DDoS koruması
DoS saldırılarına ve SYN taşmalarına karşı koruma, Keenetic cihazın işletim sisteminde kullanılan Linux çekirdeğine yerleşiktir. Hizmet Reddi (DoS) ve Dağıtılmış Hizmet Reddi (DDoS) saldırıları, cihaza çok sayıda bağlantı açılmasına dayanır. Hedef açısından bakıldığında, DDoS saldırıları eşler arası ağ etkinliğinden ayırt edilemez. Doğaları gereği, DDoS saldırıları ve dolayısıyla bunlara karşı koruma, ev erişim cihazları veya SOHO segmenti için pek geçerli değildir. DDoS saldırıları genellikle kurumsal yapılara, halka açık web sitelerine, veri merkezlerine vb. yöneliktir. Dağıtılmış hizmet reddi saldırıları genellikle sağlayıcı tarafında etkili bir şekilde ortadan kaldırılır.
OS 4,3 sürümünden başlayarak, Keenetic cihazlar, conntrack bağlantı tablosunun (aktif bağlantılar) taşmasını önlemeyi amaçlayan DDoS saldırılarına karşı otomatik koruma sayesinde gelişmiş ağ güvenliğine sahiptir.
Komut satırı arayüzüne (CLI) aşağıdaki komutlar eklenmiştir:
ip conntrack max-entries {max-entries} — conntrack tablosunun boyutunu ayarlar.
ip conntrack lockout disable — conntrack tablo korumasını kapatır (varsayılan olarak etkindir).
ip conntrack lockout threshold public {public} — genel (public) arayüzlerden gelen maksimum bağlantı sayısını ayarlar (conntrack tablo boyutunun yüzdesi, 50 ila 99 arası, varsayılan değer 80'dir).
ip conntrack lockout duration {duration} — kilitleme (lockout) süresini saniye cinsinden ayarlar (60 ila 3600 arası, varsayılan değer 600'dür).
ip conntrack sweep threshold {threshold} — bekleyen oturumları temizlemeye başlama eşiğini ayarlar (conntrack tablo boyutunun yüzdesi, 50 ila 99 arası, varsayılan değer: 70).
show ip conntrack lockout — kilitleme durumunu görüntüler.
Önemli
Bu makalede belirtilen komutlar deneyimli kullanıcılara yöneliktir.
Her cihazın, performansına ve donanım özelliklerine göre belirlenen kendi varsayılan ayarları vardır. Üreticinin varsayılan ayarlarını kullanmanız ve çok sayıda oturum oluşturan bir istemci cihazdaki oturum sayısını sınırlamanız önerilir. Listelenen komutları dikkatli kullanın, çünkü yanlış ayarlar potansiyel olarak cihaz kararsızlığına yol açabilir.
Varsayılan olarak, cihazda conntrack bağlantı tablosu koruması etkindir.
Tablo %80 dolduğunda (varsayılan ön ayar değeri), taşma koruması tetiklenir. Cihaz günlüklerinde aşağıdakine benzer mesajlar görünecektir:
nf_conntrack: lockout threshold reached (16384), public connections locked for 600 s
Genellikle gigabit modellerde 16384 girişlik, daha üst düzey modellerde ise 32768 girişlik bir tablo boyutu bulunur. Dolayısıyla, %80'lik tablo doluluğu sınırı ~13.000 ve ~26.000 giriş olacaktır.
Cihazınızın günlüklerinde conntrack bağlantı tablosunun dolduğuna veya taşma korumasının devreye girdiğine dair mesajlar görürseniz bu, yerel ağınızda bir virüs (Truva atı) olduğu ya da (cihazınızın halka açık bir WAN IP adresi varsa) İnternet'ten gelen bir DDoS saldırısı olduğu anlamına gelebilir.