我们的办公室以 Apple 为中心,因此我们依靠 Bonjour(mDNS)自动发现打印机、AirPlay 目标和伪服务器(例如在桌面计算机之间交换文件)。
我刚刚安装了 TP-Link T1600G L2+ 交换机作为我们的核心交换机,以帮助管理网络,因为我们采用了 IPv6 和大量互联网连接设备。(最终,我希望能够让客人登录我们的 WiFi、访问互联网,还可以访问我们会议室中的 Apple TV/AirPlay,但不能访问我们的任何其他内部资源,但我知道这需要一个完整的 3 级路由器(已订购),如果我遇到麻烦,那将是另一个帖子。)
目前,我刚刚安装了 T1600G,将 WAN 路由器/NAT/DHCP 服务器、所有哑 L2 交换机和无线 AP、主服务器和 IoT 设备插入其中(打算稍后通过 VLAN 隔离 AP 和 IoT 设备)。但我甚至还没有设置 VLAN,就已经破坏了一些东西。
具体来说,我发现启用 T1600G“DoS Defend”保护(固件版本“1.0.3 Build 20160412 Rel.43154(s)”)会以某种方式阻止 Bonjour,但我不知道如何或为什么会阻止它(除了关闭 DoS 保护)。我甚至不确定如何诊断问题,因为我不知道如何强制发出 Bonjour 广告。
IPv6 多播是否存在类似于 IPv4 DoS 攻击的情况?
更新
我打电话给 TP-Link 企业技术支持。他们不知道 Bonjour 是什么,就挂断了我的电话。
答案1
问题出在“Blat Attack”过滤器上。Blat Attack 是“Land Attack”的特化版本,但不知何故,过滤器只检查特化版本,而不是全面攻击。详细来说...
“Land 攻击”是指攻击者发送一个伪造的 TCP SYN 数据包,其中包含受害者的 IP 地址作为目标 IP 地址和源 IP 地址。易受攻击的系统最终会在反馈循环中回复自己。“Blat 攻击”是 Land 攻击的“改进”,增加了源端口和目标端口相同,有时还会滥用 URG 标志。
好吧,有人一直认为发送具有相同源端口和目标端口的 IP 数据包始终是恶意的,因此 Blat 攻击防御只会阻止任何具有相同源端口和目标端口的 IP 数据包,即使源地址和目标地址不同,这样做也绝对没有错。
Bonjour (mDNS) 向同一端口 (5353) 发送公告,并从同一端口发送公告,而 Blat Attack 防御阻止转发这些数据包。由于 Blat Attack 过滤器在当前实施中确实毫无用处(Blat Attack 无论如何都会被 Land Attack 过滤器阻止),所以没有理由不将其关闭,所以我关闭了它,这解决了问题。