Question Une raison de ne pas activer DoS Defence dans mon routeur?


J'ai récemment trouvé un paramètre de défense DoS dans mon DrayTek Vigor 2830 routeur, qui est désactivé par défaut. J'utilise un très petit serveur sur ce réseau et je prends très au sérieux le fait que le serveur fonctionne 24h / 24 et 7j / 7.

Je ne suis pas sûr que le DoS Defence puisse me causer des problèmes. Je n'ai pas encore rencontré d'attaque DoS, mais j'aimerais éviter les attaques éventuelles. Y a-t-il une raison ne pas activer le paramètre de défense DoS?


14
2017-12-20 17:08


origine


Plutôt que de demander nous si vous devez / ne devez pas activer cette fonctionnalité "DoS Defence", demandez au fournisseur de votre routeur ce qu'il fait réellement Lorsque vous cochez la case, décidez ensuite si ces règles ont un sens dans votre environnement. - voretaq7
(Après avoir extrait le manuel de leur site Web, je peux dire que la liste des éléments vérifiés et traités est relativement saine. Il est peu probable que quelque chose de légitime soit cassé, donc aucun mal à l'activer. Ne vous y attendez pas. pour vous protéger de tout - il y a des attaques qu'il ne peut pas atténuer) - voretaq7
Comme il s’agit principalement d’une question d’analyse de risque, vous pouvez envisager de demander à la migrer vers Sécurité de l'information. - AviD


Réponses:


Cela signifie que le routeur doit conserver un état supplémentaire et effectuer un travail supplémentaire sur chaque paquet. Et comment cela peut-il vraiment aider dans le cas d'un DoS? Tout ce qu'il peut faire est de déposer un paquet que vous avez déjà reçu. Comme vous l'avez déjà reçu, il a déjà causé des dégâts en consommant votre bande passante Internet entrante.


21
2017-12-20 17:30



@SpacemanSpiff: ce n'est pas vrai pour deux raisons: 1) Une liaison ADSL typique ne peut pas transporter suffisamment de trafic pour prendre un service de toute façon. Les attaques de déni de service typiques sur de tels liens utilisent votre bande passante. 2) L'appareil ne peut pas distinguer de manière fiable le trafic d'attaque du trafic légitime. Donc, arrêter l'attaque DoS est juste une attaque DoS sur vous-même puisque vous supprimez également le trafic légitime. (Tout au plus, cela préservera votre bande passante sortante pour d'autres services, car vous ne répondez pas au trafic d'attaque. Mais sans entrée entrante utile, protéger votre sortie ne vous aide généralement pas beaucoup.) - David Schwartz
Assez bien ... En règle générale, si vous êtes bloqué sur une ligne qu'un dreytek tient en place, vous allez tomber. - Sirex
Ce que vous lui avez dit de faire, c’est d’activer ce qui suit, pour que vous sachiez bien: inondations SYN, inondations UDP, ICMP, détections de scan des ports, usurpation d’IP, attaques de type «larme». Ce n'est pas parce que ce fournisseur l'a laissé par défaut que tout le monde le fait. Les routeurs Juniper NetScreen et SRX Branch sont activés, tout comme l'ASA5505. - SpacemanSpiff
Oui, mais vous avez activé toutes les protections de base, maintenant même un idiot avec une commande ping Linux peut l’abattre. - SpacemanSpiff
@SpacemanSpiff: S'ils parviennent à surcharger sa bande passante, ils peuvent le réduire même s'il est activé. Il laisse tomber le trafic après il a consommé sa bande passante. Avoir un bord défendu à l'intérieur du maillon le plus lent ne fait que peu de bien. Très probablement, son lien le plus faible est le processeur du routeur et sa bande passante entrante. - David Schwartz


Une des raisons de ne pas activer le paramètre de défense DoS est que le fait de protéger les systèmes de DOSed augmentera le CPU du routeur / pare-feu, causant ainsi un DoS.


5
2017-12-20 17:19





Un vieux fil que je connais, mais je viens de désactiver les défenses DoS sur mon routeur domestique Draytek 2850 pour éviter certains problèmes de connexion (la bande passante de presque tout le monde est tombée à 0). Curieusement, quand tous les enfants utilisent leur iPhone, leur PC et discutent sur Skype, etc., cela déclenche les défenses DoS!

À mon avis, il y a tellement de trafic dans les deux sens que le routeur pense qu'il est attaqué de l'extérieur et qu'il s'arrête. La désactivation de la défense contre les inondations UDP n’a pas permis de résoudre complètement le problème, aussi j’ai désactivé les défenses SYN et ICMP. (Si vous deviez désactiver la protection contre les inondations SYN et ICMP, je pense que le routeur fonctionnait très bien, sauf si vous exécutiez un serveur ou des serveurs sur votre réseau.) - Les requêtes SYN et ICMP sont envoyées aux serveurs lors de l'établissement de la connexion, puis les machines clientes reçoivent un SYN-ACK du serveur.

Hey presto - plus de problèmes de connexion. Bien sûr, je vais réactiver les défenses et affiner les valeurs (mesurées en paquets / seconde), mais cela fait très longtemps que j'essaie de régler ce problème et ce fut un véritable choc de découvrir la véritable cause.

J'espère que ça aidera quelqu'un d'autre.


4
2017-10-20 19:16



Je peux confirmer la même chose sur un routeur sans fil ASUS RT-N10. L'activation de la protection DoS dégrade la connexion sans fil.
Nous avons eu un problème très similaire sur un 2930 peu de temps après avoir commencé à autoriser les appareils mobiles sur le réseau. J'ai considérablement augmenté les seuils pour la défense SYN, UDP et ICMP, ce qui a permis de résoudre le problème.


Oui, absolument, allume ça.

Si cela est correctement implémenté, le moteur de votre pare-feu doit inspecter chaque paquet. Une fois qu'il est déterminé à supprimer ce trafic dans le cadre d'une attaque par déni de service, il doit installer une règle dans le matériel et le supprimer silencieusement au lieu de le traiter encore et encore. Là où il va encore tomber sur son visage est une attaque distribuée, mais je vous suggère de l'activer.

Quels types de services héberge ce serveur?


3
2017-12-20 18:36



Il exécute beaucoup de choses différentes: IIS, bases de données MSSQL, bases de données MySQL, Apache, Minecraft et toutes sortes de choses aléatoires pour lesquelles j'aurais besoin d'un serveur :) - Cupcake
Si le trafic nuisait à votre lien, il le ferait encore. Si ce n'était pas le cas, vous risquez maintenant de supprimer au moins un trafic légitime, ce qui aggrave l'attaque par déni de service. Sur un routeur SoHo, c'est un mauvais conseil. Il est désactivé par défaut pour une raison. - David Schwartz
L’intérêt d’un DoS est de rendre le trafic DoS impossible à distinguer du trafic légitime afin que la victime puisse choisir entre l’abandon du trafic légitime et la réponse au trafic DoS. Par exemple, si vous utilisez HTTP sur le port 80, une attaque par déni de service typique est une inondation SYN multi-sources sur le port 80. Comment pouvez-vous distinguer les SYN des inondations à partir de SYN de clients légitimes? - David Schwartz
"Si implémenté correctement" n'est pas assuré; en particulier sur le matériel grand public. Le routeur Netgear que j'utilisais chez moi il y a plusieurs années présentait un bug majeur dans son filtre DOS. Il était possible d'envoyer un seul paquet avec des données mal formées, ce qui provoquerait une panne du filtre DOS et entraînerait la panne du routeur. - Dan Neely
Non, il peut toujours l'éteindre ou ajuster les seuils. J'ai vu des périphériques bas de gamme défendre les réseaux avec uniquement ce matériel de base, alors que des pare-feu d'entreprise mal configurés leur tombaient sur la tête. - SpacemanSpiff


Si l'attaque DoS ne tue pas d'abord votre ordinateur, la chaleur générée par la protection DoS tuera votre routeur. Si vous êtes préoccupé par la sécurité, n'utilisez pas Internet.

Il est préférable de protéger chaque périphérique individuel de votre réseau avec un pare-feu et un pare-feu correctement configurés. Lorsque vous n'utilisez pas Internet, désactivez votre réseau wifi, utilisez-le comme si vous disposiez d'une eau du robinet.


-2
2017-11-27 01:53