Une raison pour ne pas activer la défense DoS sur mon routeur?
J'ai récemment trouvé un paramètre de défense DoS dans mon DrayTek Vigor 28 routeur, qui est désactivé par défaut. J'exécute un très petit serveur sur ce réseau et je prends très au sérieux d'avoir le serveur opérationnel 24/7.
Je ne suis pas certain que la défense DoS puisse me causer des problèmes. Je n'ai pas encore subi d'attaques DoS, mais je voudrais éviter d'éventuelles attaques. Y a-t-il une raison non pour activer le paramètre de défense DoS?
Cela signifie que le routeur doit maintenir un état supplémentaire et effectuer un travail supplémentaire sur chaque paquet. Et comment cela peut-il vraiment aider dans le cas d'un DoS? Tout ce qu'il peut faire est de supprimer un paquet que vous avez déjà reçu. Puisque vous l'avez déjà reçu, il a déjà fait le mal en consommant votre bande passante Internet entrante.
Un vieux fil que je connais, mais je viens d'avoir à désactiver les défenses DoS sur mon routeur domestique Draytek 2850 pour éviter certains problèmes de connexion (la bande passante entrante de presque tout le monde est tombée à 0). Curieusement, lorsque tous les enfants utilisent leurs iPhones, PC et discutent sur Skype, etc., cela déclenche les défenses DoS!
Je suppose qu'il y a tellement de trafic dans les deux sens que le routeur pense qu'il est attaqué de l'extérieur et s'arrête. Désactiver la défense contre les inondations UDP n'a pas fait de correction complète, j'ai donc désactivé les défenses SYN et ICMP également. (Si vous deviez désactiver la protection contre les inondations SYN et ICMP, je pense que le routeur faisait du très bon travail, sauf si vous exécutez un ou plusieurs serveurs sur votre réseau) - Les demandes SYN et ICMP sont envoyées aux serveurs lors de l'initiation de la connexion, puis les périphériques clients reçoivent un SYN-ACK en retour du serveur.
Hey presto - plus de problèmes de connexion. Bien sûr, je vais réactiver les défenses et mieux régler les valeurs (mesurées en paquets/seconde), mais j'essaie de résoudre ce problème depuis des lustres et ce fut un choc de découvrir la véritable cause.
J'espère que ça aidera quelqu'un d'autre.
L'une des raisons pour ne pas activer le paramètre de défense DoS est que le fait d'essayer de protéger les systèmes contre DOS va augmenter le processeur du routeur/pare-feu, provoquant un DoS lui-même.
Oui, absolument, allumez-le.
Si cela est correctement implémenté, le moteur de votre pare-feu doit inspecter chaque paquet. Une fois qu'il est déterminé à supprimer ce trafic dans le cadre d'une attaque DoS, il doit installer une règle dans le matériel et supprimer silencieusement le trafic au lieu de le traiter encore et encore. Là où il tombera toujours sur son visage, c'est une attaque distribuée, mais je vous suggère de l'activer.
Quels types de services héberge ce serveur?