मेरे राउटर में DoS डिफेंस को सक्षम नहीं करने का कोई कारण?


15

मुझे हाल ही में अपने DrayTek Vigor 2830 राउटर में एक DoS डिफेंस सेटिंग मिली , जो डिफ़ॉल्ट रूप से अक्षम है। मैं इस नेटवर्क पर एक बहुत छोटा सर्वर चला रहा हूं और सर्वर को 24/7 चलाने के लिए मैं इसे बहुत गंभीरता से लेता हूं।

मैं थोड़ा अनिश्चित हूं अगर DoS Defence मुझे किसी भी तरह की समस्या पैदा कर सकता है। मैंने अभी तक किसी भी DoS हमलों का अनुभव नहीं किया है, लेकिन मैं संभावित हमलों से बचना चाहूंगा। क्या DoS डिफेंस सेटिंग को सक्षम करने का कोई कारण नहीं है?


3
हमसे यह पूछने के बजाय कि क्या आपको इस "DoS Defence" सुविधा को सक्षम नहीं करना चाहिए, अपने राउटर विक्रेता से यह क्यों नहीं पूछना चाहिए कि यह वास्तव में क्या करता है जब आप बॉक्स को चेक करते हैं, तो यह तय करें कि क्या वे नियम आपके वातावरण में मायने रखते हैं?
voretaq7

(उनकी वेबसाइट से मैनुअल खुदाई के बाद मैं उन चीजों की सूची कह सकता हूं जिनके लिए यह जांच करता है और जिनके साथ सौदा किया गया है, अपेक्षाकृत अपेक्षाकृत एक है - किसी भी चीज को वैध रूप से तोड़ने के लिए, इसलिए इसे चालू करने में कोई वास्तविक नुकसान नहीं है। बस इसकी उम्मीद न करें। आपको हर चीज से बचाने के लिए - कुछ हमले हैं जो इसे कम नहीं कर सकते )
voretaq7

जैसा कि यह ज्यादातर जोखिम विश्लेषण प्रश्न है, आप इसे सूचना सुरक्षा में स्थानांतरित करने के लिए कहने पर विचार कर सकते हैं ।
AviD

जवाबों:


21

इसका मतलब है कि रूटर को अतिरिक्त स्थिति बनाए रखना होगा और प्रत्येक पैकेट पर अतिरिक्त काम करना होगा। और यह वास्तव में DoS के मामले में कैसे मदद कर सकता है? यह सब कर सकते हैं एक पैकेट है कि आप पहले से ही प्राप्त है ड्रॉप कर सकते हैं। चूंकि आप इसे पहले ही प्राप्त कर चुके हैं, इसलिए यह आपके इनबाउंड इंटरनेट बैंडविड्थ का उपभोग करके पहले ही नुकसान कर चुका है।


3
@स्पेसmanSpiff: दो कारण यह सच नहीं है: 1) एक सामान्य ADSL लिंक किसी भी सेवा को बाहर निकालने के लिए पर्याप्त ट्रैफ़िक नहीं ले जा सकता है। ऐसे लिंक पर विशिष्ट DoS आपके बैंडविड्थ का उपभोग करके काम करते हैं। 2) डिवाइस वैध ट्रैफ़िक से मज़बूती से हमले के ट्रैफ़िक को नहीं बता सकता है। इसलिए DoS के हमले को रोकना स्वयं पर एक DoS का हमला है क्योंकि आप वैध ट्रैफ़िक भी छोड़ रहे हैं। (कम से कम, यह अन्य सेवाओं के लिए आपके आउटबाउंड बैंडविड्थ को संरक्षित करेगा क्योंकि आप हमले के ट्रैफ़िक का जवाब नहीं दे रहे हैं। लेकिन कोई उपयोगी इनबाउंड नहीं है, अपने आउटबाउंड की रक्षा आमतौर पर बहुत मदद नहीं करता है।)
डेविड श्वार्ट्ज

1
बहुत ज्यादा ... आम तौर पर, अगर आप किसी भी लाइन पर एक ड्रायटेक प्राप्त करते हैं, तो आप नीचे जा रहे हैं।
सेरेक्स

1
आपने उसे जो करने के लिए कहा था, वह निम्नलिखित है, बस इतना पता है: SYN बाढ़, यूडीपी बाढ़, आईसीएमपी बाढ़, पोर्ट स्कैन डिटेल्स, आईपी स्पूफिंग, टियर ड्रॉप अटैक। सिर्फ इसलिए कि यह विक्रेता इसे डिफ़ॉल्ट रूप से छोड़ देता है, इसका मतलब यह नहीं है कि हर कोई करता है। जुनिपर नेटस्क्रीन और एसआरएक्स शाखा राउटर इस सक्षम को बाहर निकालते हैं, जैसा कि एएसए 5505 करता है।
SpacemanSpiff

1
हां, लेकिन आपने सभी बुनियादी बढ़त रक्षा को बदल दिया है, अब लिनक्स पिंग कमांड के साथ एक बेवकूफ भी उसे नीचे ले जा सकता है।
SpacemanSpiff

3
@स्पेसmanSpiff: यदि वे उसकी बैंडविड्थ को बढ़ा सकते हैं, तो वे उसे उसके साथ नीचे भी ले जा सकते हैं। वह ट्रैफ़िक को छोड़ने के बाद उसके बैंडविड्थ का उपभोग कर रहा है। सबसे धीमी लिंक के अंदर एक बचाव बढ़त होने से आपको कोई फायदा नहीं होता है। सबसे अधिक संभावना है, उसका सबसे कमजोर लिंक राउटर सीपीयू और उसका इनबाउंड बैंडविड्थ है।
डेविड श्वार्ट्ज

5

DoS डिफेंस सेटिंग को सक्षम नहीं करने का एक कारण यह है कि DOSed से सिस्टम की सुरक्षा करने की कोशिश करने से राउटर / फ़ायरवॉल के CPU में स्पाइक आ जाएगी, जिससे DoS ही उत्पन्न होता है।


5

एक पुराना धागा जिसे मैं जानता हूं, लेकिन मुझे कुछ कनेक्शन की समस्याओं को रोकने के लिए अपने Draytek 2850 होम राउटर पर DoS के डिफेंस को बंद करना पड़ा है (लगभग सभी की इन-बाउंड बैंडविड्थ 0 पर गिर गई)। अजीब तरह से पर्याप्त है, जब सभी बच्चे अपने iPhones, PC और Skype पर चैटिंग आदि का उपयोग कर रहे हैं, तो यह DoS सुरक्षा को ट्रिगर करता है!

मेरा अनुमान है कि दोनों दिशाओं में इतना अधिक ट्रैफ़िक चल रहा है कि राउटर को लगता है कि यह बाहर से हमला कर रहा है और नीचे की तरफ बन्द हो गया है। यूडीपी बाढ़ बचाव को पूर्ण रूप से ठीक नहीं किया इसलिए मैंने SYN और ICMP गढ़ को भी बंद कर दिया। (यदि आपको SYN और ICMP बाढ़ सुरक्षा दोनों को बंद करना था तो मुझे लगता है कि जब तक आप अपने नेटवर्क पर सर्वर या सर्वर नहीं चला रहे हैं तब राउटर बहुत अच्छा काम कर रहा था) - कनेक्शन दीक्षा के दौरान SYN और ICMP अनुरोध सर्वरों को भेजे जाते हैं, तब क्लाइंट डिवाइस सर्वर से SYN-ACK वापस प्राप्त करते हैं।

हे presto - कोई और अधिक कनेक्शन मुद्दों। बेशक, मैं बचाव को फिर से चालू करूंगा और मूल्यों को बेहतर ढंग से ट्यून करूंगा (पैकेट / सेकंड में मापा गया), लेकिन मैं इस समस्या को उम्र के लिए नाकाम करने की कोशिश कर रहा हूं और वास्तविक कारण का पता लगाना काफी झटका था।

मैं उम्मीद करता हूं कि इससे किसी की मदद होगी।


मैं एक ASUS वायरलेस राउटर RT-N10 पर इसकी पुष्टि कर सकता हूं। DoS सुरक्षा सक्षम करने से वायरलेस कनेक्शन ख़राब हो जाएगा।

1
नेटवर्क पर मोबाइल उपकरणों की अनुमति देने के कुछ समय बाद ही 2930 में हमें इसी तरह की समस्या थी। मैंने SYN, UDP और ICMP डिफेंस के लिए थ्रेशोल्ड रेट्स को काफी कम कर दिया और इस समस्या को रोक दिया।

3

हां, बिल्कुल , इसे चालू करें।

यदि इसे सही तरीके से लागू किया जाता है, तो आपके फ़ायरवॉल के इंजन को प्रत्येक पैकेट का निरीक्षण करना चाहिए। एक बार DoS हमले के भाग के रूप में इस ट्रैफ़िक को छोड़ने के लिए निर्धारित होने के बाद, इसे हार्डवेयर में एक नियम स्थापित करना चाहिए और इसे बार-बार संसाधित करने के बजाय चुपचाप ट्रैफ़िक को छोड़ देना चाहिए। जहां यह अभी भी गिर जाएगा, उसका सामना एक वितरित हमला है, लेकिन मेरा सुझाव है कि आप इसे चालू करें।

सर्वर होस्टिंग किस प्रकार की सेवाएं है?


यह बहुत सारे अलग-अलग सामान चला रहा है: IIS, MSSQL डेटाबेस, MySQL डेटाबेस, Apache, Minecraft और सभी प्रकार के रैंडम स्टफ के लिए मुझे एक सर्वर की आवश्यकता होगी :)
ThomasCle

3
यदि ट्रैफ़िक आपके लिंक को नुकसान पहुंचा रहा है, तो यह अभी भी आपके लिंक को नुकसान पहुंचा रहा है। यदि ऐसा नहीं था, तो अब आपको कम से कम कुछ वैध ट्रैफ़िक छोड़ने की संभावना है, जिससे DoS पर हमला बुरा होगा। सोहो राउटर पर, यह बुरी सलाह है। यह एक कारण से डिफ़ॉल्ट रूप से बंद है।
डेविड श्वार्ट्ज

1
एक DoS का पूरा बिंदु DoS यातायात को वैध यातायात से अप्रभेद्य बनाना है, इसलिए पीड़ित को वैध ट्रैफ़िक छोड़ने और DoS ट्रैफ़िक का जवाब देने के बीच चयन करना है। उदाहरण के लिए, यदि आप पोर्ट 80 पर HTTP की सेवा कर रहे हैं, तो एक विशिष्ट DoS अटैक जो आप देखेंगे, वह पोर्ट 80 पर एक बहु-स्रोत SYN बाढ़ है। आप वैध SYNs से बाढ़ SYNs कैसे बता सकते हैं?
डेविड श्वार्ट्ज

2
"अगर सही तरीके से लागू किया गया है" आश्वासन नहीं है; विशेष रूप से उपभोक्ता ग्रेड हार्डवेयर पर। नेटगियर राउटर जो मैं कई साल पहले घर पर इस्तेमाल कर रहा था, उसमें डीओएस फिल्टर का एक बड़ा बग था। विकृत डेटा के साथ एक एकल पैकेट भेजना संभव था जो DOS फ़िल्टर को क्रैश कर देगा और इसके साथ राउटर को नीचे ले जाएगा।
दान अग्नि

1
नहीं यह नहीं है, वह हमेशा इसे बंद कर सकता है या थ्रेसहोल्ड समायोजित कर सकता है। मैंने देखा है कि नीचे के अंत डिवाइस केवल इस मूल सामान के साथ नेटवर्क की रक्षा करते हैं जबकि गलत तरीके से एंटरप्राइज क्लास फायरवॉल उनके चेहरे पर गिरते हैं।
स्पेसमैनस्पीफ

-2

यदि DoS अटैक आपके पीसी को पहले नहीं मारता है, तो DoS सुरक्षा से उत्पन्न गर्मी आपके राउटर को मार देगी। यदि आपकी सुरक्षा के बारे में चिंतित हैं तो इंटरनेट का उपयोग न करें।

अपने नेटवर्क पर प्रत्येक व्यक्ति के डिवाइस को ठीक से सेट फ़ायरवॉल और एवी के साथ सुरक्षित करना बेहतर होता है, जब आपके वाई-फाई का नेट उपयोग नहीं होता है जैसे कि आप अपने नल के पानी का उपयोग करेंगे।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.