TP-Link DoS-Schutzblöcke Bonjour

743
Old Pro

Wir haben ein Apple-zentriertes Büro und als solches setzen wir Bonjour (mDNS) für die automatische Erkennung von Druckern, AirPlay-Zielen und Pseudo-Servern (z. B. Austausch von Dateien zwischen Desktop-Computern) ein.

Ich habe gerade einen TP-Link T1600G L2 + Switch als unseren Core-Switch installiert, um das Netzwerk zu verwalten, während wir uns mit IPv6 und der Verbreitung von mit dem Internet verbundenen Geräten befassen. (Schließlich möchte ich in der Lage sein, dass sich Gäste bei unserem WLAN anmelden, auf das Internet zugreifen und auch auf Apple TV / AirPlay in unseren Konferenzräumen zugreifen, aber nicht auf andere interne Ressourcen, z. B., aber ich verstehe das nimm einen kompletten Level-3-Router (auf Bestellung), und das wird ein anderer Beitrag sein, wenn ich Probleme bekomme.)

Fürs Erste habe ich gerade den T1600G installiert, den WAN-Router / NAT / DHCP-Server, alle unsere stummen L2-Switches und WLAN-APs, unsere Hauptserver und unsere IoT-Geräte daran angeschlossen (damit APs und IoT-Elemente später über VLANs isoliert werden können) ). Aber ich bin noch nicht einmal dazu gekommen, ein VLAN einzurichten und habe schon etwas kaputt gemacht.

Insbesondere habe ich festgestellt, dass die Aktivierung des T1600G-Schutzes "DoS Defend", Firmware-Version "1.0.3 Build 20160412 Rel.43154 (s)" Bonjour irgendwie blockiert, aber ich kann nicht herausfinden, wie oder warum oder was zu tun ist tun Sie es dagegen (außer den DoS-Schutz deaktiviert zu lassen). Ich bin nicht einmal sicher, wie ich das Problem diagnostizieren soll, weil ich nicht weiß, wie man eine Bonjour-Werbung erzwingen kann.

Gibt es etwas über IPv6-Multicast, das wie ein IPv4-DoS-Angriff aussieht?

Aktualisieren

Ich rief den technischen Support von TP-Link an. Sie wussten nicht, was Bonjour war und legten mich auf.

2
Basierend auf den [Beschreibungen] (http://static.tp-link.com/T1600G-28TS (UN) _V1_UG_1472024339510n.pdf) in Abschnitt 5.1, vermute ich, dass die Funktion "DoS Defend" für Sie nicht sehr nützlich ist ( wen interessiert WinNuke im Jahr 2017? ...) Sie können es also einfach weglassen. grawity vor 6 Jahren 0

1 Antwort auf die Frage

1
Old Pro

Das Problem war der "Blat Attack" -Filter. Ein Blat-Angriff ist eine Spezialisierung eines "Landangriffs", aber irgendwie hat sich der Filter nur dazu entwickelt, um nach der Spezialisierung zu suchen, nicht nach dem vollen Angriff. Im Detail...

Bei einem "Landangriff" sendet ein Angreifer ein gefälschtes TCP-SYN-Paket mit der IP-Adresse des Opfers als Ziel- und als Quell-IP-Adresse. Das anfällige System reagiert in einer Rückkopplungsschleife auf sich selbst. Ein "Blat-Angriff" ist eine "Verbesserung" des Landangriffs und fügt hinzu, dass die Quell- und Zielports identisch sind und manchmal auch die URG-Flagge missbrauchen.

Irgendwann dachte jemand, es sei schon immer bösartig, ein IP-Paket mit demselben Quell- und Zielport zu senden, sodass die Blat-Attack-Verteidigung jedes IP-Paket mit demselben Quell- und Zielport blockiert, obwohl absolut nichts dabei ist falsch damit, wenn die Quell- und Zieladresse unterschiedlich sind.

Bonjour (mDNS) sendet Meldungen an und von demselben Port (5353), und die Blat-Attack-Verteidigung verhindert, dass diese Pakete weitergeleitet werden. Da der Blat-Attack-Filter in seiner aktuellen Implementierung wirklich unbrauchbar ist (Blat-Attacken würden durch den Land-Attack-Filter sowieso angehalten), gibt es keinen Grund, ihn nicht auszuschalten, also habe ich das getan und das Problem gelöst.

Vielen Dank! Dies funktionierte wie ein Zauber, um das Erkennen meines kabelgebundenen Shield TV von meinen drahtlosen Geräten zu beheben! Doug vor 6 Jahren 0

Verwandte Probleme