Yönlendiricimde DoS Defense'yi etkinleştirmemek için herhangi bir neden var mı?

15

Kısa bir süre önce DrayTek Vigor 2830 yönlendiricimde varsayılan olarak devre dışı bırakılan bir DoS Savunma ayarı buldum . Bu ağ üzerinde çok küçük bir sunucu çalıştırıyorum ve sunucunun 7/24 çalışmasını çok ciddiye alıyorum.

DoS Savunma'nın bana herhangi bir soruna neden olup olmayacağından emin değilim. Henüz hiçbir DoS saldırısı yaşamadım, ancak olası saldırılardan kaçınmak istiyorum. Bir sebep var mı yok DoS Savunma ayarı etkinleştirme?

security  router  denial-of-service  draytek 
ThomasCle
kaynak
3
Bu "DoS Savunma" özelliğini etkinleştirmeniz gerekip gerekmediğini bize sormak yerine , yönlendirici satıcınıza kutuyu işaretlediğinizde gerçekte ne yaptığını sormuyorsunuz , sonra bu kuralların ortamınızda anlamlı olup olmadığına karar vermiyorsunuz ?
voretaq7
(Kendi web sitesinden kılavuzu kazıp sonra kontrol ve ilgilenen şeylerin listesi nispeten aklı başında olduğunu söyleyebiliriz - Yasal bir şey kırmak mümkün değildir, bu yüzden onu açarken gerçek bir zarar yok. Sadece beklemeyin sizi her şeyden korumak için - hafifletemeyeceği bazı saldırılar var )
voretaq7
Bu çoğunlukla bir risk analizi sorusu olduğundan, bunu Bilgi Güvenliğine taşımayı düşünebilirsiniz .
AviD

Yanıtlar:

21

Bu, yönlendiricinin ek durumu koruması ve her paket üzerinde ek iş yapması gerektiği anlamına gelir. Ve bir DoS durumunda gerçekten nasıl yardımcı olabilir? Yapabileceği tek şey, almış olduğunuz bir paketi bırakmaktır. Zaten aldığınızdan, gelen İnternet bant genişliğinizi tüketerek hasarı zaten yapmıştı.

David Schwartz
kaynak
3
@SpacemanSpiff: Bunun doğru olmamasının iki nedeni var: 1) Tipik bir ADSL bağlantısı zaten bir hizmeti almak için yeterli trafiği taşıyamaz. Bu tür bağlantılar üzerinden yapılan tipik DoS saldırıları bant genişliğinizi tüketerek çalışır. 2) Cihaz, yasal trafikten gelen saldırı trafiğini güvenilir bir şekilde söyleyemez. Bu nedenle, meşru trafiği de bıraktığınız için DoS saldırısını durdurmak yalnızca kendinize bir DoS saldırısıdır. (En çok, bu, diğer hizmetler için giden bant genişliğinizi koruyacaktır, çünkü saldırı trafiğine yanıt vermiyorsunuz. Ancak yararlı bir gelen girişi olmadan, giden kutunuzu korumak genellikle çok yardımcı olmaz.)
David Schwartz
1
Hemen hemen ... Genellikle, bir dreytek'in tutacağı herhangi bir hatta dolanırsanız, aşağı inersiniz.
Sirex
1
Bunu yapmasını söylediğiniz şey, aşağıdakileri bilmenizdir: SYN seli, UDP seli, ICMP seli, Port Tarama Algılamaları, IP Kimlik Sahtekarlığı, Gözyaşı Damlası Saldırıları. Bu satıcının varsayılan olarak bırakması, herkesin yaptığı anlamına gelmez. Juniper NetScreen ve SRX Branch yönlendiricileri ASA5505 gibi bu etkinleştirilmiş olarak gelir.
SpacemanSpiff
1
Evet, ama tüm temel kenar savunmasını geri çevirdiniz, şimdi Linux ping komutuna sahip bir aptal bile onu alt edebilir.
SpacemanSpiff
3
@SpacemanSpiff: Bant genişliğini aşabilirlerse, onunla bile onu aşağı çekebilirler. Bant genişliğini tükettikten sonra trafiği düşürüyor . En yavaş bağlantının içinde savunulmuş bir kenara sahip olmak, çok az şey yapar ya da hiç iyi olmaz. Büyük olasılıkla, en zayıf halkası yönlendirici CPU ve onun gelen bant genişliği.
David Schwartz
5

DoS Savunma ayarını etkinleştirmemenin bir nedeni, sistemleri DOSed'den korumaya çalışmanın, yönlendirici / güvenlik duvarının CPU'sunu bir DoS'a neden olacak şekilde yükseltmesidir.

becomingwisest
kaynak
5

Bildiğim eski bir iş parçacığı, ancak bazı bağlantı sorunlarını önlemek için Draytek 2850 ev yönlendiricimdeki DoS savunmalarını kapatmak zorunda kaldım (neredeyse herkesin bağlı bant genişliği 0'a düştü). Garip bir şekilde, tüm çocuklar iPhone'larını, PC'lerini kullanırken ve Skype'ta vb. Sohbet ederken DoS savunmasını tetikler!

Benim tahminim, her iki yönde de çok fazla trafik olması, yönlendiricinin dışarıdan saldırı altında olduğunu düşünüyor ve kapanıyor. UDP sel savunmasını kapatmak tam bir düzeltme yapmadı, bu yüzden SYN ve ICMP savunmalarını da kapattım. (Hem SYN hem de ICMP sel korumasını kapatmanız gerekiyorsa, ağınızda bir sunucu veya sunucu çalıştırmıyorsanız yönlendiricinin çok iyi bir iş yaptığını düşünüyorum) - SYN ve ICMP istekleri bağlantı başlatma sırasında sunuculara gönderilir, istemci aygıtları sunucudan bir SYN-ACK alır.

Hey presto - bağlantı sorunu yok. Tabii ki, savunmaları tekrar açacağım ve değerleri daha iyi ayarlayacağım (paketler / saniye cinsinden), ama bu problemi asırlardır çivilemeye çalışıyorum ve gerçek nedeni bulmak oldukça şok oldu.

Umarım bunun bir başkasına yardımı olur.

Richard
kaynak
Aynı şeyi bir ASUS Kablosuz Yönlendirici RT-N10'da onaylayabilirim. DoS korumasının etkinleştirilmesi kablosuz bağlantıyı azaltacaktır.
1
Ağda mobil cihazlara izin vermeye başladıktan kısa bir süre sonra 2930'da çok benzer bir sorun yaşadık. SYN, UDP ve ICMP savunması için eşik oranlarını önemli ölçüde artırdım ve sorunu durdurdu.
3

Evet, kesinlikle açın .

Bu doğru şekilde uygulanırsa güvenlik duvarınızın motoru her paketi incelemelidir. Bu trafiği DoS saldırısının bir parçası olarak bırakmaya karar verildiğinde, bir kuralı donanıma yüklemeli ve trafiği tekrar tekrar işlemek yerine sessizce bırakmalıdır. Hala yüzüne düşeceği yerde dağıtılmış bir saldırı, ama bunu açmanızı öneririm.

Bu sunucu ne tür hizmetleri barındırıyor?

SpacemanSpiff
kaynak
Çok farklı şeyler çalıştırıyor: IIS, MSSQL Veritabanları, MySQL veri tabanları, Apache, Minecraft ve bir sunucuya ihtiyacım olan her türlü rastgele malzeme :)
ThomasCle
3
Trafik bağlantınıza zarar verseydi, yine de bağlantınıza zarar verir. Değilse, şimdi en azından bir miktar meşru trafiği bırakmanız ve DoS saldırısını daha da kötüleştirmeniz muhtemeldir. SoHo yönlendiricisinde bu kötü bir tavsiye. Bir nedenden dolayı varsayılan olarak kapalıdır.
David Schwartz
1
Bir DoS'ın tüm amacı, DoS trafiğini meşru trafikten ayırt edilemez hale getirmektir, böylece mağdur meşru trafiği bırakmak ve DoS trafiğine cevap vermek arasında seçim yapmak zorundadır. Örneğin, 80 numaralı bağlantı noktasında HTTP hizmeti veriyorsanız, göreceğiniz tipik bir DoS saldırısı, 80 numaralı bağlantı noktasında çok kaynaklı bir SYN seli olur. Meşru istemci SYN'lerinden sele SYN'lerini nasıl anlatabilirsiniz?
David Schwartz
2
"Doğru şekilde uygulanırsa" garanti edilmez; özellikle tüketici sınıfı donanımlarda. Birkaç yıl önce evde kullandığım Netgear yönlendiricisinin DOS filtresinde büyük bir hata vardı. DOS filtresinin çökmesine ve yönlendiriciyi onunla birlikte almasına neden olacak hatalı biçimlendirilmiş veriler içeren tek bir paket göndermek mümkün oldu.
Dan, Firelight tarafından
1
Hayır değil, her zaman kapatabilir veya eşikleri ayarlayabilir. Yanlış yapılandırılmış kurumsal sınıf güvenlik duvarları yüzlerine düşerken, alt uç cihazların ağları sadece bu temel şeylerle koruduğunu gördüm.
SpacemanSpiff
-2

DoS saldırısı önce bilgisayarınızı öldürmezse, DoS korumasından üretilen ısı yönlendiricinizi öldürür. Eğer güvenlik konusunda endişeleriniz varsa internet kullanmayın.

Ağınızdaki her bir cihazı düzgün bir şekilde ayarlanmış bir güvenlik duvarı ve av ile korumak daha iyidir, net'i kullanmadığınızda wifi'nizi kapatın, musluk suyunuz gibi kullanın.

DERP
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.