O que habilita a proteção DoS no Synology DSM 5?

6

Se eu abrir Control Panel > Security > Protection , verifique Enable DoS Protection e clique em Apply , que tipo de tráfego é bloqueado?

O texto diz que "a proteção contra negação de serviço (DoS) ajuda a evitar ataques mal-intencionados pela Internet".

Não consigo encontrar informações mais detalhadas sobre isso.

O que mais precisamente essa proteção DoS faz, exceto ajudar a "impedir ataques maliciosos"? Como ele sabe quais são os ataques mal-intencionados e quais são as solicitações válidas?

Eu preciso de uma definição melhor do que é bloqueado, por isso não bloqueado o tráfego válido por engano, se eu habilitar isso.

E neste caso em particular, eu preciso dar suporte a um aplicativo que infelizmente precisa fazer cerca de 150 conexões simultaneamente ou em rápida sucessão ...

    
por tomsv 23.07.2014 / 17:18

2 respostas

1

Não é uma resposta ainda, mas alguma entrada:

iptables-save output em "DSM 5.2-5644 Update 5":

Com proteção DoS desativada:

# Generated by iptables-save v1.4.21 on Sat Feb 20 23:23:24 2016
*filter
:INPUT ACCEPT [6161:1075680]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5604:2995833]
:DEFAULT_INPUT - [0:0]
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
COMMIT
# Completed on Sat Feb 20 23:23:24 2016

Com proteção DoS em:

# Generated by iptables-save v1.4.21 on Sat Feb 20 23:24:27 2016
*filter
:INPUT ACCEPT [10:1306]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:2003]
:DEFAULT_INPUT - [0:0]
:DOS_PROTECT - [0:0]
-A INPUT -j DOS_PROTECT
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
COMMIT
# Completed on Sat Feb 20 23:24:27 2016

Nenhuma alteração relevante entre as respectivas saídas de sysctl -a (somente valores de tempo de execução mudam, como o número de inode)

Em todos os casos, tc -p class show dev eth0 e tc -p qdisc show dev eth0 mostram as configurações padrão.

> tc -p class show dev eth0
class mq :1 root 
class mq :2 root 
class mq :3 root 
class mq :4 root 
class mq :5 root 
class mq :6 root 
class mq :7 root 
class mq :8 root 
> tc -p qdisc show dev eth0
qdisc mq 0: root 
    
por 20.02.2016 / 23:26
0

Não responde porque a mitigação de DoS parece estar disponível apenas no Synology DSM 5 e meu sistema NAS não pode ser atualizado e isso é muito longo para caber em um comentário.

Como @EEAA mencionou, você só pode fazer muito pouco, mas você pode ajustar o firewall, modificar as configurações do kernel e possivelmente fazer alguma modelagem de tráfego.

Talvez alguém possa fazer uma verificação antes e depois e postar a diferença entre a proteção contra DoS e as configurações do sistema?

  • iptables-save - para alterações no firewall de software
  • sysctl -a - para os ajustáveis do kernel
  • tc -p qdisc show dev eth0 & tc -p class show dev eth0 - para qualquer configuração de controle de tráfego
por 23.07.2014 / 19:13