Стойкость роутеров D-Link к DDoS атакам
Вчера ночью мой домашний интернет немного потух. Сначала я решил, что проблема у провайдера, но насторожила большая нагрузка на внешний канал, судя по индикации на роутере. Чтобы долго не искать виноватого я просто отключил все компы и сервера от роутера, но индикация нагрузки не спадала. Был несколько удивлён и решил зайти на роутер проверить, что за фигня там происходит. Но роутер даже не откликнулся и я решил, что проблема с ним. Решил перепрошить и отключил его от WAN-порта. И роутер сразу же откликнулся. Ради интереса зашёл на страничку логов и увидел, что там такое месиво атак, что всё встало на свои места. Ради интереса подключил ещё один роутер с более мощным процессором. И роутер D-Link DIR-628 очень легко проглотил эту DDoS атаку. Конкретного адреса с которого шли атаки не было, их были тысячи конкретного порта тоже не было, шёл перебор портов от 20 до 65535. Но оставлять DIR-628 в качестве роутера я не хотел так как пришлось бы настраивать кучу правил по переадресации портов, переписыванию DHCP, в общем очень много переделок бы пришлось делать.
Для того, чтобы ввести в строй DIR-320 я перепробовал отключение и включение отражение атак в разных конфигурациях. Но потом мне пришла старая как мир идея. Я отключил логирование атак. Собственно флешка у роутера очень медленная и запись на неё потребляет много временных ресурсов, что приводит к его зависанию.
Стоило отключить запись на флешку как скорость интернета резко возросла и роутер перестал зависать. Так, что не достаточно отражать атаки, нужно ещё уметь не зависать на самых уязвимых для себя моментах. Программистам в D-Link нужно было предусмотреть вариант записи логов в виде описания количества отраженных атак не записывая их свойства.
Осталось понять кому было выгодно положить сеть у меня дома.
Тэги: ИТ
Отредактировано:2020-09-25 19:30:27
Спасибо за полезную статейку. Посмотрю на моем asus n66u.