最近,我发现我的DrayTek Vigor 2830路由器,默认情况下处于禁用状态。我在这个网络上运行着一个非常小的服务器,我非常重视让服务器全天候运行。
我不太确定 DoS 防御是否会给我带来任何问题。我还没有遇到过任何 DoS 攻击,但我想避免可能的攻击。有什么理由不是启用 DoS 防御设置?
答案1
这意味着路由器必须维护额外的状态并对每个数据包执行额外的工作。在发生 DoS 时它能有什么实际帮助呢?它所能做的就是丢弃您已经收到的数据包。由于您已经收到该数据包,因此它已经通过消耗您的入站互联网带宽造成了损害。
答案2
不启用 DoS 防御设置的一个原因是,尝试保护系统免受 DOS 攻击将导致路由器/防火墙的 CPU 激增,从而导致 DoS 本身。
答案3
我知道这是一个老话题,但我刚刚不得不关闭我的 Draytek 2850 家用路由器上的 DoS 防御功能,以防止出现一些连接问题(几乎所有人的入站带宽都降至 0)。奇怪的是,当所有孩子都在使用他们的 iPhone、PC 并在 Skype 上聊天等时,它会触发 DoS 防御!
我猜是因为双向流量太大,路由器会认为它受到了外部攻击并关闭。关闭 UDP 洪水防御并不能完全解决问题,所以我也关闭了 SYN 和 ICMP 防御。(如果您必须关闭 SYN 和 ICMP 洪水保护,那么我认为路由器表现非常好,除非您在网络上运行一个或多个服务器)- 在连接启动期间,SYN 和 ICMP 请求会发送到服务器,然后客户端设备会从服务器收到 SYN-ACK。
嘿,瞧——不再有连接问题。当然,我会重新打开防御并更好地调整值(以数据包/秒为单位),但我已经尝试解决这个问题很长时间了,找到真正的原因让我很震惊。
我希望这对其他人有帮助。
答案4
是的。它可以将“拒绝服务保护”转变为来自外部互联网的“拒绝服务”,甚至在没有任何攻击的情况下。
就我的情况来说华硕 RT-AC58U它使得主 HTTP(S) 和 FTP(S) 服务器对一半的请求响应非常缓慢,即使只有一个外部客户端,或者在几次成功连接后根本不响应并超时。例如,我打开一个页面,一半的图片都丢失了,点击下一页时会挂起一分钟。
多年来,我尝试设置各种掩饰措施,比如在我的 VPS 上设置文件缓存反向代理 (nginx)、缓存 DNS 服务器,甚至只是将家用路由器的动态 IP 存储在 /etc/hosts 中。VPS 本身运行良好,但与家用后端的连接性从未改善,直到我禁用家用路由器中的“DoS 保护”。
每日备份使用表里不一通过 FTP(S) 从我的 VPS 传输到家用电脑,这会为每个文件建立一个新的连接,可能会跳过一些不同的文件,需要半小时到 10 多个小时的时间,或者当天根本无法完成。现在,通过 FTPS 传输 4-5 个文件夹需要 1.5 分钟,并且禁用了“DoS 保护”。
虽然我的其他备份脚本lftp它使用单个 FTPS 连接同时传输一组文件,即使启用“DoS 保护”,也能正常工作。