Czy jest jakiś powód, aby nie włączać DoS Defense w moim routerze?

15

Niedawno znalazłem ustawienie DoS Defense w moim routerze DrayTek Vigor 2830 , który jest domyślnie wyłączony. Używam bardzo małego serwera w tej sieci i bardzo poważnie podchodzę do tego, aby serwer działał 24 godziny na dobę, 7 dni w tygodniu.

Nie jestem pewien, czy DoS Defense może powodować jakiekolwiek problemy. Nie doświadczyłem jeszcze żadnych ataków DoS, ale chciałbym uniknąć możliwych ataków. Czy jest jakiś powód, aby nie włączać ustawienia DoS Defense?

ThomasCle
źródło
3
Zamiast pytać nas, czy powinieneś / powinnaś włączyć tę funkcję „DoS Defense”, dlaczego nie zapytać dostawcy routera, co tak naprawdę robi po zaznaczeniu pola, a następnie zdecydować, czy reguły te mają sens w twoim środowisku?
voretaq7
(Po wykopaniu instrukcji z ich strony internetowej mogę powiedzieć, że lista rzeczy, które sprawdza i na których się zajmuje, jest względnie rozsądna - mało prawdopodobne jest, aby złamała cokolwiek uzasadnionego, więc nie ma prawdziwej szkody przy włączaniu. Po prostu nie oczekuj aby chronić cię przed wszystkim - są pewne ataki, których nie można złagodzić )
voretaq7,
Ponieważ jest to głównie pytanie dotyczące analizy ryzyka, możesz rozważyć prośbę o migrację do programu Information Security .
AviD,

Odpowiedzi:

21

Oznacza to, że router musi utrzymywać dodatkowy stan i wykonywać dodatkową pracę na każdym pakiecie. I jak to może naprawdę pomóc w przypadku DoS? Wszystko, co może zrobić, to upuścić pakiet, który już otrzymałeś. Ponieważ już go otrzymałeś, już wyrządził szkody, zużywając przepustowość łącza internetowego.

David Schwartz
źródło
3
@SpacemanSpiff: Dwa powody, dla których to nieprawda: 1) Typowy link ADSL nie może przenosić wystarczającego ruchu, aby zrezygnować z usługi. Typowe ataki DoS na takie łącza działają, zużywając przepustowość. 2) Urządzenie nie może wiarygodnie odróżnić ruchu ataków od legalnego ruchu. Więc powstrzymanie ataku DoS jest atakiem DoS na ciebie, ponieważ upuszczasz również legalny ruch. (Co najwyżej pozwoli to zachować przepustowość wychodzącą dla innych usług, ponieważ nie odpowiadasz na ruch atakowy. Ale bez przydatnego ruchu przychodzącego, ochrona twojego wychodzenia zwykle nie pomaga bardzo.)
David Schwartz
1
Prawie ... Ogólnie rzecz biorąc, jeśli dostaniesz dawkę na dowolnej linii, którą trzymałby dreytek, spadniesz.
Sirex,
1
To, co mu powiedziałeś, to wyłączenie następujących elementów, abyś wiedział: zalewanie SYN, zalewanie UDP, zalewanie ICMP, wykrywanie skanów portów, fałszowanie adresów IP, ataki typu Tear Drop. To, że ten sprzedawca domyślnie je wyłącza, nie oznacza, że ​​wszyscy to robią. Routery Juniper NetScreen i SRX Branch są dostępne, podobnie jak ASA5505.
SpacemanSpiff
1
Tak, ale obróciłeś wszystkie podstawowe funkcje obrony krawędzi, teraz nawet idiota z poleceniem ping Linux może go zdjąć.
SpacemanSpiff
3
@SpacemanSpiff: Jeśli mogą pokonać przepustowość, mogą go zdjąć nawet przy włączonym. Zmniejsza ruch po zużyciu przepustowości. Posiadanie bronionej krawędzi w najwolniejszym ogniwie niewiele ci pomoże. Najprawdopodobniej jego najsłabszym ogniwem jest procesor routera i przepustowość łącza przychodzącego.
David Schwartz,
5

Jednym z powodów, dla których nie włączono ustawienia DoS Defense, jest to, że próba ochrony systemów przed DOSed spowoduje wzrost wydajności procesora routera / zapory sieciowej, powodując sam DoS.

stawanie się
źródło
5

Stary wątek, który znam, ale właśnie musiałem wyłączyć zabezpieczenia DoS na moim routerze domowym Draytek 2850, aby zapobiec niektórym problemom z połączeniem (przepustowość prawie wszystkich użytkowników spadła do zera). Co dziwne, kiedy wszystkie dzieci korzystają z iPhone'ów, komputerów i czatują przez Skype itp., Uruchamia to obronę DoS!

Domyślam się, że ruch w obu kierunkach jest tak duży, że router myśli, że jest atakowany z zewnątrz i wyłącza się. Wyłączenie ochrony przeciwpowodziowej UDP nie rozwiązało całkowicie problemu, dlatego też wyłączyłem zabezpieczenia SYN i ICMP. (Jeśli musiałbyś wyłączyć ochronę przeciwpowodziową SYN i ICMP, to myślę, że router wykonał bardzo dobrą robotę, chyba że masz serwer lub serwery w sieci) - Żądania SYN i ICMP są wysyłane do serwerów podczas inicjowania połączenia, to urządzenia klienckie odbierają SYN-ACK z powrotem z serwera.

Hej presto - koniec problemów z połączeniem. Oczywiście ponownie włączę obronę i lepiej dostroję wartości (mierzone w pakietach / sekundę), ale od wieków starałem się rozwiązać ten problem i znalezienie szoku było prawdziwym szokiem.

Mam nadzieję, że to pomaga komuś innemu.

Richard
źródło
Mogę to potwierdzić na routerze bezprzewodowym ASUS RT-N10. Włączenie ochrony DoS spowoduje pogorszenie połączenia bezprzewodowego.
1
Mieliśmy bardzo podobny problem na 2930 wkrótce po tym, jak zaczęliśmy zezwalać na urządzenia mobilne w sieci. Znacząco podniosłem progi dla obrony SYN, UDP i ICMP i to powstrzymało problem.
3

Tak, absolutnie , włącz to.

Jeśli zostanie to poprawnie zaimplementowane, silnik zapory powinien sprawdzić każdy pakiet. Po ustaleniu, że należy usunąć ten ruch w ramach ataku DoS, powinien zainstalować regułę na sprzęcie i po cichu upuścić ruch zamiast przetwarzać go wielokrotnie. To, na czym nadal będzie padać, to atak rozproszony, ale sugeruję, abyś go włączył.

Jakiego rodzaju usługi to hosting serwerów?

SpacemanSpiff
źródło
Obsługuje wiele różnych rzeczy: IIS, bazy danych MSSQL, bazy danych MySQL, Apache, Minecraft i wszelkiego rodzaju losowe rzeczy, do których potrzebowałbym serwera :)
ThomasCle
3
Jeśli ruch szkodzi Twojemu linkowi, nadal będzie on rujnował Twój link. Jeśli tak się nie stanie, prawdopodobnie zmniejszysz przynajmniej uzasadniony ruch, co pogorszy atak DoS. Na routerze SoHo jest to zła rada. Jest on domyślnie wyłączony z jakiegoś powodu.
David Schwartz,
1
Cały sens DoS polega na tym, aby ruch DoS był nierozróżnialny od ruchu zgodnego z prawem, tak aby ofiara musiała wybierać między odrzucaniem ruchu zgodnego z ruchem a reagowaniem na ruch DoS. Na przykład, jeśli obsługujesz HTTP na porcie 80, jednym typowym atakiem DoS, który zobaczysz, jest powódź SYN na wielu źródłach na porcie 80. Jak możesz odróżnić SYN powodzi od legalnych SYN klientów?
David Schwartz,
2
„Jeśli poprawnie wdrożony” nie jest zapewniony; szczególnie na sprzęcie konsumenckim. Router Netgear, z którego korzystałem w domu kilka lat temu, miał poważny błąd w filtrze DOS. Możliwe było wysłanie pojedynczego pakietu ze zniekształconymi danymi, co spowodowałoby awarię filtra DOS i spowodowałoby wyłączenie routera.
Dan bawi się Firelight
1
Nie, nie jest, zawsze może to wyłączyć lub dostosować progi. Widziałem, jak najniższe urządzenia bronią sieci za pomocą tych podstawowych rzeczy, podczas gdy źle skonfigurowane zapory ogniowe klasy korporacyjnej spadają na ich twarz.
SpacemanSpiff
-2

Jeśli atak DoS nie zabije najpierw komputera, ciepło wytworzone przez ochronę DoS zabije router. Jeśli martwisz się o bezpieczeństwo, nie korzystaj z Internetu.

Lepiej jest zabezpieczyć każde pojedyncze urządzenie w sieci za pomocą odpowiednio ustawionej zapory ogniowej i av, gdy nie korzystasz z sieci, wyłącz Wi-Fi i używaj go jak do wody z kranu.

DERP
źródło