如果我打开Control Panel
> Security
> Protection
,检查Enable DoS Protection
并单击Apply
,什么样的流量会被阻止?
正文是“拒绝服务(DoS)保护有助于防止互联网上的恶意攻击。”
我无法找到有关此问题的更多详细信息。
除了帮助“防止恶意攻击”之外,这种 DoS 保护还能做什么呢?它如何知道哪些是恶意攻击,哪些是有效请求?
我需要更好地定义什么会被阻止,这样如果我启用此功能,就不会错误地阻止有效流量。
在这种特殊情况下,我需要支持一个应用程序,不幸的是,该应用程序需要同时或快速连续地建立大约 150 个连接......
答案1
尚无答案,但有一些意见:
iptables-save
“DSM 5.2-5644 更新 5”上的输出:
关闭 DoS 保护后:
# Generated by iptables-save v1.4.21 on Sat Feb 20 23:23:24 2016
*filter
:INPUT ACCEPT [6161:1075680]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5604:2995833]
:DEFAULT_INPUT - [0:0]
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
COMMIT
# Completed on Sat Feb 20 23:23:24 2016
启用 DoS 保护后:
# Generated by iptables-save v1.4.21 on Sat Feb 20 23:24:27 2016
*filter
:INPUT ACCEPT [10:1306]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:2003]
:DEFAULT_INPUT - [0:0]
:DOS_PROTECT - [0:0]
-A INPUT -j DOS_PROTECT
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
COMMIT
# Completed on Sat Feb 20 23:24:27 2016
各个输出之间没有相关变化sysctl -a
(只有运行时值发生变化,如 inode 编号)
在所有情况下,tc -p class show dev eth0
均tc -p qdisc show dev eth0
显示默认设置。
> tc -p class show dev eth0
class mq :1 root
class mq :2 root
class mq :3 root
class mq :4 root
class mq :5 root
class mq :6 root
class mq :7 root
class mq :8 root
> tc -p qdisc show dev eth0
qdisc mq 0: root
答案2
没有回答,因为 DoS 缓解似乎仅在 Synology DSM 5 中可用,并且我的 NAS 系统无法升级,而且这太长了,无法在评论中容纳。
正如@EEAA 提到的,您只能做很少的事情,但您可以调整防火墙,修改内核设置,并可能进行一些流量整形。
也许有人可以进行前后检查,并发布切换 DoS 保护对系统设置的实际影响的差异?
iptables-save
- 软件防火墙的变化sysctl -a
- 对于内核可调参数tc -p qdisc show dev eth0
&tc -p class show dev eth0
- 用于任何流量控制设置