Denial-Of-Service Angriffe nutzen prinzipielle Schwächen der TCP/IP-Protokolle sowie fehlerhafte Implementationen aus.
- Zu den Angriffen, die prinzipielle Schwächen ausnutzen, gehören z. B. SYN-Flood und Smurf.
- Zu den Angriffen, die fehlerhafte Implementationen zum Ziel haben, gehören alle Angriffe, die mit fehlerhaft fragmentierten Paketen operieren (z. B. Teardrop) oder mit gefälschten Absenderadressen arbeiten (z. B. Land).
Ihr Gerät erkennt die meisten dieser Angriffe und kann mit gezielten Gegenmaßnahmen reagieren. Für diese Erkennung wird die Anzahl der Verbindungen ermittelt, die sich noch in Verhandlung befinden (halboffene Verbindungen). Überschreitet die Anzahl der halboffenen Verbindungen einen Schwellwert, geht das Gerät von einem DoS-Angriff aus. Die dann resultierenden Aktionen und Maßnahmen können wie bei Firewall-Regeln definiert werden.
Anmerkung: Für Zentralgeräte befinden sich aufgrund der zumeist höheren Anzahl der angeschlossenen Benutzer auch ohne DoS-Angriff eine große Zahl von Verbindungen im halboffenen Zustand. Aus diesem Grund verwenden diese Geräte einen höheren Standard-Schwellwert für die Erkennung der DoS-Angriffe.
LANconfig: Firewall/QoS / DoS
WEBconfig: LCOS-Menübaum / Setup / IP-Router / Firewall
- Maximalzahl halboffene VerbindungenLegen Sie hier fest, ab welcher Anzahl von halboffenen Verbindungen die Aktionen zur Abwehr von DoS-Angriffen ausgelöst werden sollen.
Mögliche Werte:
- 0 bis 9999
- 100
- 1000 für Zentralgeräte wie 7100, 7111, 8011, 9100, 4025(+), 4100.