Ada alasan untuk tidak mengaktifkan DoS Defense di router saya?

15

Saya baru-baru ini menemukan pengaturan DoS Defense di router DrayTek Vigor 2830 saya , yang dinonaktifkan sebagai default. Saya menjalankan server yang sangat kecil di jaringan ini dan saya menganggapnya sangat serius untuk menjalankan dan menjalankan server 24/7.

Saya agak tidak yakin apakah Pertahanan DoS dapat menyebabkan masalah apa pun kepada saya. Saya belum mengalami serangan DoS apa pun, tetapi saya ingin menghindari kemungkinan serangan. Apakah ada alasan untuk tidak mengaktifkan pengaturan DoS Defense?

security router denial-of-service draytek Cupcake
sumber
3
Daripada bertanya kepada kami apakah Anda harus / tidak seharusnya mengaktifkan fitur "DoS Defense" ini, mengapa tidak bertanya kepada vendor router Anda apa yang sebenarnya dilakukannya ketika Anda mencentang kotak, kemudian memutuskan apakah aturan-aturan itu masuk akal di lingkungan Anda?
voretaq7
(Setelah menggali manual dari situs web mereka, saya bisa mengatakan daftar hal-hal yang diperiksa dan ditangani adalah yang relatif waras - Tidak mungkin melanggar apa pun yang sah, jadi tidak ada salahnya menyalakannya. Hanya jangan berharap itu untuk melindungi Anda dari segalanya - ada beberapa serangan yang tidak dapat dimitigasi )
voretaq7
Karena ini sebagian besar merupakan pertanyaan analisis risiko, Anda dapat mempertimbangkan untuk memigrasi ini ke Keamanan Informasi .
AviD

Jawaban:

21

Ini berarti router harus mempertahankan status tambahan dan melakukan pekerjaan tambahan pada setiap paket. Dan bagaimana itu bisa sangat membantu dalam kasus DoS? Yang bisa dilakukan hanyalah menjatuhkan paket yang sudah Anda terima. Karena Anda sudah menerimanya, ia telah melakukan kerusakan dengan menggunakan bandwidth internet masuk Anda.

David Schwartz
sumber
3
@SpacemanSpiff: Dua alasan ini tidak benar: 1) Tautan ADSL tipikal tidak dapat membawa cukup lalu lintas untuk mengambil layanan. Serangan DoS yang khas pada tautan semacam itu bekerja dengan menghabiskan bandwidth Anda. 2) Perangkat tidak dapat secara andal memberi tahu lalu lintas serangan dari lalu lintas yang sah. Jadi menghentikan serangan DoS hanyalah serangan DoS pada diri Anda karena Anda juga menjatuhkan lalu lintas yang sah. (Paling-paling, ini akan menjaga bandwidth keluar Anda untuk layanan lain karena Anda tidak membalas lalu lintas serangan. Tetapi tanpa inbound yang bermanfaat, melindungi outbound Anda biasanya tidak banyak membantu.)
David Schwartz
1
Cukup banyak ... Secara umum, jika Anda mendapatkan doss pada garis apa pun yang dreytek akan tahan, Anda akan turun.
Sirex
1
Apa yang Anda katakan kepadanya lakukan adalah matikan yang berikut, supaya Anda tahu: SYN flooding, UDP flooding, ICMP flooding, Port Scan Detection, IP Spoofing, Tear Drop Attacks. Hanya karena vendor ini mengabaikannya secara default, tidak berarti semua orang melakukannya. Juniper NetScreen dan SRX Branch routers mengaktifkan ini, seperti halnya ASA5505.
SpacemanSpiff
1
Ya, tetapi Anda telah mengubah semua pertahanan tepi dasar, sekarang bahkan orang idiot dengan perintah ping Linux dapat menjatuhkannya.
SpacemanSpiff
3
@SpacemanSpiff: Jika mereka dapat membanjiri bandwidth-nya, mereka dapat menjatuhkannya bahkan dengan itu. Dia menjatuhkan lalu lintas setelah mengkonsumsi bandwidth-nya. Memiliki tepi yang dipertahankan di dalam tautan paling lambat tidak banyak gunanya bagi Anda. Kemungkinan besar, tautan terlemahnya adalah router CPU dan bandwidth masuknya.
David Schwartz
5

Salah satu alasan untuk tidak mengaktifkan pengaturan DoS Defense adalah bahwa mencoba melindungi sistem dari DOSED akan melonjak CPU dari router / firewall yang menyebabkan DoS sendiri.

menjadi paling lucu
sumber
5

Utas lama saya tahu, tapi saya baru saja mematikan pertahanan DoS pada router rumah Draytek 2850 saya untuk mencegah beberapa masalah koneksi (bandwidth semua orang yang terikat turun menjadi 0). Anehnya, ketika semua anak-anak menggunakan iPhone, PC dan mengobrol di Skype, dll. Hal itu memicu pertahanan DoS!

Dugaan saya adalah bahwa ada begitu banyak lalu lintas di kedua arah sehingga router berpikir itu sedang diserang dari luar dan dimatikan. Mematikan pertahanan banjir UDP tidak melakukan perbaikan total jadi saya juga mematikan pertahanan SYN dan ICMP. (Jika Anda harus mematikan perlindungan banjir SYN dan ICMP maka saya pikir router melakukan pekerjaan yang sangat baik kecuali jika Anda menjalankan server atau server di jaringan Anda) - Permintaan SYN dan ICMP dikirim ke server selama inisiasi koneksi, kemudian perangkat klien menerima SYN-ACK kembali dari server.

Hai presto - tidak ada masalah koneksi lagi. Tentu saja, saya akan mengaktifkan kembali pertahanan dan memperbaiki nilainya (diukur dalam paket / detik), tetapi saya telah mencoba untuk mengatasi masalah ini selama bertahun-tahun dan itu cukup mengejutkan untuk mengetahui penyebab sebenarnya.

Saya harap ini membantu orang lain.

Richard
sumber
Saya dapat mengkonfirmasi hal yang sama pada ASUS Wireless Router RT-N10. Mengaktifkan perlindungan DoS akan menurunkan koneksi nirkabel.
1
Kami memiliki masalah yang sangat mirip pada 2930 tak lama setelah kami mulai mengizinkan perangkat seluler di jaringan. Saya menaikkan tingkat ambang batas untuk pertahanan SYN, UDP dan ICMP secara signifikan dan itu menghentikan masalah.
3

Ya, tentu saja , nyalakan.

Jika ini diterapkan dengan benar, mesin firewall Anda harus memeriksa setiap paket. Setelah ditentukan untuk menghentikan lalu lintas ini sebagai bagian dari serangan DoS, itu harus menginstal aturan ke perangkat keras dan diam-diam menjatuhkan lalu lintas alih-alih memprosesnya lagi dan lagi. Di mana masih akan jatuh di wajah itu adalah serangan yang terdistribusi, tapi saya sarankan Anda mengaktifkannya.

Jenis layanan apa yang dihosting oleh server itu?

SpacemanSpiff
sumber
Ini menjalankan banyak hal yang berbeda: IIS, MSSQL Databases, database MySQL, Apache, Minecraft dan semua jenis barang acak yang saya perlukan untuk server :)
Cupcake
3
Jika lalu lintas merusak tautan Anda, itu masih akan merusak tautan Anda. Jika tidak, Anda sekarang kemungkinan akan menjatuhkan setidaknya beberapa lalu lintas yang sah, membuat serangan DoS lebih buruk. Pada router SoHo, ini adalah saran yang buruk. Tidak aktif secara default karena suatu alasan.
David Schwartz
1
Inti dari DoS adalah membuat lalu lintas DoS tidak dapat dibedakan dari lalu lintas yang sah sehingga korban harus memilih antara menjatuhkan lalu lintas yang sah dan menanggapi lalu lintas DoS. Sebagai contoh, jika Anda melayani HTTP pada port 80, satu serangan DoS khas yang akan Anda lihat adalah multi-source SYN float pada port 80. Bagaimana Anda bisa mengetahui SYN banjir dari SYN klien yang sah?
David Schwartz
2
"Jika diterapkan dengan benar" tidak dijamin; terutama pada perangkat keras kelas konsumen. Router Netgear yang saya gunakan di rumah beberapa tahun yang lalu memiliki bug utama dalam filter DOS-nya. Itu mungkin untuk mengirim satu paket dengan data cacat yang akan menyebabkan filter DOS crash dan membawa router turun bersamanya.
Dan Fiddling by Firelight
1
Tidak bukan, dia selalu bisa mematikannya atau menyesuaikan ambang batas. Saya telah melihat perangkat bottom-end membela jaringan hanya dengan hal-hal dasar ini sementara firewall kelas perusahaan yang tidak terkonfigurasi jatuh di wajah mereka.
SpacemanSpiff
-2

Jika serangan DoS tidak membunuh pc Anda terlebih dahulu, panas yang dihasilkan dari perlindungan DoS akan membunuh router Anda. Jika Anda peduli dengan keamanan maka jangan gunakan internet.

Lebih baik untuk melindungi setiap perangkat di jaringan Anda dengan firewall dan av yang ditetapkan dengan benar, ketika tidak menggunakan internet matikan wifi Anda, gunakan seperti air keran Anda.

DERP
sumber