มีเหตุผลใดที่จะไม่เปิดใช้งาน DoS Defence ในเราเตอร์ของฉัน?

15

ฉันเพิ่งพบการตั้งค่า DoS Defense ในเราเตอร์DrayTek Vigor 2830ซึ่งถูกปิดใช้งานเป็นค่าเริ่มต้น ฉันใช้เซิร์ฟเวอร์ขนาดเล็กมากในเครือข่ายนี้และฉันคิดว่ามันร้ายแรงมากที่ต้องใช้เซิร์ฟเวอร์และทำงานตลอด 24 ชั่วโมงทุกวัน

ฉันไม่แน่ใจเลยว่ากระทรวงกลาโหมจะทำให้เกิดปัญหาใด ๆ หรือไม่ ฉันยังไม่เคยมีประสบการณ์การโจมตี DoS แต่ฉันต้องการหลีกเลี่ยงการโจมตีที่เป็นไปได้ มีเหตุผลใดที่จะไม่เปิดใช้งานการตั้งค่าการป้องกัน DoS หรือไม่

— ThomasCle
แหล่งที่มา

3

แทนที่จะถามเราว่าคุณควร / ไม่ควรเปิดใช้งานคุณลักษณะ "การป้องกัน DoS" ทำไมไม่ถามผู้ขายเราเตอร์ของคุณว่ามันทำอะไรได้จริงเมื่อคุณทำเครื่องหมายในกล่องแล้วตัดสินใจว่ากฎเหล่านั้นเหมาะสมในสภาพแวดล้อมของคุณหรือไม่

— voretaq7

(หลังจากขุดคู่มือขึ้นมาจากเว็บไซต์ของพวกเขาฉันสามารถพูดได้ว่ารายการของสิ่งที่มันตรวจสอบและจัดการกับเป็นคนที่ค่อนข้างมีสติ - ไม่น่าจะทำลายสิ่งที่ถูกต้องตามกฎหมายดังนั้นจึงไม่มีอันตรายที่แท้จริงในการเปิดใช้งาน เพื่อปกป้องคุณจากทุกสิ่ง - มีการโจมตีบางอย่างที่ไม่สามารถบรรเทาได้ )

— voretaq7

เช่นนี้ส่วนใหญ่จะเป็นคำถามการวิเคราะห์ความเสี่ยงคุณอาจพิจารณาขอให้โยกย้ายนี้เพื่อความปลอดภัยของข้อมูล

— AviD

21

หมายถึงเราเตอร์ต้องรักษาสถานะเพิ่มเติมและทำงานเพิ่มเติมในแต่ละแพ็กเก็ต และมันจะช่วยได้จริงๆในกรณีของ DoS หรือไม่? สิ่งที่ทำได้คือวางแพ็กเก็ตที่คุณได้รับแล้ว เนื่องจากคุณได้รับแล้วมันได้สร้างความเสียหายโดยการใช้แบนด์วิดท์อินเทอร์เน็ตขาเข้าของคุณ

— เดวิดชวาร์ตษ์
แหล่งที่มา

3

@SpacemanSpiff: เหตุผลสองประการนี้ไม่เป็นความจริง: 1) ลิงค์ ADSL ทั่วไปไม่สามารถรับปริมาณข้อมูลเพียงพอที่จะให้บริการ การโจมตี DoS แบบทั่วไปบนลิงก์เหล่านั้นทำงานโดยใช้แบนด์วิดท์ของคุณ 2) อุปกรณ์ไม่สามารถบอกปริมาณการโจมตีได้อย่างน่าเชื่อถือจากทราฟฟิกที่ถูกกฎหมาย ดังนั้นการหยุดการโจมตี DoS เป็นเพียงการโจมตี DoS ในตัวคุณเองเพราะคุณกำลังลดทอนปริมาณการใช้ข้อมูลที่ถูกต้องเช่นกัน (ส่วนใหญ่สิ่งนี้จะรักษาแบนด์วิดท์ขาออกของคุณสำหรับบริการอื่น ๆ เพราะคุณไม่ได้ตอบกลับการโจมตีปริมาณการใช้ แต่ไม่มีขาเข้าที่มีประโยชน์การปกป้องขาออกของคุณมักจะไม่ได้ช่วยอะไรมาก)

— David Schwartz

1

ค่อนข้างมาก ... โดยทั่วไปถ้าคุณรู้สึกงอแงในทุก ๆ ข้อเดรย์เทคจะถือคุณจะลงไป

— Sirex

1

สิ่งที่คุณบอกให้เขาทำคือปิดสิ่งต่อไปนี้เพื่อให้คุณรู้ว่า: น้ำท่วม SYN, น้ำท่วม UDP, น้ำท่วม ICMP, การตรวจจับการสแกนพอร์ต, การปลอมแปลง IP, การโจมตี Drop Tear เพียงเพราะผู้ขายรายนี้ปล่อยมันเป็นค่าเริ่มต้นไม่ได้หมายความว่าทุกคนทำ เราเตอร์ Juniper NetScreen และ SRX Branch เปิดใช้งานสิ่งนี้เช่นเดียวกับ ASA5505

— SpacemanSpiff

1

ใช่ แต่คุณได้เปิดการป้องกันขอบพื้นฐานทั้งหมดตอนนี้แม้แต่คนงี่เง่าที่มีคำสั่ง ping Linux ก็สามารถกำจัดเขาได้

— SpacemanSpiff

3

@SpacemanSpiff: หากพวกเขาสามารถเอาชนะแบนด์วิดธ์ของพวกเขาพวกเขาสามารถนำเขาลงแม้จะอยู่กับมัน เขาลดทราฟฟิกหลังจากที่ใช้แบนด์วิดท์ การมีขอบป้องกันภายในลิงค์ที่ช้าที่สุดนั้นทำให้คุณแทบไม่มีเลย ส่วนใหญ่แล้วจุดอ่อนที่สุดของเขาคือเราเตอร์ซีพียูและแบนด์วิดธ์ขาเข้าของเขา

— David Schwartz

5

เหตุผลหนึ่งที่ไม่เปิดใช้งานการตั้งค่า DoS Defence คือการพยายามปกป้องระบบจาก DOSed จะขัดขวาง CPU ของเราเตอร์ / ไฟร์วอลล์ที่ทำให้เกิด DoS เอง

— becomingwisest
แหล่งที่มา

5

เธรดเก่าที่ฉันรู้ แต่ฉันต้องปิดการป้องกัน DoS บนเราเตอร์ที่บ้าน Draytek 2850 ของฉันเพื่อป้องกันปัญหาการเชื่อมต่อ (เกือบแบนด์วิดท์ของทุกคนในเครือข่ายลดลงถึง 0) ผิดปกติพอเมื่อเด็ก ๆ ทุกคนกำลังใช้ iPhone, พีซีและการแชทบน Skype ฯลฯ มันเป็นต้นเหตุของการป้องกัน DoS!

ฉันเดาว่ามีการรับส่งข้อมูลมากทั้งสองทิศทางที่เราเตอร์คิดว่ามันถูกโจมตีจากภายนอกและปิดตัวลง การปิดการป้องกันน้ำท่วม UDP ไม่ได้ทำการแก้ไขที่สมบูรณ์ดังนั้นฉันจึงปิดการป้องกัน SYN และ ICMP เช่นกัน (ถ้าคุณต้องปิดการป้องกันน้ำท่วมทั้ง SYN และ ICMP แล้วฉันคิดว่าเราเตอร์ทำงานได้ดีมากเว้นแต่คุณจะใช้เซิร์ฟเวอร์หรือเซิร์ฟเวอร์ในเครือข่ายของคุณ) - คำขอ SYN และ ICMP จะถูกส่งไปยังเซิร์ฟเวอร์ระหว่างการเริ่มต้นการเชื่อมต่อ อุปกรณ์ไคลเอนต์ได้รับ SYN-ACK กลับมาจากเซิร์ฟเวอร์

เฮ้ presto - ไม่มีปัญหาการเชื่อมต่อ แน่นอนฉันจะเปิดการป้องกันอีกครั้งและปรับแต่งค่า (วัดเป็นแพ็คเก็ต / วินาที) แต่ฉันพยายามที่จะแก้ไขปัญหานี้มานานแล้วและมันค่อนข้างน่าตกใจที่ได้ทราบสาเหตุที่แท้จริง

ฉันหวังว่านี่จะช่วยคนอื่นได้

— ริชาร์ด
แหล่งที่มา

ฉันสามารถยืนยันแบบเดียวกันได้ใน ASUS Wireless Router RT-N10 การเปิดใช้งานการป้องกัน DoS จะลดการเชื่อมต่อไร้สาย

1

เรามีปัญหาที่คล้ายกันมากกับ 2930 หลังจากเราเริ่มอนุญาตอุปกรณ์มือถือในเครือข่าย ฉันอัปเกรดขีด จำกัด สำหรับการป้องกัน SYN, UDP และ ICMP อย่างมีนัยสำคัญและหยุดปัญหา

3

ใช่แน่นอนเปิดใช้งาน

หากดำเนินการอย่างถูกต้องเอ็นจิ้นไฟร์วอลล์ของคุณควรตรวจสอบแต่ละแพ็คเก็ต เมื่อมีการตัดสินใจที่จะลดทราฟฟิกนี้ซึ่งเป็นส่วนหนึ่งของการโจมตี DoS ก็ควรติดตั้งกฎลงในฮาร์ดแวร์และปล่อยทราฟฟิกในทันทีโดยไม่ต้องประมวลผลซ้ำแล้วซ้ำอีก ที่ซึ่งมันจะยังคงตกอยู่ที่ใบหน้าของมันคือการโจมตีแบบกระจาย แต่ฉันขอแนะนำให้คุณเปิดใช้งาน

บริการใดที่เซิร์ฟเวอร์โฮสต์อยู่

— SpacemanSpiff
แหล่งที่มา

มีการทำงานมากของสิ่งที่แตกต่างกัน: IIS, MSSQL ฐานข้อมูลฐานข้อมูล MySQL, Apache, Minecraft และทุกชนิดของสิ่งที่สุ่มฉันต้องการเซิร์ฟเวอร์สำหรับ :)

— ThomasCle

3

หากปริมาณการใช้งานของคุณถูกทำร้ายลิงค์ของคุณก็จะยังคงทำร้ายลิงก์ของคุณอยู่ หากไม่ใช่ตอนนี้คุณมีแนวโน้มที่จะลดทอนการรับส่งข้อมูลที่ถูกกฎหมายอย่างน้อยก็ทำให้การโจมตี DoS แย่ลง บนเราเตอร์โซโหนี่เป็นคำแนะนำที่ไม่ดี มันปิดโดยปริยายด้วยเหตุผล

— David Schwartz

1

จุดทั้งหมดของ DoS คือทำให้การรับส่งข้อมูล DoS แยกไม่ออกจากการรับส่งข้อมูลที่ถูกกฎหมายดังนั้นผู้ตกเป็นเหยื่อต้องเลือกระหว่างการลดทอนการรับส่งข้อมูลที่ถูกกฎหมายและตอบสนองต่อการรับส่งข้อมูล DoS ตัวอย่างเช่นหากคุณให้บริการ HTTP ที่พอร์ต 80 การโจมตี DoS ทั่วไปหนึ่งครั้งคุณจะเห็นว่ามีการท่วม SYN แบบหลายแหล่งที่พอร์ต 80 คุณจะบอก SYN Flood จากไคลเอนต์ที่ถูกต้องได้อย่างไร

— David Schwartz

2

"หากดำเนินการอย่างถูกต้อง" จะไม่มั่นใจ โดยเฉพาะฮาร์ดแวร์ระดับผู้บริโภค เราเตอร์ Netgear ที่ฉันใช้ที่บ้านเมื่อหลายปีก่อนมีข้อผิดพลาดที่สำคัญในตัวกรอง DOS เป็นไปได้ที่จะส่งแพ็กเก็ตเดียวที่มีข้อมูลที่ไม่ถูกต้องซึ่งจะทำให้ตัวกรอง DOS หยุดทำงานและนำเราเตอร์ไปด้วย

— Dan เล่นซอโดย Firelight

1

ไม่มันไม่ใช่เขาสามารถปิดหรือปรับระดับเพดานได้ ฉันเห็นอุปกรณ์ระดับล่างสุดปกป้องเครือข่ายด้วยสิ่งพื้นฐานนี้ในขณะที่ไฟร์วอลล์ระดับองค์กรที่กำหนดค่าผิดพลาด

— SpacemanSpiff

-2

หากการโจมตี DoS ไม่ได้ฆ่าพีซีของคุณก่อนความร้อนที่เกิดจากการป้องกัน DoS จะฆ่าเราเตอร์ของคุณ หากคุณกังวลเรื่องความปลอดภัยอย่าใช้อินเทอร์เน็ต

เป็นการดีกว่าที่จะปกป้องอุปกรณ์ทุกชิ้นในเครือข่ายของคุณด้วยไฟร์วอลล์และ av ที่ตั้งค่าไว้อย่างเหมาะสมเมื่อไม่ได้ใช้เน็ตให้ปิด wifi ของคุณใช้เหมือนที่คุณทำกับน้ำประปา

— Derp
แหล่งที่มา