Blocos de proteção DoS TP-Link Bonjour

2

Temos um escritório centrado na Apple e, como tal, confiamos no Bonjour (mDNS) para a detecção automática de impressoras, alvos AirPlay e pseudo-servidores (por exemplo, troca de arquivos entre computadores desktop).

Acabei de instalar um comutador TP-Link T1600G L2 + como nosso principal switch como uma etapa para ajudar a gerenciar a rede à medida que adotamos o IPv6 e a proliferação de dispositivos conectados à Internet. (Eventualmente, quero que os hóspedes entrem em nosso Wi-Fi, acessem a Internet e também acessem o Apple TV / AirPlay em nossas salas de conferência, mas não acessem nenhum de nossos outros recursos internos, por exemplo, mas eu entendo que Pegue um roteador de nível 3 completo (por encomenda), e esse será um post diferente se eu tiver problemas.)

Por enquanto, eu instalei o T1600G, conectei o servidor WAN router / NAT / DHCP, todos os nossos comutadores L2 e APs sem fio, nossos principais servidores e nossos dispositivos IoT nele (com a intenção de isolar os APs e as coisas IoT) via VLANs depois). Mas eu nem cheguei a configurar uma VLAN e já quebrei alguma coisa.

Em particular, descobri que habilitar a proteção "DoS Defend" do T1600G, versão de firmware "1.0.3 Build 20160412 Rel.43154 (s)", bloqueia o Bonjour de alguma forma, mas não consigo descobrir como ou por que ou o que fazer sobre isso (além de deixar as proteções DoS desativadas). Eu nem sei como diagnosticar o problema porque não sei como forçar a emissão de um anúncio do Bonjour.

Existe algo sobre o multicast IPv6 que se parece com o ataque DoS IPv4?

Atualizar

Liguei para o suporte técnico de negócios da TP-Link. Eles não sabiam o que era Bonjour e desligaram.

    
por Old Pro 12.06.2017 / 00:44

1 resposta

1

O problema foi o filtro "Blat Attack". Um Blat Attack é uma especialização de um "Land Attack", mas de alguma forma o filtro evoluiu apenas para verificar a especialização, não o ataque completo. Em detalhes ...

Um "Land Attack" é quando um invasor envia um pacote TCP SYN falsificado contendo o endereço IP da vítima como o destino e o endereço IP de origem. O sistema vulnerável acaba respondendo a si mesmo em um loop de feedback. Um "Blat Attack" é uma "melhoria" no Land Attack, acrescentando que as portas de origem e de destino são idênticas e, às vezes, abusam do sinalizador URG também.

Bem, em algum lugar ao longo da linha alguém pensou que sempre era malicioso enviar um pacote IP com a mesma porta de origem e destino, então a defesa Blat Attack apenas bloqueia qualquer pacote IP com a mesma origem e porta de destino, embora não há absolutamente nada de errado com isso se os endereços de origem e destino forem diferentes.

Bonjour (mDNS) envia anúncios para e da mesma porta (5353), e a defesa Blat Attack impede que esses pacotes sejam encaminhados. Já que o filtro Blat Attack é realmente inútil em sua implementação atual (Blat Attacks seria interrompido pelo filtro Land Attack de qualquer forma), não há razão para não desligá-lo, então eu fiz, e isso resolveu o problema.

    
por 28.06.2017 / 00:47