Блоки защиты TP-Link DoS Bonjour

У нас есть офис, ориентированный на Apple, и поэтому мы полагаемся на Bonjour (mDNS) для автоматического обнаружения таких вещей, как принтеры, цели AirPlay и псевдо-серверы (например, обмен файлами между настольными компьютерами).

Я только что установил TP-Link t1600g L2+ коммутатор в качестве основного коммутатора в качестве шага, чтобы помочь управлять сетью, как мы принимаем IPv6 и распространение подключенных к Интернету устройств. (В конце концов, я хочу, чтобы гости могли войти в наш Wi-Fi, доступ в интернет, а также получите доступ к Apple TV / AirPlay в наших конференц-залах, но не получите доступ к любым другим нашим внутренним ресурсам, например, но я понимаю, что возьму полный маршрутизатор уровня 3 (по заказу), и это будет другой пост, если я столкнусь с проблемами.)

на данный момент я только что установил T1600G, подключил к нему WAN-маршрутизатор / NAT / DHCP-сервер, все наши немые коммутаторы L2 и беспроводные AP, наши основные серверы и наши устройства IoT (намереваясь изолировать AP и IoT через VLAN позже). но я даже не дошли до настройки VLAN, и уже я что-то сломал.

в частности, я обнаружил, что включение T1600G "защита от DoS, защита" защита, версия прошивки "1.0.3 построить 20160412 отн.43154 (s)", каким-то образом блокирует Bonjour, но я не могу понять, как и почему или что с этим делать (кроме отключения защиты DoS). Я даже не уверен, как диагностировать проблему, потому что я не знаю, как заставить рекламу Bonjour быть выданный.

есть ли что-то о IPv6 multicast, который выглядит как IPv4 DoS атаки?

обновление

Я позвонил в службу технической поддержки TP-Link. Они не знали, что такое Бонжур, и повесили трубку.

5
задан Old Pro
источник

1 ответов

проблема была в фильтре "Blat Attack". Блат-атака-это специализация "наземной атаки", но каким-то образом фильтр развился только для проверки специализации, а не полномасштабной атаки. Подробно...

"наземная атака" - это когда злоумышленник отправляет поддельный пакет TCP SYN, содержащий IP-адрес жертвы в качестве IP-адреса назначения и источника. Уязвимая система в конечном итоге отвечает сама себе в цикле обратной связи. "Blat атака" является "улучшение" на наземная атака, добавив, что исходный и конечный порты идентичны,а иногда и злоупотребляют флагом URG.

Ну, где-то вдоль линии кто-то подумал, что он всегда был вредоносным для отправки IP-пакета с одного источника и порт назначения, так что блат-атак просто блокирует все IP-пакетов с одного источника и порт назначения, хотя нет абсолютно ничего плохого в том, что если исходный и конечный адреса различный.

Bonjour (mDNS) отправляет объявления на один и тот же порт (5353), а защита от атак Blat останавливает пересылку этих пакетов. Поскольку фильтр атаки Blat действительно бесполезен в его текущей реализации (атаки Blat все равно будут остановлены фильтром атаки Land), нет причин не отключать его, поэтому я это сделал, и это решило проблему.

1
отвечен Old Pro 2017-06-27 22:47:27
источник

Другие вопросы bonjour denial-of-service ip