ルーターでDoS防御を有効にしない理由は何ですか？

Question

私は最近、DoS防御設定を自分の DrayTek Vigor 28 ルーターで見つけました。これはデフォルトでは無効になっています。私はこのネットワークで非常に小さなサーバーを実行していますが、サーバーを24時間年中無休で稼働させることは非常に重要です。

DoSディフェンスが私に何らかの問題を引き起こす可能性があるかどうか、私には少しわかりません。まだDoS攻撃を経験していませんが、攻撃の可能性は避けたいと思います。 DoS防御設定を有効にする理由がないですか？

David Schwartz · Accepted Answer

これは、ルーターが追加の状態を維持し、各パケットで追加の作業を行う必要があることを意味します。そして、DoSの場合、それはどのように本当に役立ちますか？それができるすべてはあなたがすでに受け取ったパケットを落とすことです。あなたはすでにそれを受け取っているので、それはあなたのインバウンドインターネット帯域幅を消費することによってすでに損害を与えています。

Richard · Answer

古いスレッドですが、接続の問題を防ぐために、Draytek 2850ホームルーターのDoS防御をオフにする必要がありました（ほとんどすべての人の受信帯域幅が0に低下しました）。奇妙なことに、すべての子供がiPhone、PC、Skypeでのチャットなどを使用していると、DoS防御がトリガーされます。

私の推測では、双方向に流れるトラフィックが多すぎて、ルータは外部からの攻撃を受けていると判断してシャットダウンします。 UDPフラッド防御をオフにしても完全な修正は行われなかったため、SYNおよびICMP防御もオフにしました。（SYNとICMPの両方のフラッド保護をオフにする必要がある場合、ネットワーク上でサーバーを実行している場合を除いて、ルーターは非常に適切に機能していたと思います）-SYNおよびICMP要求は、接続の開始時にサーバーに送信されます。クライアントデバイスはサーバーからSYN-ACKを受信します。

ねえpresto-接続の問題はもうありません。もちろん、防御機能をオンに戻し、値（パケット/秒で測定）をより適切に調整しますが、この問題を長年にわたって解決しようとしていましたが、本当の原因を突き止めることは非常にショックでした。

これが他の誰かの役に立つことを願っています。

becomingwisest · Answer

DoS防御設定を有効にしない1つの理由は、DOSedからシステムを保護しようとすると、ルーター/ファイアウォールのCPUが急上昇し、DoS自体が発生するためです。

SpacemanSpiff · Answer

はい、絶対、オンにします。

これが正しく実装されていれば、ファイアウォールのエンジンが各パケットを検査するはずです。 DoS攻撃の一部としてこのトラフィックをドロップすることが決定されると、ハードウェアにルールをインストールし、トラフィックを何度も処理するのではなく、サイレントにドロップする必要があります。まだ顔に当たるのは分散攻撃ですが、これをオンにすることをお勧めします。

そのサーバーはどのような種類のサービスをホストしていますか？