라우터에서 DoS Defense를 사용하지 않는 이유는 무엇입니까?


15

최근 DrayTek Vigor 2830 라우터 에서 DoS Defense 설정을 찾았습니다 .이 라우터는 기본적으로 비활성화되어 있습니다. 이 네트워크에서 매우 작은 서버를 실행하고 있으며 서버를 24 시간 연중 무휴 운영하는 것이 매우 중요합니다.

DoS 방어가 어떤 종류의 문제를 일으킬 수 있는지 잘 모르겠습니다. 아직 DoS 공격을 경험하지는 않았지만 가능한 공격을 피하고 싶습니다. DoS 방어 설정을 사용 하지 않는 이유가 있습니까?


3
오히려 물어보다 우리를 당신이해야하는 경우이 "의 DoS 방어"기능을 사용하지 말아야 / 왜 라우터 공급 업체에 문의하지 실제로 무엇을 그 규칙은 사용자의 환경에서 의미가 경우 다음 체크 박스를 결정할 때?
voretaq7

(웹 사이트에서 매뉴얼을 파고 들었을 때, 내가 확인하고 다루는 것들의 목록이 비교적 제정신이라고 말할 수 있습니다. 합법적 인 것을 깨뜨릴 수는 없으므로 실제로 켜는 데 해를 끼치 지 않습니다. 기대하지 마십시오. 모든에서 당신을 보호하기 위해 - 이 완화 수없는 공격이 있습니다 )
voretaq7

이것은 대부분 위험 분석 질문이므로 정보 보안 으로 마이그레이션을 요청하는 것이 좋습니다.
AviD

답변:


21

라우터가 추가 상태를 유지하고 각 패킷에 대해 추가 작업을 수행해야 함을 의미합니다. 그리고 DoS의 경우 어떻게 실제로 도움이 될 수 있습니까? 할 수있는 일은 이미받은 패킷을 삭제하는 것입니다. 이미 수신 했으므로 인바운드 인터넷 대역폭을 소비하여 이미 피해를 입었습니다.


3
@SpacemanSpiff : 이것이 사실이 아닌 두 가지 이유 : 1) 일반적인 ADSL 링크는 서비스를 처리하기에 충분한 트래픽을 전달할 수 없습니다. 이러한 링크에 대한 일반적인 DoS 공격은 대역폭을 소비하여 작동합니다. 2) 장치는 합법적 인 트래픽으로 인한 공격 트래픽을 확실하게 알 수 없습니다. 따라서 합법적 인 트래픽을 제거하기 때문에 DoS 공격을 중지하는 것은 자신에 대한 DoS 공격입니다. (당신은 공격 트래픽에 회신하지 않을 때문에 대부분, 이것은 다른 서비스에 대한 아웃 바운드 대역폭을 보존합니다하지만 유용한 인바운드와 함께, 많은 도움이되지 않습니다 보통을 아웃 바운드 보호..)
데이비드 슈워츠에게

1
거의 .. 일반적으로 dreytek이 잡고있는 라인에 투약을 받으면 내려갑니다.
Sirex

1
SYN flooding, UDP flooding, ICMP flooding, Port Scan Detections, IP Spoofing, Tear Drop Attacks (SYN 플러딩, UDP 플러딩, ICMP 플러딩, 포트 스캔 탐지, IP 스푸핑, 테어 드롭 공격). 이 벤더가 기본적으로 벤더를 남겨 둔다고해서 모든 사람이 그런 것을 의미하지는 않습니다. Juniper NetScreen 및 SRX Branch 라우터는 ASA5505와 마찬가지로이 기능을 지원합니다.
SpacemanSpiff

1
예, 그러나 모든 기본 에지 방어 기능을 설정했습니다. 이제 Linux ping 명령을 사용하는 바보조차 그를 쓰러 뜨릴 수 있습니다.
SpacemanSpiff

3
@SpacemanSpiff : 대역폭을 압도 할 수 있으면 대역폭을 켠 상태에서도 그를 중단시킬 수 있습니다. 대역폭을 사용한 후에 트래픽 삭제하고 있습니다. 가장 느린 링크 내부에 방어 된 경계를 두는 것은 좋지 않습니다. 아마도 가장 약한 링크는 라우터 CPU와 인바운드 대역폭입니다.
David Schwartz

5

DoS 방어 설정을 활성화하지 않는 한 가지 이유는 DOS에서 시스템을 보호하려고하면 라우터 / 방화벽의 CPU가 급등하여 DoS 자체가 발생하기 때문입니다.


5

내가 아는 오래된 스레드이지만 Draytek 2850 홈 라우터에서 DoS 방어 기능을 꺼서 일부 연결 문제를 방지해야했습니다 (거의 모든 인바운드 대역폭이 0으로 떨어졌습니다). 이상하게도, 모든 아이들이 iPhone, PC를 사용하고 Skype 등에서 채팅을 할 때 DoS 방어가 시작됩니다!

내 생각에 라우터가 양방향으로 진행되는 트래픽이 너무 많아서 라우터가 외부의 공격을 받고 있다고 생각하고 종료됩니다. UDP 플러드 방어를 해제해도 완전한 수정이 이루어지지 않았으므로 SYN 및 ICMP 방어도 해제했습니다. (SYN 및 ICMP 플러드 방지를 모두 해제해야한다면 네트워크에서 서버를 실행하지 않는 한 라우터가 매우 잘 작동하고 있다고 생각합니다.)-연결 시작 중에 SYN 및 ICMP 요청이 서버로 전송됩니다. 클라이언트 장치는 서버로부터 SYN-ACK를 다시받습니다.

안녕하세요-연결 문제가 없습니다. 물론 방어를 다시 켜고 값을 초당 더 잘 조정할 것입니다 (패킷 단위로 측정 됨).이 문제를 오랫동안 해결하려고 노력해 왔으며 실제 원인을 찾는 것은 매우 충격적이었습니다.

나는 이것이 다른 누군가를 돕기를 바랍니다.


ASUS 무선 라우터 RT-N10에서도 동일하게 확인할 수 있습니다. DoS 보호를 활성화하면 무선 연결이 저하됩니다.

1
우리는 네트워크에서 모바일 장치를 허용하기 시작한 직후 2930에서 매우 비슷한 문제를 겪었습니다. SYN, UDP 및 ICMP 방어에 대한 임계 값을 크게 올렸으며 문제가 중지되었습니다.

3

예, 절대로 켜십시오.

이것이 올바르게 구현되면 방화벽 엔진은 각 패킷을 검사해야합니다. DoS 공격의 일부로이 트래픽을 삭제하기로 결정한 후에는 규칙을 하드웨어에 설치하고 트래픽을 반복해서 처리하는 대신 자동으로 삭제해야합니다. 여전히 떨어질 부분은 분산 공격이지만이 기능을 켜는 것이 좋습니다.

해당 서버는 어떤 종류의 서비스를 호스팅합니까?


이것은 다른 물건을 많이 실행 : IIS, MSSQL 데이터베이스, MySQL 데이터베이스, 아파치, 마인 크래프트 임의 물건의 모든 종류의 내가 :)의 서버 필요할 것
먹고

3
트래픽으로 인해 링크가 손상되는 경우에도 여전히 링크가 손상됩니다. 그렇지 않은 경우 적어도 합법적 인 트래픽을 떨어 뜨려 DoS 공격을 악화시킬 수 있습니다. SoHo 라우터에서 이것은 나쁜 조언입니다. 이유로 인해 기본적으로 꺼져 있습니다.
David Schwartz

1
DoS의 요점은 DoS 트래픽을 합법적 인 트래픽과 구분할 수 없도록하여 피해자가 합법적 인 트래픽을 삭제하는 것과 DoS 트래픽에 대응하는 것 중에서 선택해야한다는 것입니다. 예를 들어 포트 80에서 HTTP를 제공하는 경우 일반적인 DoS 공격 중 하나는 포트 80의 다중 소스 SYN 플러드입니다. 합법적 인 클라이언트 SYN의 플러드 SYN을 어떻게 알 수 있습니까?
David Schwartz

2
"정확하게 구현 된 경우"는 보장되지 않습니다. 특히 소비자 용 하드웨어에서. 몇 년 전 집에서 사용했던 Netgear 라우터는 DOS 필터에 큰 버그가있었습니다. DOS 필터가 충돌하여 라우터가 다운되는 잘못된 데이터가 포함 된 단일 패킷을 전송할 수있었습니다.
Dan 님이 Firelight에 의해 조사 중입니다.

1
아닙니다. 그는 항상 끄거나 임계 값을 조정할 수 있습니다. 저급 장치가 잘못 구성된 엔터프라이즈 급 방화벽이 눈에 띄는 동안이 기본적인 것들로 네트워크를 방어하는 것을 보았습니다.
SpacemanSpiff

-2

DoS 공격이 PC를 먼저 죽이지 않으면 DoS 보호에서 생성 된 열이 라우터를 죽입니다. 보안에 관심이 있다면 인터넷을 사용하지 마십시오.

네트워크를 사용하지 않을 때는 수돗물처럼 Wi-Fi를 끄십시오.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.