ということで、この 1 か月で、私のサーバーはスクリプト キディによる攻撃を 3 回受けました。このサーバーは主に Minecraft サーバーとして使用されています。これらのユーザーの多くは Minecraft から来ており、おそらく 12 歳から 16 歳の間であるため、これが流行になりつつあるのではないかと心配しています。
基本的な攻撃を阻止するために、ルーターを実際にロックダウンして正当な受信トラフィックのみを管理し、無効な受信トラフィックをできる限りドロップすることを考えています。
私が使用しているルーターはActiontec MI424WRです
ルーターの構成設定を調べたところ、「高度なフィルタリング」のセクションを見つけました。
高度なフィルタリング オプションには、すべてのデバイスのリストがあります。私の興味をそそり、この質問を書くきっかけとなったのは、イーサネット/同軸およびブロードバンド接続 (イーサネット/同軸) ルールを設定できることです。
目的は、自分のサーバーからホストしているアプリケーション向けであることがわかっているパケットのみを許可することです。これらのアプリケーションに関連付けられたポートがあり、これらのサービスにポート転送ルールを設定しています。実際の同軸ケーブルにルールを追加して、パケットが通過するとすぐに不正なパケットをドロップできるようにすることで、さらにロックダウンしたいと考えています。
これで大規模な DDoS 攻撃をブロックできるわけではないことは承知していますが、スクリプト キディによるダウンを阻止できればと思っています。(私のアップ/ダウン接続は 35 メガビットのみです。)
質問:
(1) 高度なフィルタリングには、(a) イーサネット/同軸ルールと (b) ブロードバンド接続 (イーサネット/同軸) ルールの 2 つのルール セットがあります。これらのデバイスの違いは何ですか?
(2) サーバーのオープン ポートのリストがある場合、高度なフィルタリングのイーサネット/同軸ルールにルール セットを追加するだけで安全でしょうか。それとも、何か見落としているのでしょうか。家族もこのネットワークに接続しているので、家族がインターネットや Skype などのアプリケーションを使用できないようにしたくありません。
最後に、何かヒントやアドバイスがあれば、ぜひ教えていただきたいです。この問題は制御不能になっているようで、何千ものサーバーがこれらのスクリプトキディによって攻撃を受けているのを見てきました。その間、次のルールを設定する予定です。http://blogs.technet.com/b/steriley/archive/2006/07/10/configure-your-router-to-block-dos-attempts.aspx