Gibt es einen Grund, DoS Defense in meinem Router nicht zu aktivieren?

15

Ich habe kürzlich eine DoS Defense-Einstellung in meinem DrayTek Vigor 2830- Router gefunden, die standardmäßig deaktiviert ist. Ich verwende einen sehr kleinen Server in diesem Netzwerk und nehme es sehr ernst, den Server rund um die Uhr einsatzbereit zu haben.

Ich bin ein bisschen unsicher, ob die DoS-Abwehr mir irgendwelche Probleme bereiten könnte. Ich habe noch keine DoS-Angriffe erlebt, möchte jedoch mögliche Angriffe vermeiden. Gibt es einen Grund , die DoS Defense-Einstellung nicht zu aktivieren?

Cupcake
quelle
3
Anstatt uns zu fragen , ob Sie diese "DoS Defense" -Funktion aktivieren sollen / sollen, fragen Sie Ihren Router-Hersteller, was sie tatsächlich tut, wenn Sie das Kontrollkästchen aktivieren , und entscheiden Sie dann, ob diese Regeln in Ihrer Umgebung sinnvoll sind.
Voretaq7
(Nach dem Durchsuchen des Handbuchs von der Website kann ich sagen, dass die Liste der Dinge, auf die es prüft und die es behandelt, relativ vernünftig ist. Es ist unwahrscheinlich, dass sie irgendetwas verletzen, also kein wirklicher Schaden, wenn man es einschaltet. Erwarten Sie es einfach nicht um dich vor allem zu schützen - es gibt einige Angriffe, die es nicht abschwächen kann )
voretaq7
Da dies hauptsächlich eine Frage zur Risikoanalyse ist, sollten Sie in Betracht ziehen, diese Frage auf Informationssicherheit zu migrieren .
AviD

Antworten:

21

Dies bedeutet, dass der Router den zusätzlichen Status beibehalten und zusätzliche Arbeiten an jedem Paket ausführen muss. Und wie kann es im Falle eines DoS wirklich helfen? Sie können lediglich ein Paket löschen, das Sie bereits erhalten haben. Da Sie es bereits erhalten haben, hat es den Schaden bereits angerichtet, indem es Ihre eingehende Internetbandbreite verbraucht hat.

David Schwartz
quelle
3
@SpacemanSpiff: Zwei Gründe, warum dies nicht zutrifft: 1) Eine typische ADSL-Verbindung kann ohnehin nicht genug Verkehr transportieren, um einen Dienst in Anspruch zu nehmen. Typische DoS-Angriffe über solche Links verbrauchen Ihre Bandbreite. 2) Das Gerät kann den Angriffsverkehr nicht zuverlässig vom legitimen Verkehr unterscheiden. Das Stoppen des DoS-Angriffs ist also nur ein DoS-Angriff auf sich selbst, da Sie auch den legitimen Datenverkehr stoppen. (Dies schont höchstens die Bandbreite für andere Dienste, da Sie nicht auf den Angriffsdatenverkehr reagieren. Da jedoch kein nützlicher eingehender Datenverkehr vorhanden ist, hilft der Schutz Ihres ausgehenden Datenverkehrs in der Regel nicht viel.)
David Schwartz
1
Ziemlich viel ... Im Allgemeinen, wenn Sie in irgendeiner Zeile, die ein Dreytek hochhalten würde, untergehen.
Sirex
1
Was Sie ihm gesagt haben, ist Folgendes zu deaktivieren, damit Sie wissen: SYN-Flooding, UDP-Flooding, ICMP-Flooding, Port-Scan-Erkennungen, IP-Spoofing, Tear-Drop-Angriffe. Nur weil dieser Anbieter es standardmäßig deaktiviert, heißt das nicht, dass es jeder tut. Juniper NetScreen- und SRX Branch-Router werden hiermit aktiviert, ebenso wie der ASA5505.
SpacemanSpiff
1
Ja, aber Sie haben die grundlegende Kantenverteidigung deaktiviert. Jetzt kann ihn sogar ein Idiot mit einem Linux-Ping-Befehl ausschalten.
SpacemanSpiff
3
@SpacemanSpiff: Wenn sie seine Bandbreite überwältigen können, können sie ihn auch dann ausschalten, wenn er eingeschaltet ist. Er lässt den Verkehr fallen, nachdem er seine Bandbreite verbraucht hat. Eine verteidigte Kante in der langsamsten Verbindung zu haben, nützt dir wenig bis nichts. Am wahrscheinlichsten ist sein schwächstes Glied die Router-CPU und seine eingehende Bandbreite.
David Schwartz
5

Ein Grund, die DoS Defense-Einstellung nicht zu aktivieren, ist, dass der Versuch, Systeme vor DOSed zu schützen, die CPU des Routers / der Firewall anspornt und selbst einen DoS verursacht.

am weisesten werden
quelle
5

Ein alter Thread, den ich kenne, aber ich musste nur die DoS-Abwehr meines Draytek 2850-Heimrouters ausschalten, um einige Verbindungsprobleme zu vermeiden (die Bandbreite für eingehende Verbindungen ist bei fast allen auf 0 gesunken). Seltsamerweise löst es die DoS-Abwehr aus, wenn alle Kinder ihre iPhones, PCs verwenden und über Skype usw. chatten!

Ich vermute, dass so viel Verkehr in beide Richtungen fließt, dass der Router denkt, dass er von außen angegriffen wird, und herunterfährt. Das Deaktivieren der UDP-Flood-Abwehr führte nicht zu einer vollständigen Korrektur. Daher habe ich auch die SYN- und ICMP-Abwehr deaktiviert. (Wenn Sie sowohl den SYN- als auch den ICMP-Flood-Schutz deaktivieren mussten, hat der Router meiner Meinung nach sehr gute Arbeit geleistet, es sei denn, Sie betreiben einen oder mehrere Server in Ihrem Netzwerk.) - SYN- und ICMP-Anforderungen werden dann während des Verbindungsaufbaus an Server gesendet Die Client-Geräte erhalten eine SYN-ACK vom Server zurück.

Hey Presto - keine Verbindungsprobleme mehr. Natürlich werde ich die Verteidigung wieder einschalten und die Werte (gemessen in Paketen / Sekunde) besser abstimmen, aber ich habe lange versucht, dieses Problem zu lösen, und es war ein ziemlicher Schock, die wahre Ursache herauszufinden.

Ich hoffe das hilft jemand anderem.

Richard
quelle
Ich kann dasselbe auf einem ASUS Wireless Router RT-N10 bestätigen. Durch Aktivieren des DoS-Schutzes wird die drahtlose Verbindung beeinträchtigt.
1
Wir hatten ein sehr ähnliches Problem auf einem 2930, kurz nachdem wir damit begonnen hatten, mobile Geräte im Netzwerk zuzulassen. Ich habe die Schwellenwerte für die SYN-, UDP- und ICMP-Abwehr erheblich angehoben und das Problem dadurch behoben.
3

Ja, unbedingt einschalten.

Wenn dies korrekt implementiert ist, sollte die Firewall jedes Paket überprüfen. Sobald festgestellt wird, dass dieser Datenverkehr im Rahmen eines DoS-Angriffs gelöscht werden soll, sollte eine Regel auf der Hardware installiert und der Datenverkehr unbeaufsichtigt gelöscht werden, anstatt immer wieder verarbeitet zu werden. Wo es noch auf sein Gesicht fällt, ist ein verteilter Angriff, aber ich schlage vor, dass Sie dies einschalten.

Welche Arten von Diensten hostet dieser Server?

SpacemanSpiff
quelle
Es läuft eine Menge verschiedener Dinge: IIS, MSSQL-Datenbanken, MySQL-Datenbanken, Apache, Minecraft und alle möglichen zufälligen Dinge, für die ich einen Server brauche :)
Cupcake
3
Wenn der Datenverkehr Ihren Link verletzt hat, wird Ihr Link trotzdem verletzt. Wenn dies nicht der Fall wäre, würden Sie jetzt wahrscheinlich zumindest legitimen Datenverkehr verlieren, was die DoS-Attacke verschlimmern würde. Auf einem SoHo-Router ist dies ein schlechter Rat. Es ist aus einem bestimmten Grund standardmäßig deaktiviert.
David Schwartz
1
Der Sinn eines DoS besteht darin, den DoS-Verkehr von legitimem Verkehr ununterscheidbar zu machen, sodass das Opfer zwischen dem Verwerfen von legitimem Verkehr und dem Reagieren auf den DoS-Verkehr wählen muss. Wenn Sie beispielsweise HTTP auf Port 80 bereitstellen, wird als typischer DoS-Angriff eine SYN-Flut mit mehreren Quellen auf Port 80 angezeigt. Wie können Sie die SYN-Flut von legitimen Client-SYNs unterscheiden?
David Schwartz
2
"Wenn richtig implementiert" ist nicht gewährleistet; vor allem auf Consumer-Hardware. Der Netgear-Router, den ich vor einigen Jahren zu Hause verwendet habe, hatte einen großen Fehler im DOS-Filter. Es war möglich, ein einzelnes Paket mit fehlerhaften Daten zu senden, wodurch der DOS-Filter abstürzt und der Router heruntergefahren wird.
Dan Neely
1
Nein, ist es nicht, er kann es immer ausschalten oder Schwellenwerte anpassen. Ich habe gesehen, dass Geräte der unteren Preisklasse Netzwerke nur mit diesen grundlegenden Dingen verteidigen, während falsch konfigurierte Firewalls der Enterprise-Klasse auf ihr Gesicht fallen.
SpacemanSpiff
-2

Wenn der DoS-Angriff Ihren PC nicht zuerst tötet, wird die durch den DoS-Schutz erzeugte Hitze Ihren Router töten. Wenn Sie Sicherheitsbedenken haben, nutzen Sie das Internet nicht.

Es ist besser, jedes einzelne Gerät in Ihrem Netzwerk mit einer ordnungsgemäß eingestellten Firewall und einem AV-Schutz zu versehen. Wenn Sie das Netz nicht verwenden, schalten Sie Ihr WLAN aus und verwenden Sie es wie Ihr Leitungswasser.

DERP
quelle