Bất kỳ lý do nào để không kích hoạt DoS Defense trong bộ định tuyến của tôi?


15

Gần đây tôi đã tìm thấy cài đặt DoS Defense trong bộ định tuyến DrayTek Vigor 2830 của mình , được tắt theo mặc định. Tôi đang chạy một máy chủ rất nhỏ trên mạng này và tôi rất nghiêm túc khi có máy chủ hoạt động 24/7.

Tôi hơi không chắc chắn liệu DoS Defense có thể gây ra cho tôi bất kỳ vấn đề nào không. Tôi chưa trải qua bất kỳ cuộc tấn công DoS nào, nhưng tôi muốn tránh các cuộc tấn công có thể xảy ra. Có bất kỳ lý do nào để không kích hoạt cài đặt DoS Defense không?


3
Thay vì hỏi chúng tôi nếu bạn nên / không nên kích hoạt tính năng "DoS Defense" này, tại sao không hỏi nhà cung cấp bộ định tuyến của bạn những gì nó thực sự làm khi bạn kiểm tra hộp, sau đó quyết định xem các quy tắc đó có hợp lý trong môi trường của bạn không?
voretaq7

(Sau khi tìm hiểu hướng dẫn từ trang web của họ, tôi có thể nói danh sách những thứ mà nó kiểm tra và xử lý là tương đối lành mạnh - Không có khả năng phá vỡ bất cứ điều gì hợp pháp, vì vậy không có hại thực sự khi bật nó. để bảo vệ bạn khỏi mọi thứ - có một số cuộc tấn công không thể giảm thiểu )
voretaq7

Vì đây chủ yếu là một câu hỏi phân tích rủi ro, bạn có thể cân nhắc yêu cầu chuyển vấn đề này sang Bảo mật thông tin .
AviD

Câu trả lời:


21

Nó có nghĩa là bộ định tuyến phải duy trì trạng thái bổ sung và thực hiện công việc bổ sung trên mỗi gói. Và làm thế nào nó thực sự có thể giúp trong trường hợp DoS? Tất cả những gì nó có thể làm là bỏ một gói mà bạn đã nhận được. Vì bạn đã nhận được nó, nó đã gây thiệt hại bằng cách sử dụng băng thông Internet gửi đến của bạn.


3
@SpacemanSpiff: Hai lý do không đúng: 1) Một liên kết ADSL thông thường không thể mang đủ lưu lượng để đưa ra một dịch vụ. Các cuộc tấn công DoS điển hình trên các liên kết như vậy hoạt động bằng cách tiêu thụ băng thông của bạn. 2) Thiết bị không thể tin cậy lưu lượng truy cập từ lưu lượng truy cập hợp pháp. Vì vậy, dừng cuộc tấn công DoS chỉ là một cuộc tấn công DoS vào chính bạn vì bạn cũng đang giảm lưu lượng truy cập hợp pháp. (Tại hầu hết, điều này sẽ duy trì băng thông ra bên ngoài của bạn cho các dịch vụ khác bởi vì bạn không trả lời lưu lượng tấn công Nhưng không có trong nước hữu ích, bảo vệ của bạn ra bên ngoài thường không giúp gì nhiều..)
David Schwartz

1
Khá nhiều ... Nói chung, nếu bạn bị ném vào bất kỳ dòng nào, một dreytek sẽ cầm lên, bạn sẽ đi xuống.
Sirex

1
Những gì bạn đã bảo anh ấy làm là tắt những thứ sau, để bạn biết: lũ lụt SYN, lũ UDP, lũ ICMP, Phát hiện quét cổng, giả mạo IP, tấn công xé hình. Chỉ vì nhà cung cấp này bỏ mặc định, không có nghĩa là mọi người đều làm như vậy. Các bộ định tuyến Juniper NetScreen và SRX Branch được bật tính năng này, cũng như ASA5505.
SpacemanSpiff

1
Có, nhưng bạn đã biến tất cả các phòng thủ cạnh cơ bản, bây giờ ngay cả một thằng ngốc với lệnh ping Linux cũng có thể hạ gục anh ta.
SpacemanSpiff

3
@SpacemanSpiff: Nếu họ có thể áp đảo băng thông của anh ta, họ có thể hạ gục anh ta ngay cả khi bật nó. Anh ta giảm lưu lượng sau khi nó đã tiêu tốn băng thông của mình. Có một cạnh được bảo vệ bên trong liên kết chậm nhất làm bạn ít hoặc không tốt. Rất có thể, liên kết yếu nhất của anh ta là CPU bộ định tuyến và băng thông vào.
David Schwartz

5

Một lý do để không kích hoạt cài đặt DoS Defense là việc cố gắng bảo vệ các hệ thống khỏi DOSed sẽ làm tăng CPU của bộ định tuyến / tường lửa gây ra chính DoS.


5

Một chủ đề cũ mà tôi biết, nhưng tôi vừa phải tắt hệ thống phòng thủ DoS trên bộ định tuyến gia đình Draytek 2850 của mình để ngăn chặn một số vấn đề về kết nối (hầu như băng thông bị ràng buộc của mọi người giảm xuống 0). Thật kỳ lạ, khi tất cả những đứa trẻ đang sử dụng iPhone, PC và trò chuyện trên Skype, v.v ... nó sẽ kích hoạt hệ thống phòng thủ DoS!

Tôi đoán là có rất nhiều lưu lượng đi theo cả hai hướng mà bộ định tuyến nghĩ rằng nó đang bị tấn công từ bên ngoài và tắt. Tắt hệ thống phòng thủ lũ UDP đã không khắc phục hoàn toàn nên tôi cũng tắt hệ thống phòng thủ của SYN và ICMP. (Nếu bạn phải tắt cả hai chức năng chống lũ SYN và ICMP thì tôi nghĩ rằng bộ định tuyến đã hoạt động rất tốt trừ khi bạn đang chạy một máy chủ hoặc máy chủ trên mạng của mình) - Sau đó, các yêu cầu của SYN và ICMP được gửi đến máy chủ trong khi bắt đầu kết nối, sau đó các thiết bị khách nhận được một SYN-ACK trở lại từ máy chủ.

Xin chào - không có vấn đề kết nối nữa. Tất nhiên, tôi sẽ bật lại hệ thống phòng thủ và điều chỉnh tốt hơn các giá trị (được đo bằng gói / giây), nhưng tôi đã cố gắng khắc phục vấn đề này từ lâu và thật sốc khi tìm ra nguyên nhân thực sự.

Tôi mong điều này giúp được người nào khác.


Tôi có thể xác nhận tương tự trên Bộ định tuyến không dây ASUS RT-N10. Kích hoạt bảo vệ DoS sẽ làm giảm kết nối không dây.

1
Chúng tôi đã gặp sự cố tương tự vào ngày 2930 ngay sau khi chúng tôi bắt đầu cho phép các thiết bị di động trên mạng. Tôi đã tăng tỷ lệ ngưỡng cho phòng thủ SYN, UDP và ICMP một cách đáng kể và nó đã ngăn chặn vấn đề.

3

Vâng, hoàn toàn , bật nó lên.

Nếu điều này được thực hiện chính xác, công cụ tường lửa của bạn sẽ kiểm tra từng gói. Khi đã xác định giảm lưu lượng này như một phần của cuộc tấn công DoS, nó sẽ cài đặt quy tắc vào phần cứng và âm thầm thả lưu lượng thay vì xử lý lặp đi lặp lại. Trường hợp nó vẫn rơi trên mặt là một cuộc tấn công phân tán, nhưng tôi khuyên bạn nên bật nó lên.

Những loại dịch vụ mà máy chủ lưu trữ?


Nó đang chạy rất nhiều thứ khác nhau: Cơ sở dữ liệu IIS, MSSQL, cơ sở dữ liệu MySQL, Apache, Minecraft và tất cả các loại công cụ ngẫu nhiên tôi cần một máy chủ cho :)
Cupcake

3
Nếu lưu lượng truy cập làm tổn thương liên kết của bạn, nó vẫn sẽ làm tổn thương liên kết của bạn. Nếu không, hiện tại bạn có khả năng sẽ giảm ít nhất một số lưu lượng truy cập hợp pháp, khiến cuộc tấn công DoS trở nên tồi tệ hơn. Trên một bộ định tuyến SoHo, đây là lời khuyên tồi. Nó bị tắt theo mặc định vì một lý do.
David Schwartz

1
Toàn bộ quan điểm của DoS là làm cho lưu lượng DoS không thể phân biệt được với lưu lượng hợp pháp để nạn nhân phải lựa chọn giữa việc giảm lưu lượng hợp pháp và phản hồi lưu lượng DoS. Ví dụ: nếu bạn đang phục vụ HTTP trên cổng 80, một cuộc tấn công DoS điển hình mà bạn sẽ thấy là trận lũ SYN đa nguồn trên cổng 80. Làm thế nào bạn có thể nói về lũ lụt SYN từ các máy khách SYN hợp pháp?
David Schwartz

2
"Nếu được thực hiện đúng" không được đảm bảo; đặc biệt là về phần cứng tiêu dùng. Bộ định tuyến Netgear tôi đang sử dụng ở nhà vài năm trước có một lỗi lớn trong bộ lọc DOS. Có thể gửi một gói có dữ liệu không đúng định dạng sẽ khiến bộ lọc DOS gặp sự cố và làm hỏng bộ định tuyến.
Dan đang loay hoay bởi Firelight

1
Không, không, anh ta luôn có thể tắt hoặc điều chỉnh ngưỡng. Tôi đã thấy các thiết bị dưới cùng bảo vệ các mạng chỉ bằng những thứ cơ bản này trong khi các tường lửa của lớp doanh nghiệp bị định cấu hình sai.
SpacemanSpiff

-2

Nếu cuộc tấn công DoS không giết chết máy tính của bạn trước tiên, nhiệt lượng được tạo ra từ bảo vệ DoS sẽ giết chết bộ định tuyến của bạn. Nếu bạn quan tâm đến vấn đề bảo mật thì đừng sử dụng internet.

Tốt hơn là bảo vệ mọi thiết bị riêng lẻ trên mạng của bạn bằng tường lửa và av được đặt đúng cách, khi không sử dụng mạng, hãy tắt wifi, sử dụng nó giống như bạn dùng nước máy.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.