Вопрос: Любая причина не включать защиту DoS в моем маршрутизаторе?


Недавно я нашел параметр DoS Defense в моем DrayTek Vigor 2830 маршрутизатор, который по умолчанию отключен. Я использую очень маленький сервер в этой сети, и я очень серьезно отношусь к тому, что сервер работает и работает 24/7.

Я немного не уверен, что защита DoS может вызвать у меня любые проблемы. Я еще не испытывал никаких DoS-атак, но я хотел бы избежать возможных атак. есть ли смысл не чтобы включить настройку защиты DoS?


13
2017-12-20 17:08


Источник


Вместо того, чтобы спрашивать нас если вы не должны / не должны включать эту функцию «Защита DoS», почему бы не спросить своего поставщика маршрутизатора что он на самом деле делает когда вы установите флажок, а затем решите, имеют ли эти правила смысл в вашей среде? - voretaq7
(После выкапывания руководства со своего веб-сайта я могу сказать, что список вещей, которые он проверяет и имеет дело, является относительно нормальным - вряд ли сломает что-либо законное, поэтому никакого реального вреда в его включении. чтобы защитить вас от всего - есть некоторые атаки, которые он не может смягчить) - voretaq7
Поскольку это в основном вопрос анализа риска, вы можете попросить его перенести на Информационная безопасность, - AviD


Ответы:


Это означает, что маршрутизатор должен поддерживать дополнительное состояние и выполнять дополнительную работу над каждым пакетом. И как это может реально помочь в случае DoS? Все, что он может сделать, это сбросить пакет, который вы уже получили. Поскольку вы уже получили его, он уже наносил ущерб, потребляя входящую полосу пропускания в Интернете.


20
2017-12-20 17:30



@SpacemanSpiff: две причины: это не так: 1) Типичная ADSL-связь не может нести достаточный трафик, чтобы в любой момент получить услугу. Типичные атаки DoS по таким ссылкам работают, потребляя вашу пропускную способность. 2) Устройство не может достоверно определить трафик атаки из законного трафика. Таким образом, остановка DoS-атаки - это только DoS-атака на себя, так как вы также отбрасываете законный трафик. (В лучшем случае это сохранит вашу исходящую пропускную способность для других сервисов, потому что вы не отвечаете на трафик атаки. Но без полезного входящего, защита вашего исходящего трафика обычно не очень помогает.) - David Schwartz
В значительной степени ... Вообще, если вы получите досье на любой линии, дрейтек будет подняться, вы снижаетесь. - Sirex
То, что вы ему сказали, это отключить следующее, просто вы знаете: SYN flooding, UDP flooding, ICMP flooding, обнаружение сканирования порта, IP-спуфинг, Tear Drop Attacks. Просто потому, что этот поставщик оставляет его по умолчанию, не означает, что все это делают. Маршрутизаторы Juniper NetScreen и SRX Branch включены, как и ASA5505. - SpacemanSpiff
Да, но вы перешли все основные защиты края, теперь даже идиот с командой ping Linux может убрать его. - SpacemanSpiff
@SpacemanSpiff: если они могут перегружать свою пропускную способность, они могут забрать его даже с ним. Он отбрасывает трафик после он потребляет свою пропускную способность. Имея защищенный край внутри самой медленной ссылки, вы мало что не хотите. Скорее всего, его самым слабым звеном является процессор маршрутизатора и входящая полоса пропускания. - David Schwartz


Одна из причин, почему не включить параметр защиты DoS Defense заключается в том, что попытка защитить системы от DOSed будет шип CPU маршрутизатора / брандмауэра, вызывающего DoS.


4
2017-12-20 17:19





Да, абсолютно, включите его.

Если это будет выполнено правильно, ваш брандмауэр должен проверить каждый пакет. После того, как он решил отказаться от этого трафика как часть DoS-атаки, он должен установить правило на аппаратное обеспечение и тихо отбросить трафик, а не обрабатывать его снова и снова. Там, где он все равно выпадет, это лицо - это распределенная атака, но я предлагаю вам включить это.

Какие услуги это серверный хостинг?


3
2017-12-20 18:36



В нем много разных вещей: IIS, базы данных MSSQL, базы данных MySQL, Apache, Minecraft и всевозможные случайные вещи, для которых мне нужен сервер :) - Cupcake
Если трафик повредил вашу ссылку, это все равно повредит вашу ссылку. Если бы это было не так, вы, скорее всего, сбросили хотя бы какой-то законный трафик, сделав атаку DoS хуже. На маршрутизаторе SoHo это плохой совет. По умолчанию это отключено. - David Schwartz
Я уверен, что экраны и правила DoS не переносят ДРУГИЕ типы трафика. - SpacemanSpiff
«Если выполнено правильно» не гарантируется; особенно на оборудовании потребительского класса. Маршрутизатор Netgear, который я использовал дома несколько лет назад, имел основную ошибку в DOS-фильтре. Можно было отправить один пакет с искаженными данными, что может привести к сбою фильтра DOS и снести маршрутизатор с ним. - Dan Neely
Нет, это не так, он всегда может отключить или настроить пороговые значения. Я видел, как устройства нижнего уровня защищают сети только этим основным материалом, в то время как неправильно сконфигурированные межсетевые экраны корпоративного класса падают на их лицо. - SpacemanSpiff


Старый поток, который я знаю, но мне просто пришлось отключить защиту DoS на моем домашнем маршрутизаторе Draytek 2850, чтобы предотвратить некоторые проблемы с подключением (почти вся пропускная способность каждого пользователя упала до 0). Как ни странно, когда все дети используют свои iPhone, ПК и беседуют по Skype и т. Д., Он вызывает защиту DoS!

Я предполагаю, что в обоих направлениях так много трафика, что маршрутизатор считает, что он находится под атакой извне и закрывается. Отключение защиты от наводнений в UDP не сделало полного исправления, поэтому я также отключил защиту SYN и ICMP. (Если вам пришлось отключить защиту от вторжений SYN и ICMP, то я думаю, что маршрутизатор выполнял очень хорошую работу, если вы не используете сервер или серверы в своей сети). Запросы SYN и ICMP отправляются серверам во время инициирования соединения, затем клиентские устройства получают SYN-ACK обратно с сервера.

Hey presto - больше проблем с подключением. Конечно, я вернусь к защите и лучше настрою ценности (измеренные в пакетах / секунду), но я пытался надолго решить эту проблему, и это было настоящим потрясением, чтобы выяснить реальную причину.

Надеюсь, это поможет кому-то другому.


3
2017-10-20 19:16



Я могу подтвердить это же на маршрутизаторе ASUS Wireless Router RT-N10. Включение защиты DoS приведет к ухудшению качества беспроводного соединения.
У нас была очень похожая проблема на 2930 вскоре после того, как мы начали разрешать мобильные устройства в сети. Я значительно увеличил пороговые уровни для защиты SYN, UDP и ICMP, и это остановило проблему.


Если атака DoS не убивает ваш компьютер, тепло, генерируемое защитой DoS, убьет ваш маршрутизатор. Если ваши проблемы, связанные с безопасностью, не используют Интернет.

Лучше защищать каждое отдельное устройство в вашей сети с помощью правильно настроенного брандмауэра и av, когда вы не используете сеть, отключите ваш Wi-Fi, используйте его так же, как и вашу водопроводную воду.


-2
2017-11-27 01:53