Algum motivo para não ativar o DoS Defense no meu roteador?

15

Recentemente, encontrei uma configuração de Defesa contra DoS no meu roteador DrayTek Vigor 2830 , que está desativado como padrão. Estou executando um servidor muito pequeno nesta rede e levo muito a sério ter o servidor em funcionamento 24/7.

Estou um pouco inseguro se a Defesa DoS pode me causar algum tipo de problema. Ainda não experimentei nenhum ataque de negação de serviço, mas gostaria de evitar possíveis ataques. Existe algum motivo para não ativar a configuração de Defesa DoS?

Bolinho
fonte
3
Em vez de nos perguntar se você deve ou não ativar esse recurso "Defesa contra DoS", por que não perguntar ao fornecedor do roteador o que ele realmente faz quando você marca a caixa e depois decide se essas regras fazem sentido em seu ambiente?
voretaq7
(Depois de desenterrar o manual no site deles, posso dizer que a lista de itens que ele verifica e lida com ele é relativamente sã - improvável que quebre qualquer coisa legítima, portanto, não há mal real em ativá-lo. Só não espere para protegê-lo de tudo - há alguns ataques não podem mitigar )
voretaq7
Como essa é principalmente uma questão de análise de risco, considere solicitar a migração para o Information Security .
AviD

Respostas:

21

Isso significa que o roteador precisa manter um estado adicional e realizar trabalhos adicionais em cada pacote. E como isso pode realmente ajudar no caso de um DoS? Tudo o que você pode fazer é soltar um pacote que você já recebeu. Desde que você o recebeu, ele já causou danos ao consumir sua largura de banda de entrada na Internet.

David Schwartz
fonte
3
@ SpacemanSpiff: Duas razões pelas quais isso não é verdade: 1) Um link ADSL típico não pode transportar tráfego suficiente para executar um serviço de qualquer maneira. Os ataques típicos de DoS sobre esses links funcionam consumindo sua largura de banda. 2) O dispositivo não pode distinguir com segurança o tráfego de ataque do tráfego legítimo. Portanto, interromper o ataque do DoS é apenas um ataque do DoS contra você, já que você também está eliminando o tráfego legítimo. (No máximo, isso vai preservar a sua largura de banda de saída para outros serviços, porque você não está respondendo ao tráfego de ataque, mas sem entrada útil, protegendo sua saída geralmente não ajuda muito..)
David Schwartz
1
Praticamente ... Geralmente, se você receber uma dosagem em qualquer linha que um dreytek esteja aguentando, você estará caindo.
Sirex
1
O que você pediu para ele fazer é desativar o seguinte, para que você saiba: inundação SYN, inundação UDP, inundação ICMP, detecção de varredura de porta, falsificação de IP, ataques de queda de lágrima. Só porque esse fornecedor o deixa por padrão, não significa que todo mundo o faça. Os roteadores Juniper NetScreen e SRX Branch são ativados assim como o ASA5505.
quer
1
Sim, mas você ativou toda a defesa de ponta, agora mesmo um idiota com um comando ping do Linux pode derrubá-lo.
quer
3
@ SpacemanSpiff: Se eles podem sobrecarregar sua largura de banda, eles podem derrubá-lo, mesmo com ela. Ele está diminuindo o tráfego depois de consumir sua largura de banda. Ter uma vantagem defensiva dentro do link mais lento faz pouco ou nada de bom. Provavelmente, seu link mais fraco é a CPU do roteador e sua largura de banda de entrada.
David Schwartz
5

Um motivo para não ativar a configuração Defesa do DoS é que tentar proteger os sistemas do DOSed aumentará a CPU do roteador / firewall, causando o próprio DoS.

ficando mais sábio
fonte
5

Um thread antigo que eu conheço, mas eu apenas tive que desativar as defesas de DoS no meu roteador doméstico Draytek 2850 para evitar alguns problemas de conexão (a largura de banda de quase todo mundo caiu para 0). Curiosamente, quando todas as crianças estão usando seus iPhones, PCs e conversando no Skype, etc., isso dispara as defesas do DoS!

Meu palpite é que há tanto tráfego nas duas direções que o roteador pensa que está sendo atacado por fora e desliga. Desativar a defesa contra inundação UDP não fez uma correção completa, então também desativei as defesas SYN e ICMP. (Se você tivesse que desativar a proteção contra inundação SYN e ICMP, acho que o roteador estava fazendo um trabalho muito bom, a menos que você esteja executando um servidor ou servidores na sua rede) - as solicitações SYN e ICMP são enviadas aos servidores durante o início da conexão. os dispositivos clientes recebem um SYN-ACK de volta do servidor.

Hey presto - não há mais problemas de conexão. Obviamente, reativarei as defesas e ajustarei melhor os valores (medidos em pacotes / segundo), mas venho tentando resolver esse problema há muito tempo e foi um choque descobrir a causa real.

Espero que isto ajude alguém.

Richard
fonte
Posso confirmar o mesmo em um roteador sem fio ASUS RT-N10. A ativação da proteção contra DoS degradará a conexão sem fio.
1
Tivemos um problema muito semelhante em um 2930 logo depois que começamos a permitir dispositivos móveis na rede. Aumentei significativamente as taxas de limite para a defesa SYN, UDP e ICMP e isso interrompeu o problema.
3

Sim, absolutamente , ligue-o.

Se isso for implementado corretamente, o mecanismo do seu firewall deve inspecionar cada pacote. Uma vez que esteja determinado a descartar esse tráfego como parte de um ataque de DoS, ele deverá instalar uma regra no hardware e descartar silenciosamente o tráfego em vez de processá-lo repetidamente. Onde ele ainda vai cair, seu rosto é um ataque distribuído, mas sugiro que você o ative.

Que tipos de serviços é esse servidor de hospedagem?

SpacemanSpiff
fonte
Está correndo um monte de coisas diferentes: IIS, MSSQL Bases de dados, bancos de dados MySQL, Apache, Minecraft e todos os tipos de coisas aleatórias que eu precisaria de um servidor para :)
Cupcake
3
Se o tráfego estiver prejudicando o seu link, ele ainda estará prejudicando o seu link. Caso contrário, é provável que você esteja perdendo pelo menos algum tráfego legítimo, piorando o ataque de DoS. Em um roteador SoHo, este é um mau conselho. Está desativado por padrão por um motivo.
David Schwartz
1
O objetivo principal de um DoS é tornar o tráfego do DoS indistinguível do tráfego legítimo, para que a vítima tenha que escolher entre abandonar o tráfego legítimo e responder ao tráfego do DoS. Por exemplo, se você estiver servindo HTTP na porta 80, um ataque típico de DoS verá uma inundação de SYN de várias fontes na porta 80. Como você pode diferenciar os SYNs de inundação de SYNs de clientes legítimos?
David Schwartz
2
"Se implementado corretamente" não é garantido; especialmente em hardware de nível consumidor. O roteador Netgear que eu estava usando em casa há vários anos teve um grande erro no filtro do DOS. Foi possível enviar um único pacote com dados malformados que causariam uma falha no filtro do DOS e derrubariam o roteador.
Dan is Fiddling por Firelight
1
Não, não é, ele sempre pode desligá-lo ou ajustar os limites. Vi dispositivos de ponta defenderem as redes com apenas esse material básico, enquanto os firewalls de classe empresarial mal configurados caem em seu rosto.
quer
-2

Se o ataque DoS não matar seu PC primeiro, o calor gerado pela proteção de DoS matará seu roteador. Se você está preocupado com segurança, não use a internet.

É melhor proteger todos os dispositivos individuais da sua rede com um firewall e av corretamente configurados; quando não estiver usando a rede, desligue o seu wifi e use-o como faria com a água da torneira.

DERP
fonte