Если я открою Control Panel > Security > Protection, чек Enable DoS Protection и нажмите Apply, какой трафик блокируется?
Текст гласит: «Защита от отказа в обслуживании (DoS) помогает предотвратить злонамеренные атаки через Интернет».
Я не могу найти более подробной информации об этом.
Что более конкретно делает эта защита от DoS, кроме как «предотвращения злонамеренных атак»? Как узнать, какие атаки являются вредоносными, а какие - действительными?
Мне нужно более точное определение того, что блокируется, поэтому я не случайно заблокирую действительный трафик, если включу это.
И в этом конкретном случае мне нужно поддерживать приложение, которое, к сожалению, должно выполнять около 150 подключений одновременно или в быстрой последовательности ...
Еще не ответ, но некоторые данные:
iptables-save вывод на "DSM 5.2-5644 Обновление 5":
При выключенной защите от DoS:
# Generated by iptables-save v1.4.21 on Sat Feb 20 23:23:24 2016
*filter
:INPUT ACCEPT [6161:1075680]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5604:2995833]
:DEFAULT_INPUT - [0:0]
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
COMMIT
# Completed on Sat Feb 20 23:23:24 2016
При включенной защите от DoS:
# Generated by iptables-save v1.4.21 on Sat Feb 20 23:24:27 2016
*filter
:INPUT ACCEPT [10:1306]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:2003]
:DEFAULT_INPUT - [0:0]
:DOS_PROTECT - [0:0]
-A INPUT -j DOS_PROTECT
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
COMMIT
# Completed on Sat Feb 20 23:24:27 2016
Никаких существенных изменений между соответствующими выходами sysctl -a (изменяются только значения времени выполнения, например номер inode)
Во всех случаях, tc -p class show dev eth0 и tc -p qdisc show dev eth0 показать настройки по умолчанию.
> tc -p class show dev eth0
class mq :1 root
class mq :2 root
class mq :3 root
class mq :4 root
class mq :5 root
class mq :6 root
class mq :7 root
class mq :8 root
> tc -p qdisc show dev eth0
qdisc mq 0: root
Не отвечаю, потому что защита от DoS, похоже, доступна только в Synology DSM 5, а мою систему NAS нельзя обновить, и это слишком долго, чтобы вписаться в комментарий.
Как упоминалось в @EEAA, вы можете сделать очень мало, но вы можете настроить брандмауэр, изменить настройки ядра и, возможно, выполнить некоторое формирование трафика.
Может быть, кто-нибудь может сделать проверку до и после и опубликовать различие того, что на самом деле включение защиты от DoS влияет на системные настройки?
iptables-save - для изменений в программном брандмауэреsysctl -a - для настроек ядраtc -p qdisc show dev eth0 & tc -p class show dev eth0 - для любых настроек управления трафиком