Любая причина не включать DoS Defense в моем маршрутизаторе?

15

Недавно я нашел параметр защиты DoS в моем маршрутизаторе DrayTek Vigor 2830 , который по умолчанию отключен. Я использую очень маленький сервер в этой сети и очень серьезно отношусь к тому, чтобы сервер работал и работал круглосуточно и без выходных.

Я немного не уверен, может ли защита DoS вызвать у меня какие-либо проблемы. Я не испытывал никаких DoS-атак, но хотел бы избежать возможных атак. Есть ли причина не включать настройку DoS Defense?

security router denial-of-service draytek Кекс
источник
3
Вместо того, чтобы спрашивать нас , следует ли вам включать / не включать эту функцию «защиты от DoS», почему бы не спросить своего поставщика маршрутизатора, что он на самом деле делает, когда вы установите флажок, а затем решите, имеют ли эти правила смысл в вашей среде?
voretaq7
(Выкопав руководство со своего веб-сайта, я могу сказать, что список проверяемых и рассматриваемых им вещей относительно нормален - вряд ли что-то нарушит законность, поэтому никакого вреда при его включении нет. Просто не ожидайте этого чтобы защитить вас от всего - есть некоторые атаки, которые он не может смягчить )
voretaq7
Поскольку это в основном вопрос анализа рисков, вы можете подумать о том, чтобы перенести его в информационную безопасность .
Ави

Ответы:

21

Это означает, что маршрутизатор должен поддерживать дополнительное состояние и выполнять дополнительную работу с каждым пакетом. И как это может помочь в случае DoS? Все, что он может сделать, это отбросить пакет, который вы уже получили. Поскольку вы уже получили его, он уже нанес ущерб, потратив пропускную способность вашего входящего Интернета.

Дэвид Шварц
источник
3
@SpacemanSpiff: две причины, по которым это не так: 1) Типичная ссылка ADSL не может нести достаточно трафика, чтобы в любом случае получить услугу. Типичные DoS-атаки по таким каналам работают, потребляя вашу пропускную способность. 2) Устройство не может надежно отличить трафик атаки от легального трафика. Поэтому прекращение DoS-атаки - это просто DoS-атака на себя, поскольку вы также отбрасываете законный трафик. (Самое большее, это сохранит вашу исходящую пропускную способность для других сервисов, потому что вы не отвечаете на трафик атаки. Но без полезного входящего, защита вашего исходящего обычно не очень помогает.)
Дэвид Шварц
1
В значительной степени ... Вообще, если вы получаете дозированную дозу на любой линии, которую держит дрейтек, вы идете вниз.
Sirex
1
То, что вы сказали ему сделать, это отключить следующее, просто чтобы вы знали: переполнение SYN, переполнение UDP, ICMP, обнаружение сканирования портов, спуфинг IP, атаки с разрывом слезы. Тот факт, что этот поставщик оставляет его по умолчанию, не означает, что все так делают. Маршрутизаторы Juniper NetScreen и SRX Branch поддерживают эту функцию, как и ASA5505.
SpacemanSpiff
1
Да, но вы перевернули всю базовую защиту, теперь даже идиот с командой Linux ping может его сломить.
SpacemanSpiff
3
@SpacemanSpiff: Если они могут сокрушить его пропускную способность, они могут снять его, даже если он включен. Он отбрасывает трафик после того, как он использует его пропускную способность. Наличие защищенного края внутри самой медленной ссылки мало что дает. Скорее всего, его самое слабое звено - это процессор маршрутизатора и его пропускная способность.
Дэвид Шварц
5

Одна из причин, по которой не следует включать настройку защиты от DoS-атак, заключается в том, что попытка защитить системы от DOSed приведет к скачку ЦП маршрутизатора / брандмауэра и возникновению самой DoS.

becomingwisest
источник
5

Я знаю старый поток, но мне просто нужно было отключить защиту DoS на домашнем маршрутизаторе Draytek 2850, чтобы предотвратить некоторые проблемы с подключением (почти у всех пропускная способность в сети упала до 0). Как ни странно, когда все дети используют свои айфоны, компьютеры, общаются в Skype и т. Д., Это вызывает защиту DoS!

Я предполагаю, что в обоих направлениях идет так много трафика, что маршрутизатор считает, что подвергается атаке извне и выключается. Отключение защиты от наводнений UDP не дало полного исправления, поэтому я также отключил защиту SYN и ICMP. (Если вам пришлось отключить защиту от наводнений SYN и ICMP, то я думаю, что маршрутизатор работал очень хорошо, если вы не используете сервер или серверы в сети) - запросы SYN и ICMP отправляются на серверы во время инициализации соединения, затем клиентские устройства получают SYN-ACK обратно с сервера.

Эй, Presto - больше никаких проблем с подключением. Конечно, я снова включу защиту и лучше настрою значения (измеряемые в пакетах в секунду), но я пытался решить эту проблему целую вечность, и найти настоящую причину было настоящим шоком.

Я надеюсь, что это помогает кому-то еще.

Ричард
источник
Я могу подтвердить то же самое на беспроводном маршрутизаторе ASUS RT-N10. Включение защиты от DoS ухудшит беспроводное соединение.
1
У нас была очень похожая проблема на 2930 вскоре после того, как мы начали разрешать мобильные устройства в сети. Я значительно увеличил пороговые значения для защиты SYN, UDP и ICMP, и это остановило проблему.
3

Да, безусловно , включите его.

Если это реализовано правильно, ваш брандмауэр должен проверять каждый пакет. Как только будет определено, что этот трафик отбрасывается как часть атаки DoS, он должен установить правило на аппаратное обеспечение и автоматически отбрасывать трафик, а не обрабатывать его снова и снова. Там, где он все еще будет падать, это распределенная атака, но я предлагаю вам включить это.

Какие виды услуг этот сервер хостинг?

SpacemanSpiff
источник
Он запускает много разных вещей: IIS, базы данных MSSQL, базы данных MySQL, Apache, Minecraft и все виды случайных вещей, для которых мне нужен сервер :)
Cupcake
3
Если трафик причиняет вред вашей ссылке, он все равно будет вредить вашей ссылке. Если это не так, теперь вы, скорее всего, отбросите хотя бы некоторый законный трафик, что сделает DoS-атаку хуже. На роутере SoHo это плохой совет. По умолчанию он отключен.
Дэвид Шварц
1
Смысл DoS состоит в том, чтобы сделать трафик DoS неотличимым от легитимного трафика, чтобы жертве пришлось выбирать между отбрасыванием легального трафика и реагированием на трафик DoS. Например, если вы обслуживаете HTTP на порте 80, вы увидите одну типичную DoS-атаку - флуд SYN с несколькими источниками на порте 80. Как вы можете отличить SYN-потоки от действительных клиентских SYN?
Дэвид Шварц
2
«Если реализовано правильно» не гарантируется; особенно на потребительском оборудовании. У маршрутизатора Netgear, который я использовал дома несколько лет назад, была серьезная ошибка в его фильтре DOS. Можно было отправить один пакет с искаженными данными, что могло привести к сбою фильтра DOS и отключению маршрутизатора.
Дэн возится с Firelight
1
Нет, это не так, он всегда может выключить его или настроить пороги. Я видел, как устройства нижнего уровня защищают сети только с помощью этих базовых вещей, в то время как неправильно настроенные брандмауэры корпоративного класса падают на их лицо.
SpacemanSpiff
-2

Если атака DoS не убьет ваш компьютер в первую очередь, тепло, генерируемое защитой от DoS, убьет ваш маршрутизатор. Если вы беспокоитесь о безопасности, не используйте Интернет.

Лучше защитить каждое отдельное устройство в вашей сети с помощью правильно настроенного брандмауэра и AV, если вы не пользуетесь сетью, отключите ваш Wi-Fi и используйте его так же, как и водопроводную воду.

DERP
источник