如果我打开“ Control Panel
>“ Security
>“ Protection
,请选中“ Enable DoS Protection
,然后单击“ Apply
,阻止什么样的stream量?
该文本显示“拒绝服务(DoS)保护有助于防止互联网上的恶意攻击”。
我找不到更详细的信息。
除了有助于“防止恶意攻击”,DoS保护更准确地做了什么? 它如何知道哪些是恶意攻击,哪些是有效的请求?
我需要更好的定义什么被封锁,所以我不会错误地阻止有效的stream量,如果我启用这个。
而在这种特殊情况下,我需要支持一个不幸需要同时或快速连接150个连接的应用程序。
还没有答案,但一些input:
“DSM 5.2-5644 Update 5”上的iptables-save
输出:
closuresDoS防护:
# Generated by iptables-save v1.4.21 on Sat Feb 20 23:23:24 2016 *filter :INPUT ACCEPT [6161:1075680] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [5604:2995833] :DEFAULT_INPUT - [0:0] -A INPUT -j DEFAULT_INPUT -A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP -A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP COMMIT # Completed on Sat Feb 20 23:23:24 2016
在以下情况下使用DoS保护
# Generated by iptables-save v1.4.21 on Sat Feb 20 23:24:27 2016 *filter :INPUT ACCEPT [10:1306] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [6:2003] :DEFAULT_INPUT - [0:0] :DOS_PROTECT - [0:0] -A INPUT -j DOS_PROTECT -A INPUT -j DEFAULT_INPUT -A DEFAULT_INPUT -p tcp -m tcp --sport 53 -m length --length 2048:65535 -j DROP -A DEFAULT_INPUT -p udp -m udp --sport 53 -m length --length 2048:65535 -j DROP -A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN -A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP COMMIT # Completed on Sat Feb 20 23:24:27 2016
sysctl -a
的各个输出之间没有相关的变化(只有运行时间值更改,如inode编号)
在所有情况下, tc -p class show dev eth0
和tc -p qdisc show dev eth0
显示默认设置。
> tc -p class show dev eth0 class mq :1 root class mq :2 root class mq :3 root class mq :4 root class mq :5 root class mq :6 root class mq :7 root class mq :8 root > tc -p qdisc show dev eth0 qdisc mq 0: root
不能回答,因为DoS缓解似乎只在Synology DSM 5中可用,而且我的NAS系统无法升级,而且这个时间太长,不适合发表评论。
正如@EEAA提到的,你只能做很less的事情,但你可以调整防火墙,修改内核设置,并可能做一些stream量整形。
也许有人可以在检查之前和之后做什么切换DoS保护切换到系统设置?
iptables-save
– 用于软件防火墙的更改 sysctl -a
– 用于内核可调参数 tc -p qdisc show dev eth0
& tc -p class show dev eth0
– 用于任何stream量控制设置