Недавно я обнаружил настройку защиты от DoS в моем DrayTek Vigor 2830 роутер, который по умолчанию отключен. У меня очень маленький сервер в этой сети, и я очень серьезно отношусь к тому, чтобы он работал круглосуточно и без выходных.
Я немного не уверен, может ли DoS Defense вызвать у меня какие-либо проблемы. Я еще не сталкивался с DoS-атаками, но хотел бы избежать возможных атак. есть ли смысл не включить настройку защиты от DoS?
Это означает, что маршрутизатор должен поддерживать дополнительное состояние и выполнять дополнительную работу с каждым пакетом. И как это действительно может помочь в случае DoS? Все, что он может сделать, это отбросить уже полученный пакет. Поскольку вы уже получили его, он уже нанес ущерб, потребляя вашу входящую полосу пропускания Интернета.
Старый поток, который я знаю, но мне только что пришлось отключить защиту от DoS на моем домашнем маршрутизаторе Draytek 2850, чтобы предотвратить некоторые проблемы с подключением (почти у всех входящая пропускная способность упала до 0). Как ни странно, когда все дети используют свои айфоны, компьютеры и болтают в Skype и т. Д., Это срабатывает DoS-защиту!
Я предполагаю, что в обоих направлениях идет так много трафика, что маршрутизатор думает, что он атакован извне, и отключается. Отключение защиты от UDP-флуда не помогло полностью исправить ситуацию, поэтому я также отключил защиту SYN и ICMP. (Если вам пришлось отключить защиту SYN и ICMP от флуда, тогда я думаю, что маршрутизатор очень хорошо справлялся, если только вы не используете сервер или серверы в своей сети) - запросы SYN и ICMP отправляются на серверы во время установления соединения, затем клиентские устройства получают обратно SYN-ACK от сервера.
Привет, никаких проблем с подключением. Конечно, я снова включу защиту и лучше настрою значения (измеренные в пакетах в секунду), но я пытался решить эту проблему целую вечность, и для меня было большим шоком выяснить настоящую причину.
Надеюсь, это поможет кому-то другому.
Одна из причин, по которой не следует включать настройку защиты от DoS-атак, заключается в том, что попытка защиты систем от DOS приведет к скачку ЦП маршрутизатора / брандмауэра, что вызовет сам DoS.
Да, абсолютно, включи это.
Если это реализовано правильно, движок вашего брандмауэра должен проверять каждый пакет. Как только он решит отбросить этот трафик как часть DoS-атаки, он должен установить правило на оборудование и молча сбросить трафик вместо того, чтобы обрабатывать его снова и снова. Там, где он все равно упадет лицом, будет распределенная атака, но я предлагаю вам включить это.
Какие услуги предоставляет этот серверный хостинг?
Если DoS-атака сначала не убьет ваш компьютер, тепло, выделяемое защитой DoS, убьет ваш маршрутизатор. Если вас беспокоит безопасность, не пользуйтесь Интернетом.
Лучше защитить каждое отдельное устройство в вашей сети с помощью правильно настроенного брандмауэра и av, когда вы не используете сеть, выключите свой Wi-Fi, используйте его, как воду из-под крана.