ルーターでDoS防御を有効にしない理由は何ですか？

15

最近、DrayTek Vigor 2830ルーターでDoS防御設定を見つけましたが、これはデフォルトで無効になっています。私はこのネットワークで非常に小さなサーバーを実行していますが、サーバーを24時間365日稼働させることは非常に重要です。

DoS防御が何らかの問題を引き起こす可能性があるかどうか、私は少し確信がありません。DoS攻撃はまだ経験していませんが、起こりうる攻撃を避けたいと思います。DoS防御設定を有効にしない理由はありますか？

— カップケーキ
ソース

3

むしろ頼むよりも、私たちにあなたがすべき場合には、この「DoS攻撃防御」機能を有効にしないでください/、なぜルーターのベンダーに依頼しないで、それは実際にないものをこれらのルールは、お使いの環境で意味をなす場合は、その後、ボックスをチェック決めるとき？

— voretaq7

（マニュアルを彼らのウェブサイトから掘り下げた後、私はそれがチェックし対処するもののリストは比較的健全なものであると言うことができます-正当なものを壊す可能性は低いので、それをオンにすることで本当の害はありません。ただそれを期待しないでください。すべてからあなたを守るために- それは緩和することはできませんいくつかの攻撃があります）

— voretaq7

これは主にリスク分析の質問なので、これをInformation Securityに移行することを検討することを検討してください。

— AviD

21

つまり、ルーターは追加の状態を維持し、各パケットで追加の作業を行う必要があります。また、DoSの場合にどのように役立つのでしょうか？できることは、すでに受信したパケットをドロップすることだけです。すでに受信しているので、受信インターネット帯域幅を消費することですでに損害を与えています。

— デビッド・シュワルツ
ソース

3

@SpacemanSpiff：これが当てはまらない2つの理由：1）典型的なADSLリンクは、とにかくサービスを利用するのに十分なトラフィックを運ぶことができません。このようなリンクに対する典型的なDoS攻撃は、帯域幅を消費することで機能します。2）デバイスは、正当なトラフィックから攻撃トラフィックを確実に伝えることができません。したがって、DoS攻撃を停止することは、正当なトラフィックもドロップしているため、自分自身に対するDoS攻撃にすぎません。（せいぜい、これは攻撃トラフィックに応答しないため、他のサービスのアウトバウンド帯域幅を保持します。しかし、有用なインバウンドがない場合、アウトバウンドを保護しても通常はあまり役に立ちません。）

— David Schwartz

1

かなり...一般的に、dreytekが保持している回線でドーズされると、ダウンします。

— Sirex

1

彼がするように言ったことは、あなたが知っているように、次をオフにすることです：SYNフラッディング、UDPフラッディング、ICMPフラッディング、ポートスキャン検出、IPスプーフィング、ティアドロップ攻撃。このベンダーがデフォルトでオフにしているからといって、誰もがオフにしているわけではありません。ASA5505と同様に、Juniper NetScreenおよびSRX Branchルーターがこれを有効にします。

— SpacemanSpiff

1

はい。ただし、基本的なエッジディフェンスをすべて有効にしたので、Linuxのpingコマンドを使用したバカでも彼を倒すことができます。

— SpacemanSpiff

3

@SpacemanSpiff：彼らが彼の帯域幅を圧倒できるなら、彼らはそれをオンにしても彼を倒すことができます。彼は帯域幅を消費した後、トラフィックをドロップしています。最も遅いリンクの内側に防御されたエッジを持つことは、ほとんど役に立たないでしょう。おそらく、彼の最も弱いリンクはルーターのCPUと彼の受信帯域幅です。

— デビッドシュワルツ

5

DoS防御設定を有効にしない理由の1つは、DOSedからシステムを保護しようとすると、ルーター/ファイアウォールのCPUが急上昇し、DoS自体が発生するためです。

— 最も賢くなる
ソース

5

古いスレッドですが、接続の問題を防ぐために、Draytek 2850ホームルーターのDoS防御をオフにする必要がありました（ほぼ全員の受信帯域幅が0に低下しました）。奇妙なことに、すべての子供たちがiPhone、PCを使用し、Skypeなどでチャットしていると、DoS防御がトリガーされます。

私の推測では、双方向に流れるトラフィックが非常に多いため、ルーターは外部からの攻撃を受けていると判断し、シャットダウンします。UDPフラッド防御をオフにしても完全な修正は行われなかったため、SYNおよびICMP防御もオフにしました。（SYNおよびICMPフラッドプロテクションの両方をオフにする必要がある場合、ネットワーク上でサーバーを実行していない限り、ルーターは非常に良い仕事をしていたと思います）-SYNおよびICMPリクエストは接続開始時にサーバーに送信され、クライアントデバイスはサーバーからSYN-ACKを受信します。

ちょっと前に-接続の問題はもうありません。もちろん、防御をオンにして値を調整します（パケット/秒で測定）が、私はこの問題を長年にわたって解決しようとしてきたので、本当の原因を見つけるのはかなりショックでした。

これが他の人の助けになることを願っています。

— リチャード
ソース

ASUS Wireless Router RT-N10でも同じことを確認できます。DoS保護を有効にすると、ワイヤレス接続が低下します。

1

ネットワーク上のモバイルデバイスの許可を開始した直後に、2930でも同様の問題が発生しました。SYN、UDP、およびICMP防御のしきい値を大幅に引き上げ、問題を解決しました。

3

はい、絶対にオンにします。

これが正しく実装されている場合、ファイアウォールのエンジンは各パケットを検査する必要があります。DoS攻撃の一部としてこのトラフィックをドロップすることが決定したら、ハードウェアにルールをインストールし、トラフィックを何度も処理するのではなく、静かにドロップする必要があります。それが直面するのは分散攻撃ですが、これをオンにすることをお勧めします。

そのサーバーはどのようなサービスをホストしていますか？

— 宇宙飛行士
ソース

IIS、MSSQLデータベース、MySQLデータベース、Apache、Minecraft、その他のあらゆる種類のランダムなものを実行しています:)

— Cupcake

3

トラフィックがあなたのリンクを傷つけていたとしても、それはあなたのリンクを傷つけているでしょう。そうでない場合は、少なくとも正当なトラフィックをドロップする可能性が高くなり、DoS攻撃が悪化します。SoHoルーターでは、これは悪いアドバイスです。理由によりデフォルトではオフになっています。

— デビッドシュワルツ

1

DoSの重要な点は、DoSトラフィックを正当なトラフィックと区別できないようにすることです。そのため、被害者は正当なトラフィックをドロップするか、DoSトラフィックに応答するかを選択する必要があります。たとえば、ポート80でHTTPを提供している場合、表示される典型的なDoS攻撃の1つは、ポート80でのマルチソースSYNフラッドです。正当なクライアントSYNからフラッドSYNをどのように見分けますか？

— デビッドシュワルツ

2

「正しく実装されている場合」は保証されません。特に消費者グレードのハードウェアで。数年前に自宅で使用していたNetgearルーターには、DOSフィルターに大きなバグがありました。DOSフィルターがクラッシュしてルーターがダウンする原因となる不正なデータを含む単一のパケットを送信することが可能でした。

— ダンは、

1

いいえ、そうではありません。いつでもオフにしたり、しきい値を調整したりできます。エンタープライズクラスのファイアウォールが正しく構成されていないと、ボトムエンドデバイスがこの基本的なものだけでネットワークを保護するのを見てきました。

— SpacemanSpiff

-2

DoS攻撃が最初にPCを殺さない場合、DoS保護から発生した熱はルーターを殺します。セキュリティが心配な場合は、インターネットを使用しないでください。

適切に設定されたファイアウォールとavでネットワーク上の個々のデバイスを保護することをお勧めします。ネットを使用しない場合は、水道水と同じようにwifiをオフにします。

— DERP
ソース