web-dev-qa-db-ja.com

Synology DSM 5でDoS保護を有効にするにはどうすればよいですか?

Control Panel> Security> Protection、チェックEnable DoS ProtectionをクリックしてApplyをクリックすると、どの種類のトラフィックがブロックされますか?

「サービス拒否(DoS)保護は、インターネットを介した悪意のある攻撃の防止に役立ちます。」と書かれています。

これに関する詳細な情報は見つかりません。

「悪意のある攻撃を防ぐ」のを助けることを除いて、このDoS保護はより正確には何をしますか?悪意のある攻撃と有効な要求をどのようにして区別するのですか?

何がブロックされるかについてのより良い定義が必要なので、これを有効にしても、誤って有効なトラフィックをブロックすることはありません。

そして、この特定のケースでは、残念ながら同時にまたは連続して約150の接続を確立する必要があるアプリケーションをサポートする必要があります...

8
tomsv

まだ答えではありませんが、いくつかの入力:

「DSM 5.2-5644 Update 5」でのiptables-save出力:

DoS保護をオフにした場合:

# Generated by iptables-save v1.4.21 on Sat Feb 20 23:23:24 2016
*filter
:INPUT ACCEPT [6161:1075680]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5604:2995833]
:DEFAULT_INPUT - [0:0]
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
COMMIT
# Completed on Sat Feb 20 23:23:24 2016

DoS保護がオンの場合:

# Generated by iptables-save v1.4.21 on Sat Feb 20 23:24:27 2016
*filter
:INPUT ACCEPT [10:1306]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:2003]
:DEFAULT_INPUT - [0:0]
:DOS_PROTECT - [0:0]
-A INPUT -j DOS_PROTECT
-A INPUT -j DEFAULT_INPUT
-A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP
-A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
COMMIT
# Completed on Sat Feb 20 23:24:27 2016

sysctl -aの各出力間に関連する変更はありません(inode番号のように、ランタイム値のみが変更されます)

すべての場合において、tc -p class show dev eth0およびtc -p qdisc show dev eth0はデフォルト設定を示します。

> tc -p class show dev eth0
class mq :1 root 
class mq :2 root 
class mq :3 root 
class mq :4 root 
class mq :5 root 
class mq :6 root 
class mq :7 root 
class mq :8 root 
> tc -p qdisc show dev eth0
qdisc mq 0: root 
1
David Tonhofer

DoS緩和策はSynology DSM 5でのみ利用可能であり、私のNASシステムはアップグレードできず、コメントにするには長すぎるため、回答しないでください。

@EEAAで述べたように、実行できることはほとんどありませんが、ファイアウォールを調整し、カーネル設定を変更し、場合によってはトラフィックシェーピングを実行できます。

たぶん誰かが前後にチェックを行い、DoS保護の切り替えが実際にシステム設定に何をするかの差分を投稿できますか?

  • iptables-save-ソフトウェアファイアウォールの変更用
  • sysctl -a-カーネル調整パラメータ用
  • tc -p qdisc show dev eth0tc -p class show dev eth0-トラフィック制御設定用
0
HBruijn