服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在Synology DSM 5中启用DoS保护是做什么的?
Intereting Posts
全局禁用Nginx中所有站点的静态内容访问日志logging 根据目的IP更改源地址:NAT还是路由? 在“yum list”中安装了两个内核和“@fedora”条目的问题? SCCM-暂停所有活动的部署 一个IP上的两个不同的服务器和网站 暴力强制IP 从顶部的命令%wa高,有什么办法来限制它? 如果我有更多的CPU,Apache2运行速度会更快吗? Exchange 2010全局自动回复 – 集线器传输规则? 用户仅限于家庭目录 使用两个lan eth0,通过Ubuntu服务器eth1 SQL 2012服务器别名在本地工作,但不是远程工作 更快的IMAP在Linux上searchCourier IMAP服务器 ISA Server 2004 Hotmailfilter 如何手动为在S2K3之前创build的域创build_msdcs DNS区域?

在Synology DSM 5中启用DoS保护是做什么的?

如果我打开“ Control Panel >“ Security >“ Protection ,请选中“ Enable DoS Protection ,然后单击“ Apply ,阻止什么样的stream量?

该文本显示“拒绝服务(DoS)保护有助于防止互联网上的恶意攻击”。

我找不到更详细的信息。

除了有助于“防止恶意攻击”,DoS保护更准确地做了什么? 它如何知道哪些是恶意攻击,哪些是有效的请求?

我需要更好的定义什么被封锁,所以我不会错误地阻止有效的stream量,如果我启用这个。

而在这种特殊情况下,我需要支持一个不幸需要同时或快速连接150个连接的应用程序。

还没有答案,但一些input:

“DSM 5.2-5644 Update 5”上的iptables-save输出:

closuresDoS防护: 

 # Generated by iptables-save v1.4.21 on Sat Feb 20 23:23:24 2016 *filter :INPUT ACCEPT [6161:1075680] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [5604:2995833] :DEFAULT_INPUT - [0:0] -A INPUT -j DEFAULT_INPUT -A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP -A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP COMMIT # Completed on Sat Feb 20 23:23:24 2016

在以下情况下使用DoS保护 

 # Generated by iptables-save v1.4.21 on Sat Feb 20 23:24:27 2016 *filter :INPUT ACCEPT [10:1306] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [6:2003] :DEFAULT_INPUT - [0:0] :DOS_PROTECT - [0:0] -A INPUT -j DOS_PROTECT -A INPUT -j DEFAULT_INPUT -A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP -A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP -A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN -A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP COMMIT # Completed on Sat Feb 20 23:24:27 2016

sysctl -a的各个输出之间没有相关的变化(只有运行时间值更改,如inode编号)

在所有情况下, tc -p class show dev eth0tc -p qdisc show dev eth0显示默认设置。 

 > tc -p class show dev eth0 class mq :1 root class mq :2 root class mq :3 root class mq :4 root class mq :5 root class mq :6 root class mq :7 root class mq :8 root > tc -p qdisc show dev eth0 qdisc mq 0: root

不能回答,因为DoS缓解似乎只在Synology DSM 5中可用,而且我的NAS系统无法升级,而且这个时间太长,不适合发表评论。

正如@EEAA提到的,你只能做很less的事情,但你可以调整防火墙,修改内核设置,并可能做一些stream量整形。

也许有人可以在检查之前和之后做什么切换DoS保护切换到系统设置?

  • iptables-save – 用于软件防火墙的更改
  • sysctl -a – 用于内核可调参数
  • tc -p qdisc show dev eth0tc -p class show dev eth0 – 用于任何stream量控制设置