我有一台工作笔记本电脑,每当这台笔记本电脑使用办公室以外的任何互联网连接时,都会自动激活企业 VPN。
使用我家的 Wi-Fi 在这台笔记本电脑上浏览互联网几乎是不可能的,因为加载最简单的页面非常慢并且经常失败。这种情况不会发生在连接到同一 Wi-Fi 的其他设备上,也不会发生在我在办公室时使用工作笔记本电脑上。
我家用路由器的安全日志显示大量来自我公司 IP 的 DoS 事件,但只有当这台笔记本电脑连接到我家用路由器并且 VPN 处于开启状态时才会发生。通常情况下,VPN 无法禁用,但 IT 支持人员在调查问题时不小心搞砸了,因此在某个时候我能够在 VPN 关闭的情况下测试我的家庭连接:没有 DoS 事件,连接速度正常。如果我使用移动热点而不是家用 Wi-Fi,效果也一样好。因此,问题似乎出在公司 VPN 和家用路由器的组合上。
调整路由器的设置后,我发现如果取消选中“DoS 保护”复选框,则在笔记本电脑上浏览互联网就可以正常进行。
我根本不是网络专家,我不知道禁用 DoS 保护是否是个好主意。由于默认情况下启用了该功能,我宁愿保留它,看看是否可以添加某种例外,仅针对我公司的 IP 禁用 DoS 保护,或类似的东西。
如果这样的事情完全有可能(假设我的路由器提供此选项),我想我需要知道公司的 IP 范围。我不知道我是否还需要其他东西。我需要吗?
编辑:以下是日志中 DoS 事件的一个示例:
DoS:每个源 UDP 洪水攻击源=[公司 IP] 目标=[我的 IP]。
基本上每两秒钟就会发生一次。
答案1
只要禁用它即可。
接收端的路由器没有办法阻止数据包被传送给它,所以这种“洪水”保护只有在实施时才有用在...前面最脆弱的环节,但这里的情况并非如此——大多数情况下,问题不在于您的千兆 LAN,而在于您的多兆 WAN 连接。
因此,如果您发现自己遭受了典型的廉价多 Gbps DDoS 攻击,那么只有您的 ISP 设备可以阻止所有这些数据包通过您的 WAN 链路传输;当它们到达您自己的家用路由器时,已经太晚了;链路已经达到容量上限(而且路由器的土豆级 CPU 不太可能具有处理它的能力)。
(此外,不属于任何已建立流的不需要的数据包将被路由器丢弃反正,无需任何额外保护。它在这里所做的只是对合法的 UDP 流进行速率限制。