Qualche motivo per non abilitare DoS Defense nel mio router?

15

Recentemente ho trovato un'impostazione DoS Defense nel mio router DrayTek Vigor 2830 , che è disabilitato di default. Sto eseguendo un server molto piccolo su questa rete e prendo molto sul serio per avere il server attivo e funzionante 24/7.

Non sono sicuro che DoS Defense possa causarmi problemi di qualsiasi tipo. Non ho ancora avuto alcun attacco DoS, ma vorrei evitare possibili attacchi. C'è qualche motivo per non abilitare l'impostazione DoS Defense?

security  router  denial-of-service  draytek 
Cupcake
fonte
3
Piuttosto che chiedere a noi se si dovrebbe / non dovrebbe attivare questa funzione "DoS Defense", perché non chiedere al fornitore router ciò che realmente fa quando si seleziona la casella, poi decidere se tali regole hanno senso nel vostro ambiente?
voretaq7,
(Dopo aver recuperato il manuale dal loro sito Web, posso dire che l'elenco delle cose che controlla e di cui tratta è relativamente sano - È improbabile che rompa qualcosa di legittimo, quindi nessun danno reale nell'accenderlo. Solo non aspettarti per proteggerti da tutto - ci sono alcuni attacchi che non può mitigare )
voretaq7
Poiché si tratta principalmente di una domanda di analisi del rischio, potresti prendere in considerazione la possibilità di migrare a Information Security .
AviD

Risposte:

21

Significa che il router deve mantenere uno stato aggiuntivo e svolgere un lavoro aggiuntivo su ciascun pacchetto. E come può davvero aiutare nel caso di un DoS? Tutto ciò che può fare è rilasciare un pacchetto che hai già ricevuto. Da quando l'hai già ricevuto, ha già causato il danno consumando la tua larghezza di banda Internet in entrata.

David Schwartz
fonte
3
@SpacemanSpiff: due motivi per cui questo non è vero: 1) Un tipico collegamento ADSL non può trasportare abbastanza traffico per erogare comunque un servizio. Gli attacchi DoS tipici su tali collegamenti funzionano consumando la larghezza di banda. 2) Il dispositivo non è in grado di distinguere in modo affidabile il traffico di attacco da traffico legittimo. Quindi fermare l'attacco DoS è solo un attacco DoS su te stesso poiché stai anche abbandonando il traffico legittimo. (Al massimo, ciò preserverà la tua larghezza di banda in uscita per altri servizi perché non stai rispondendo al traffico di attacco. Ma senza un utile inbound, proteggere il tuo outbound di solito non aiuta molto.)
David Schwartz
1
Praticamente ... In genere, se vieni infilato su una linea che un dreytek reggerebbe, stai andando giù.
Sirex,
1
Quello che gli hai detto di fare è disattivare quanto segue, solo per sapere: inondazioni SYN, inondazioni UDP, inondazioni ICMP, rilevamenti Port Scan, spoofing IP, attacchi Tear Drop. Solo perché questo fornitore lo lascia per impostazione predefinita, non significa che tutti lo facciano. I router Juniper NetScreen e SRX Branch ne risultano abilitati, così come l'ASA5505.
SpacemanSpiff
1
Sì, ma hai trasformato tutta la difesa di base del bordo, ora anche un idiota con un comando ping di Linux può farlo cadere.
SpacemanSpiff
3
@SpacemanSpiff: Se riescono a sopraffare la sua larghezza di banda, possono eliminarlo anche con esso. Sta abbandonando il traffico dopo che ha consumato la sua larghezza di banda. Avere un vantaggio difeso all'interno del collegamento più lento ti fa poco o niente. Molto probabilmente, il suo collegamento più debole è la CPU del router e la sua larghezza di banda in entrata.
David Schwartz,
5

Un motivo per non abilitare l'impostazione DoS Defense è che il tentativo di proteggere i sistemi da DOS aumenterà la CPU del router / firewall causando un DoS stesso.

becomingwisest
fonte
5

Un vecchio thread lo so, ma ho appena dovuto disattivare le difese DoS sul mio router domestico Draytek 2850 per prevenire alcuni problemi di connessione (la larghezza di banda in -bound di quasi tutti è scesa a 0). Stranamente, quando tutti i bambini usano i loro iPhone, PC e chattano su Skype, ecc., Innesca le difese DoS!

La mia ipotesi è che ci sia così tanto traffico in entrambe le direzioni che il router pensa che sia sotto attacco dall'esterno e si spegne. La disattivazione della difesa da inondazioni UDP non ha apportato una correzione completa, quindi ho disattivato anche le difese SYN e ICMP. (Se hai dovuto disattivare la protezione contro le inondazioni sia SYN che ICMP, penso che il router stesse facendo un ottimo lavoro a meno che tu non stia eseguendo un server o server sulla tua rete) - Le richieste SYN e ICMP vengono inviate ai server durante l'avvio della connessione, quindi i dispositivi client ricevono un SYN-ACK dal server.

Ehi presto - niente più problemi di connessione. Certo, riaccenderò le difese e perfezionerò i valori (misurati in pacchetti / secondo), ma sto cercando di risolvere questo problema da anni ed è stato un vero shock scoprire la vera causa.

Spero che questo aiuti qualcun'altro.

Richard
fonte
Posso confermare lo stesso su un router wireless ASUS RT-N10. L'abilitazione della protezione DoS degraderà la connessione wireless.
1
Abbiamo avuto un problema molto simile su un 2930 poco dopo aver iniziato a consentire i dispositivi mobili sulla rete. Ho aumentato in modo significativo le soglie per la difesa SYN, UDP e ICMP e ho risolto il problema.
3

Sì, assolutamente , accenderlo.

Se questo è implementato correttamente, il motore del firewall deve ispezionare ciascun pacchetto. Una volta deciso di eliminare questo traffico come parte di un attacco DoS, dovrebbe installare una regola nell'hardware e rilasciare silenziosamente il traffico invece di elaborarlo ancora e ancora. Dove cadrà ancora sulla sua faccia è un attacco distribuito, ma ti suggerisco di attivarlo.

Che tipo di servizi ospita quel server?

spacemanspiff
fonte
Esegue molte cose diverse: IIS, database MSSQL, database MySQL, Apache, Minecraft e tutti i tipi di cose casuali di cui avrei bisogno di un server :)
Cupcake,
3
Se il traffico ha danneggiato il tuo collegamento, continuerà a danneggiare il tuo collegamento. In caso contrario, è probabile che tu stia rilasciando almeno un po 'di traffico legittimo, peggiorando l'attacco DoS. Su un router SoHo, questo è un cattivo consiglio. È disattivato per impostazione predefinita per un motivo.
David Schwartz,
1
Il punto centrale di un DoS è rendere il traffico DoS indistinguibile dal traffico legittimo, in modo che la vittima debba scegliere tra l'abbandono del traffico legittimo e la risposta al traffico DoS. Ad esempio, se stai servendo HTTP sulla porta 80, un tipico attacco DoS che vedrai è un flood SYN multi-source sulla porta 80. Come puoi distinguere i SYN flood da SYN client legittimi?
David Schwartz,
2
"Se implementato correttamente" non è garantito; soprattutto su hardware di qualità consumer. Il router Netgear che stavo usando a casa diversi anni fa aveva un grosso bug nel suo filtro DOS. È stato possibile inviare un singolo pacchetto con dati non validi che causerebbero l'arresto anomalo del filtro DOS e il conseguente arresto del router.
Dan è Fiddling di Firelight il
1
No non lo è, può sempre spegnerlo o regolare le soglie. Ho visto dispositivi di fascia bassa difendere le reti proprio con queste cose di base mentre i firewall di classe enterprise non configurati cadono in faccia.
SpacemanSpiff
-2

Se l'attacco DoS non uccide prima il tuo PC, il calore generato dalla protezione DoS ucciderà il tuo router. Se sei preoccupato per la sicurezza, allora non usare Internet.

È meglio proteggere ogni singolo dispositivo della tua rete con un firewall e un av correttamente impostati, quando non usi la rete spegni il tuo wifi usalo come faresti con l'acqua del tuo rubinetto.

DERP
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.