Захист від DDoS-атак
Захист від DoS-атак і SYN-флуду вбудовано в ядро Linux, що використовується в операційній системі пристроюKeenetic. Атаки типу «відмова в обслуговуванні» (DoS) та «розподілена відмова в обслуговуванні» (DDoS) ґрунтуються на відкритті великої кількості з'єднань з пристроєм. З точки зору цілі DDoS-атаки неможливо відрізнити від звичайної активності в одноранговій мережі. Через свою природу DDoS-атаки, а отже, і захист від них, не є особливо актуальними для домашніх пристроїв доступу або сегмента SOHO. DDoS-атаки зазвичай спрямовані на корпоративні структури, загальнодоступні веб-сайти, центри обробки даних тощо. Розподілені атаки типу «відмова в обслуговуванні» зазвичай ефективно усуваються на стороні провайдера.
Починаючи з версії ОС 4,3, пристрої Keenetic мають покращений захист мережі завдяки автоматичному захисту від DDoS-атак, який запобігає переповненню таблиці з'єднань conntrack (активних з'єднань).
До інтерфейсу командного рядка (CLI) було додано такі команди:
ip conntrack max-entries {max-entries} — установити розмір таблиці conntrack.
ip conntrack lockout disable — вимкнути захист таблиці conntrack (увімкнено за замовчуванням).
ip conntrack lockout threshold public {public} — установити максимальну кількість з'єднань від публічних інтерфейсів (відсоток від розміру таблиці conntrack, від 50 до 99, значення за замовчуванням — 80).
ip conntrack lockout duration {duration} — установити тривалість блокування в секундах (від 60 до 3600, значення за замовчуванням — 600).
ip conntrack sweep threshold {threshold} — установити поріг для початку очищення сеансів, що очікують (відсоток від розміру таблиці conntrack, від 50 до 99, значення за замовчуванням: 70).
show ip conntrack lockout — переглянути статус блокування.
Важливо
Команди, згадані в цій статті, призначені для досвідчених користувачів.
Кожен пристрій має власні налаштування за замовчуванням, які визначаються його продуктивністю та апаратними можливостями. Рекомендується використовувати налаштування виробника за замовчуванням і обмежувати кількість сеансів на клієнті мережі, який створює велику кількість таких сеансів. Використовуйте перелічені команди з обережністю, оскільки неправильні налаштування можуть призвести до нестабільної роботи пристрою.
За замовчуванням на пристрої увімкнено захист таблиці з'єднань conntrack.
Коли таблиця заповнена на 80% (значення, встановлене за замовчуванням), спрацьовує захист від переповнення. У журналах пристрою з'являться такі повідомлення:
nf_conntrack: lockout threshold reached (16384), public connections locked for 600 s
Зазвичай гігабітні моделі мають таблицю на 16384 записи, а старші моделі — на 32768 записів. Відповідно, обмеження для 80% заповнення таблиці становитиме ~13000 та ~26000 записів.
Якщо в журналах вашого пристрою з'являються повідомлення про заповнення таблиці з'єднань conntrack або спрацювання захисту від переповнення, це може означати наявність вірусу (трояна) у вашій локальній мережі або DDoS-атаку з Інтернету (якщо ваш пристрій має публічну IP-адресу WAN).