечення і мовчки скинути трафік, а не обробляти його знову і знову. Там, де воно все ще впаде на його обличчя, - це поширена атака, але я пропоную вам увімкнути це.

Які послуги надає хостинг на сервері?


Тут працює багато різноманітних матеріалів: IIS, бази даних MSSQL, бази даних MySQL, Apache, Minecraft та всілякі випадкові речі, які мені знадобляться на сервері :)
ThomasCle

3
Якщо трафік шкодив вашому посиланню, воно все одно шкодить вашому посиланню. Якщо цього не сталося, зараз ви, швидше за все, скинете хоча б легальний трафік, що посилить атаку DoS. На маршрутизаторі SoHo це погана порада. Вимкнено за замовчуванням з причини.
Девід Шварц

1
Вся суть DoS полягає в тому, щоб зробити DoS-трафік невідмінним від законного трафіку, тому жертва повинна вибирати між тим, як скидати законний трафік і реагувати на DoS-трафік. Наприклад, якщо ви обслуговуєте HTTP на порту 80, одна типова DoS-атака, яку ви побачите, - це багатопоточний потік SYN на порт 80. Як ви можете повідомити про потоки SYN від законних клієнтських SYN?
Девід Шварц

2
"Якщо виконано правильно", не гарантовано; особливо на споживчому рівні обладнання. Маршрутизатор Netgear, яким я користувався вдома кілька років тому, зазнав серйозних помилок у DOS-фільтрі. Можна було надіслати один пакет з неправильно сформованими даними, що призведе до збоїв фільтра DOS і зняття маршрутизатора з ним.
Ден - вогнем світла

1
Ні, це не так, він завжди може відключити або відрегулювати пороги. Я бачив пристрої нижнього класу, що захищають мережі саме цим базовим матеріалом, тоді як неправильно налаштовані брандмауери корпоративного класу падають на їх обличчя.
SpacemanSpiff

-2

Якщо DoS-атака спочатку не вбиває ваш ПК, тепло, що утворюється від захисту DoS, знищить ваш маршрутизатор. Якщо ви стурбовані безпекою, тоді не користуйтеся Інтернетом.

Краще захистити кожен окремий пристрій у вашій мережі належним чином встановленим брандмауером та av, коли не використовуючи мережу, вимкніть ваш Wi-Fi, використовуйте його так, як і ваша водопровідна вода.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.