Protezione DDoS
La protezione contro gli attacchi DoS e SYN flood è integrata nel kernel Linux utilizzato nel sistema operativo del dispositivo Keenetic. Gli attacchi Denial of Service (DoS) e Distributed Denial of Service (DDoS) si basano sull'apertura di un gran numero di connessioni al dispositivo. Dal punto di vista del bersaglio, gli attacchi DDoS sono indistinguibili dall'attività di rete peer-to-peer. Data la loro natura, gli attacchi DDoS, e quindi la protezione contro di essi, non sono particolarmente rilevanti per i dispositivi di accesso domestico o per il segmento SOHO. Gli attacchi DDoS sono solitamente diretti a strutture aziendali, siti web pubblici, data center, ecc. Gli attacchi denial-of-service distribuiti vengono solitamente eliminati in modo efficace dal lato del provider.
A partire dalla versione 4.3 di OS, i dispositivi Keenetic hanno una maggiore sicurezza di rete grazie alla protezione automatica contro gli attacchi DDoS, che mira a impedire l'overflow della tabella delle connessioni conntrack (connessioni attive).
I seguenti comandi sono stati aggiunti all'interfaccia della riga di comando (CLI):
ip conntrack max-entries {max-entries} — imposta la dimensione della tabella conntrack.
ip conntrack lockout disable — disattiva la protezione della tabella conntrack (abilitata per impostazione predefinita).
ip conntrack lockout threshold public {public} — imposta il numero massimo di connessioni dalle interfacce pubbliche (percentuale della dimensione della tabella conntrack, da 50 a 99, il valore predefinito è 80).
ip conntrack lockout duration {duration} — imposta la durata del blocco in secondi (da 60 a 3600, il valore predefinito è 600).
ip conntrack sweep threshold {threshold} — imposta la soglia per iniziare a cancellare le sessioni in sospeso (percentuale della dimensione della tabella conntrack, da 50 a 99, valore predefinito: 70).
show ip conntrack lockout — visualizza lo stato del blocco.
Importante
I comandi menzionati in questo articolo sono destinati a utenti esperti.
Ogni dispositivo ha le proprie impostazioni predefinite, che sono determinate dalle sue prestazioni e capacità hardware. Si consiglia di utilizzare le impostazioni predefinite del produttore e di limitare il numero di sessioni su un dispositivo client che crea un gran numero di sessioni. Utilizzare i comandi elencati con cautela, poiché impostazioni errate possono potenzialmente portare all'instabilità del dispositivo.
Per impostazione predefinita, la protezione della tabella delle connessioni conntrack è abilitata sul dispositivo.
Quando la tabella è piena all'80% (il valore preimpostato di default), viene attivata la protezione da overflow. Messaggi come i seguenti appariranno nei registri del dispositivo:
nf_conntrack: lockout threshold reached (16384), public connections locked for 600 s
In genere, i modelli gigabit hanno una dimensione della tabella di 16384 voci, mentre i modelli di fascia più alta hanno 32768 voci. Di conseguenza, il limite per il riempimento della tabella all'80% sarà di ~13.000 e ~26.000 voci.
Se nei registri del dispositivo vengono visualizzati messaggi che informano che la tabella delle connessioni conntrack è piena o che si è attivata la protezione da overflow, potrebbe significare che c'è un virus (Trojan) sulla rete locale o un attacco DDoS da Internet (se il dispositivo ha un indirizzo IP WAN pubblico).