TP-Link DoS блокирует защиту Bonjour

831
Old Pro

У нас есть офис, ориентированный на Apple, и поэтому мы полагаемся на Bonjour (mDNS) для автоматического обнаружения таких вещей, как принтеры, целевые объекты AirPlay и псевдосерверы (например, для обмена файлами между настольными компьютерами).

Я только что установил коммутатор TP-Link T1600G L2 + в качестве основного коммутатора, чтобы помочь в управлении сетью, поскольку мы поддерживаем IPv6 и распространение подключенных к Интернету устройств. (В конечном итоге я хочу, чтобы гости могли войти в наш Wi-Fi, получить доступ к Интернету, а также получить доступ к Apple TV / AirPlay в наших конференц-залах, но не получить доступ к каким-либо другим нашим внутренним ресурсам, например, но я понимаю, что возьмите полный маршрутизатор 3-го уровня (по порядку), и это будет другой пост, если у меня возникнут проблемы.)

Сейчас я только что установил T1600G, подключил к нему маршрутизатор WAN / сервер NAT / DHCP, все наши немые коммутаторы L2 и беспроводные точки доступа, наши главные серверы и наши устройства IoT (намереваясь позже изолировать точки доступа и IoT через VLAN). ). Но я даже не дошел до настройки VLAN и уже что-то сломал.

В частности, я обнаружил, что включение защиты T1600G «DoS Defend», версия прошивки «1.0.3 Build 20160412 Rel.43154 (s)» каким-то образом блокирует Bonjour, но я не могу понять, как, почему и что делать делать с этим (кроме как отключить защиту от DoS). Я даже не уверен, как диагностировать проблему, потому что я не знаю, как заставить рекламу Bonjour быть выпущенным.

Есть ли что-то в многоадресной рассылке IPv6, которая выглядит как DoS-атака IPv4?

Обновить

Я позвонил в службу технической поддержки TP-Link. Они не знали, что такое Бонжур, и были одержимы мной.

2
Основываясь на [описаниях] (http://static.tp-link.com/T1600G-28TS (UN) _V1_UG_1472024339510n.pdf) в §5.1, я подозреваю, что функция «DoS Defend» будет вам не очень полезна ( кто заботится о WinNuke в 2017 году? ...) так что вы можете просто оставить его. grawity 6 лет назад 0

1 ответ на вопрос

1
Old Pro

Проблема заключалась в фильтре «Blat Attack». Blat Attack - это специализация «Land Attack», но фильтр каким-то образом развился только для проверки специализации, а не для полной атаки. В деталях...

«Наземная атака» - это когда злоумышленник отправляет поддельный пакет TCP SYN, содержащий IP-адрес жертвы как IP-адрес назначения, так и IP-адрес источника. Уязвимая система в конечном итоге отвечает сама себе в цикле обратной связи. «Blat Attack» является «улучшением» Land Attack, добавляя, что порты источника и назначения идентичны, и иногда также использует флаг URG.

Ну, где-то на линии кто-то подумал, что посылать IP-пакет с одним и тем же портом отправителя и получателя всегда вредно, поэтому защита от Blat Attack просто блокирует любой IP-пакет с одинаковым портом отправителя и получателя, даже если абсолютно ничего не существует что-то не так, если адреса отправителя и получателя разные.

Bonjour (mDNS) отправляет объявления как на один и тот же порт (5353), так и защита Blat Attack останавливает пересылку этих пакетов. Поскольку фильтр Blat Attack действительно бесполезен в своей текущей реализации (в любом случае Blat Attacks будет остановлен фильтром Land Attack), нет никаких причин не отключать его, поэтому я так и сделал, и это решило проблему.

Спасибо! Это исправило обнаружение моего проводного телевизора Shield с моих беспроводных устройств! Doug 6 лет назад 0

Похожие вопросы