web-dev-qa-db-ja.com

TP-LinkDoS保護はBonjourをブロックします

私たちはApple中心のオフィスを持っているため、プリンター、AirPlayターゲット、疑似サーバー(デスクトップコンピューター間でのファイル交換など)などの自動検出をBonjour(mDNS)に依存しています。

TP-Link T1600G L2 +スイッチをコアスイッチとしてインストールしました。これは、IPv6とインターネット接続デバイスの急増に伴い、ネットワークの管理を支援するためのステップです。 (最終的には、ゲストがWiFiにサインインし、インターネットにアクセスし、会議室のApple TV/AirPlayにアクセスできるようにしたいが、他の内部リソースにはアクセスできないようにしたい。 、たとえば、しかし、それは完全なレベル3ルーター(注文中)を必要とし、問題が発生した場合は別の投稿になることを理解しています。)

今のところ、T1600Gをインストールし、WANルーター/ NAT/DHCPサーバー、すべてのダムL2スイッチとワイヤレスAP、メインサーバー、およびIoTデバイスを接続しました(後でVLANを介してAPとIoTのものを分離します)。しかし、VLAN)を設定することすらできておらず、すでに何かを壊しています。

特に、T1600Gの「DoSDefend」保護、ファームウェアバージョン「1.0.3Build 20160412 Rel.43154(s)」を有効にすると、Bonjourがブロックされることがわかりましたが、どのように、なぜ、何をすべきかわかりませんそれについて実行します(DoS保護をオフのままにする以外)。 Bonjour広告を強制的に発行する方法がわからないため、問題を診断する方法すらわかりません。

IPv4 DoS攻撃のように見えるIPv6マルチキャストについて何かありますか?

更新

TP-Linkビジネステクニカルサポートに電話しました。彼らはBonjourが何であるかを知らず、私に電話を切りました。

2
Old Pro

問題は「BlatAttack」フィルターでした。ブラットアタックは「ランドアタック」の特殊化ですが、どういうわけか、フィルターは完全な攻撃ではなく、特殊化をチェックするためだけに進化しました。詳細に...

「ランドアタック」とは、攻撃者がスプーフィングされたTCP SYNパケットを送信し、宛先と送信元の両方のIPアドレスとして被害者のIPアドレスを含むことです。脆弱なシステムは最終的に自分自身に応答します。フィードバックループ「BlatAttack」はLandAttackの「改善」であり、送信元ポートと宛先ポートが同一であり、URGフラグを悪用することもあります。

さて、どこかで誰かが同じ送信元と宛先ポートでIPパケットを送信することは常に悪意があると考えていたので、Blat Attack防御は、まったく何もないとしても、同じ送信元と宛先ポートでIPパケットをブロックするだけです。送信元アドレスと宛先アドレスが異なる場合は、それは間違っています。

Bonjour(mDNS)は、同じポート(5353)との間でアナウンスを送信し、BlatAttack防御はそれらのパケットの転送を停止します。 Blat Attackフィルターは現在の実装では本当に役に立たないので(Blat AttackはとにかくLand Attackフィルターによって停止されます)、それをオフにしない理由はないので、私はそうしました、そしてそれは問題を解決しました。

1
Old Pro