Вопрос: Что такое защита DoS в Synology DSM 5?


Если я открою Control Panel > Security > Protection, проверить Enable DoS Protection и нажмите Apply, какой трафик блокируется?

Текст, читаемый в разделе «Защита от DoS-атак (DoS)), помогает предотвратить вредоносные атаки через Интернет».

Я не могу найти более подробную информацию об этом.

Что более точно делает эта защита DoS, кроме помощи «предотвратить вредоносные атаки»? Как узнать, какие вредоносные атаки и какие действительные запросы?

Мне нужно некоторое определение того, что блокируется, поэтому я не могу заблокировать действительный трафик по ошибке, если я включу это.

И в этом конкретном случае мне нужно поддерживать приложение, которое, к сожалению, должно выполнить около 150 подключений одновременно или быстро ...


5
2017-07-23 15:18


Источник


Я нашел эта почта на Facebook, который показывает некоторые дополнительные правила брандмауэра, добавленные при активной защите DoS, похоже, что он ограничивает количество пакетов в секунду.
Чтобы быть ясным, на уровне брандмауэра программного обеспечения существует очень мало возможностей для предотвращения настоящих DoS-атак. Они должны быть остановлены вверх по течению до пакеты попадают в целевую систему. Эта функциональность DSM, скорее всего, скорее похожа на предотвращение атаки с использованием грубой силы, а также на некоторые рудиментарные правила брандмауэра, которые могут помочь уменьшить атаки на SYN-наводнение и т. Д. - EEAA♦


Ответы:


Еще не ответ, но некоторые данные:

iptables-save вывода на «DSM 5.2-5644 Update 5»:

С защитой DoS:

# Generated by iptables-save v1.4.21 on Sat Feb 20 23:23:24 2016
*filter
:INPUT ACCEPT [6161:1075680]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5604:2995833]
:DEFAULT_INPUT - [0:0]
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
COMMIT
# Completed on Sat Feb 20 23:23:24 2016

С защитой DoS:

# Generated by iptables-save v1.4.21 on Sat Feb 20 23:24:27 2016
*filter
:INPUT ACCEPT [10:1306]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:2003]
:DEFAULT_INPUT - [0:0]
:DOS_PROTECT - [0:0]
-A INPUT -j DOS_PROTECT
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
COMMIT
# Completed on Sat Feb 20 23:24:27 2016

Нет соответствующих изменений между соответствующими результатами sysctl -a (меняются только значения времени выполнения, такие как число inode)

В любом случае, tc -p class show dev eth0 а также tc -p qdisc show dev eth0 показать настройки по умолчанию.

> tc -p class show dev eth0
class mq :1 root 
class mq :2 root 
class mq :3 root 
class mq :4 root 
class mq :5 root 
class mq :6 root 
class mq :7 root 
class mq :8 root 
> tc -p qdisc show dev eth0
qdisc mq 0: root 

1
2018-02-20 22:26





Не ответ, потому что смягчение DoS, по-видимому, доступно только в Synology DSM 5, и моя система NAS не может быть обновлена, и это слишком долго, чтобы вписаться в комментарий.

Как упоминалось в @EEAA, вы можете сделать только очень мало, но вы можете настроить брандмауэр, изменить настройки ядра и, возможно, сделать некоторое формирование трафика.

Может быть, кто-то может сделать до и после проверки и опубликовать разницу между тем, что переключает защиту DoS на системные настройки?

  • iptables-save - для изменений в программном брандмауэре
  • sysctl -a - для перегонов ядра
  • tc -p qdisc show dev eth0 & tc -p class show dev eth0 - для любых настроек управления трафиком

0
2017-07-23 17:13