יש לי בראוטר באפשרות אבטחה מתקדמת את האפשרויות הבאות:

Enable ICMP-FLOOD Attack Filtering

ICMP-FLOOD Packets Threshold (5 ~ 3600): Packets/s

Enable UDP-FLOOD Filtering

UDP-FLOOD Packets Threshold (5 ~ 3600): Packets/s

Enable TCP-SYN-FLOOD Attack Filtering

TCP-SYN-FLOOD Packets Threshold (5 ~ 3600): Packets/s

Ignore Ping Packet From WAN Port

Forbid Ping Packet From LAN Port

מה אומרים הפיצ'רים האלה והאם כדי להפעיל וכמה פקטות לקנפג ?

כמו כן האם כדי להפעיל UPNP ? האם זה בטוח ?

מצטרף לשאלות

חלקית אני יכול לענות ש:

1.בשום אופן אל תפתח UPNP-זאת פריצת אבטחה נוראית

2.אני לא מתמצא בניסיונות פריצה/העמסת יתר-אבל העיקרון של האפשרויות האלה הוא למנוע "הפגזה" של פקטות-שזו סוג של התקפה שיוצרת עומס יתר על הראוטר ויכולה לגרום לקריסתו

לגבי הUPNP, ראה מה שdevilh אמר.

לגבי השאר, כל הקטע הזה הוא די חארטה ואני אסביר:

ההגדרות הללו נועדו ל"הגנה" כנגד התקפת DoS, שזה "הפצצה" של החיבור שלך בפאקטות.

יש בגדול שני סוגים של התקפות כאלו. אחת, TCP-SYN-FLOOD, מכוונת לגרום למחשב שלך להכין את עצמו לפתיחת "שיחה" עם מחשב אחר, אחרי סף מסויים המחשב שלך לא יהיה מסוגל לעמוד בעומס של כ"כ הרבה פניות והוא או השירות שמקבל את הפניות יקרסו. זה יותר רלוונטי לשרתים.

לדוגמא, אם יש לך שרת אינטרנט על המחשב שמציג אתר. כל אחד באינטרנט שרוצה לראות את האתר שלך, רושם את הכתובת ומגיע למחשב שלך. כדי לדבר עם האתר הוא צריך לפתוח ב"שיחה" (מה שנקרא לחיצת היד המשולשת של TCP), המחשב המרוחק עושה זאת ע"י שלחת פאקט TCP-SYN. ברגע שהמחשב שלך קיבל כזה פאקט הוא יודע שמישהו רוצה לדבר איתו ויכין את עצמו לחיבור ע"י הקצאת משאבים (נגיד והאתר שלך יוצר דף דינאמי לכל חיבור, הוא צריך לשמור אותו בצורה מקומית). אם מישהו זדוני ישלח לך הרבה פאקטים כאלו השרת שעל המחשב שלך יתחיל להקצאות כמות משאבים בצורה שעולה על יכולת המחשב להתמודד איתם והשרת ו/או המחשב שהוא רץ עליו יקרסו.

הסוג השני, שICMP-FLOOD וUDP-FLOOD נמנים בו, מכוון פשוט לחנוק את החיבור שלך, כלומר לשלוח לך כ"כ הרבה מידע ששום דבר אחר לא יצליח להגיע אליך. הסוג השני דורש יותר משאבים מהצד התוקף, אבל גם הרבה יותר אפקטיבי. אם יש לך חיבור ברוחב פס יורד של 2.5 מגה ביט, למשל, ולתוקף יש 20 מחשבים עם רוחב פס עולה של 150 קילו ביט (כמו בחבילה של 1.5 מגה). הוא יכול להגיד לכל המחשבים שלו לשלוח לך בבת-אחת הרבה זבל (נגיד לעשות לך פינג) ובקצב המקסימלי של החיבור שלהם. רוחב הפס המשותף של כל המחשבים יהיה 150*20=3000, כלומר 3 מגה ביט. זה יותר ממה שהחיבור שלך מסוגל לקלוט, לכן יווצר תור שיתקע מידע שאתה כן רוצה. זה כמו תור למרפאה, שבו כל הזמן אנשים נכנסים לתור רק בשביל לשאול שאלה, האנשים החולים באמת יתקעו בתור הזה והמרפאה לא תצליח לטפל במי שבאמת זקוק לעזרה.

אז למה ההגדרות בנתב הן חארטה?

א. אם אתה מותקף בסוג השני, אז זה שהנתב לא נותן לפאקטים להגיע למחשב לא משנה את העובדה ש"מאחוריו" יש כל הזמן זרם על פאקטים שממשיכים לחנוק את החיבור. רק חסימה במקום שרוחב הפס גדול מכמות הפאקטים המתקיפים תאפשר לך להמשיך ולעבוד. המקום הזה הוא בדר"כ הספקית שלך.

ב. אם אתה מותקף ע"י הסוג הראשון, ההגנה היחידה שחומת אש יכולה לספק היא חסימת הפאקטים מהIP שממנו הפאקטים מגיעים, אבל אם הפורטים לשרת על המחשב לא מופנים בצורה ידנית (כלומר פתוחים להגיע למחשב) ממילא הן יחסמו ע"י מנגנון הNAT. ואם כן מצליחים לתקוף אותך, נגיד דרך האימיול (כי הוא פותח שרת על המחשב שלך ואתה מפנה עליו את הפורטים בנתב), זה לא יפיל לך את הרשת או את המחשב, מקסימום יגרום לאימיול שלך להסגר.

התקפות DoS למיניהן לא מסתפקות בדר"כ בשימוש במחשבים בודדים, כל סקריפט קידי מסוגל להדביק דרך הICQ את כל חברי הכיתה שלו בטרויאני שיאפשר לו להשתמש במחשבים שלהם כ"זומבים" (או בוטים) ולקבל רוחב פס שיכול לעשות הרבה יותר ממה שהנתב הבייתי שלך מסוגל להתמודד איתו.

יש אנשים שעושים זאת כמקצוע, ויש "צבאות בוטים" של מיליוני מחשבים.

לכן השורה תחתונה היא - לא צריך לטרוח להגדיר את הדברים הללו. הם לא אפקטיביים והם שם רק בשביל שיהיה רשום על הקופסא של הנתב "הגנה מפני התקפות DoS".

תודה רבה

שכנעת אותי לא לגעת בהגדרות אלה.