2

У нас есть офис, ориентированный на Apple, и поэтому мы полагаемся на Bonjour (mDNS) для автоматического обнаружения таких вещей, как принтеры, цели AirPlay и псевдосерверы (например, для обмена файлами между настольными компьютерами).

Я только что установил коммутатор TP-Link T1600G L2+ в качестве основного коммутатора, чтобы помочь в управлении сетью, поскольку мы поддерживаем IPv6 и распространение подключенных к Интернету устройств. (В конечном итоге я хочу, чтобы гости могли войти в наш Wi-Fi, получить доступ к Интернету, а также получить доступ к Apple TV/AirPlay в наших конференц-залах, но не получить доступ, например, к любым другим нашим внутренним ресурсам, но я понимаю, что возьмите полный маршрутизатор уровня 3 (по заказу), и это будет другой пост, если я столкнусь с проблемами.)

Сейчас я только что установил T1600G, подключил к нему маршрутизатор WAN / сервер NAT / DHCP, все наши немые коммутаторы L2 и беспроводные точки доступа, наши главные серверы и наши устройства IoT (намереваясь позже изолировать точки доступа и IoT через VLAN). ). Но я даже не дошел до настройки VLAN и уже что-то сломал.

В частности, я обнаружил, что включение защиты T1600G "DoS Defend", версия прошивки «1.0.3 Build 20160412 Rel.43154(s)» каким-то образом блокирует Bonjour, но я не могу понять, как, почему и что делать делать с этим (кроме как отключить защиту от DoS). Я даже не уверен, как диагностировать проблему, потому что я не знаю, как заставить рекламу Bonjour быть выпущенным.

Есть ли что-то в многоадресной рассылке IPv6, которая выглядит как DoS-атака IPv4?

Обновить

Я позвонил в службу технической поддержки TP-Link. Они не знали, что такое Бонжур, и были одержимы мной.

1 ответ1

1

Проблема заключалась в фильтре "Blat Attack". Blat Attack - это специализация "Land Attack", но фильтр каким-то образом развился только для проверки специализации, а не для полной атаки. В деталях...

"Наземная атака" - это когда злоумышленник отправляет поддельный пакет TCP SYN, содержащий IP-адрес жертвы как IP-адрес назначения, так и IP-адрес источника. Уязвимая система в конечном итоге отвечает сама себе в цикле обратной связи. "Blat Attack" является "улучшением" Land Attack, добавляя, что порты источника и назначения идентичны, и иногда также использует флаг URG.

Ну, где-то на линии кто-то подумал, что посылать IP-пакет с одним и тем же портом отправителя и получателя всегда вредно, поэтому защита от Blat Attack просто блокирует любой IP-пакет с одинаковым портом отправителя и получателя, даже если абсолютно ничего не существует что-то не так, если адреса отправителя и получателя разные.

Bonjour (mDNS) отправляет сообщения как на один и тот же порт (5353), так и защита Blat Attack останавливает пересылку этих пакетов. Поскольку фильтр Blat Attack действительно бесполезен в своей текущей реализации (в любом случае Blat Attacks будет остановлен фильтром Land Attack), нет никаких причин не отключать его, поэтому я так и сделал, и это решило проблему.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .