Varför blockeras UDP av brandväggar?

Sant och sant - det beror väl på hur brandväggen är konfad...

När det gäller TCP så sätter man oftast upp en grundregel som säger att etablerade sessioner är OK och en annan regel som säger att det är OK för LAN-sidan att starta (etablera) sessioner. Det betyder att du inte har några problem att få igenom TCP-trafik så länge sessionen sätts upp från LAN-sidan.

UDP fungerar inte på samma sätt utan är "stateless" och det är därmed svårare att skriva en enkel grundregel som tillåter UDP.

Garv... är du ironisk?

Du är väl minst lika aktiv som jag på det här forumet och du kan omöjligt ha missat alla portöppningstrådar. Det är ju ett minst ett dussin trådar i veckan på temat. (Fast det beror nog mest på att många inte begriper vad de håller på med.)

UDP används rätt så flitigt för DDoS attacker så jag antar att det nog är just därför man som standard lägger upp regler för UDP trafik i brandväggen.

Jo, jag är en stor motståndare till UPnP:)

Men, det brukar väl inte vara svårare att öppna UDP än TCP i de här bredbandsroutrarna i alla fall.

Och om DDOS. Jo, det är oerhört mycket effektivare att köra DDOS med UDP. Anledningen är att det inte kräver "three way handshake" för att öppna en förbindelse. Ska man verkligen öppna förbindelsen mot en server så krävs att man skickar med korrekt IP adress och som sagt betydligt mer.
Kör man DDOS mot DNS så behöver man bara skicka ett intergalaktiskt antal UDP paket på port 53. Dessutom kan man bryta standarden att skicka så små paket som möjligt då routrar ändå brukar skicka vidare dem, men för en server (och oftast en brandvägg) är det mycket jobbigare. Anledningen är att det ryms fler paket på samma bandbredd om de är små, men för en server som ska plocka upp paketet så tar den ett paket per "mottaggarbuffert". Dvs, den får det jobbigare för varje paket är nästan lika jobbiga att ta från nätverkskortet till CPU. Ju fler mindre paket, desto fler paket. Ju fler paket, desto jobbigare för servern alltså...

Tcp syn-flooding kan stoppad av vissa brandväggar (nu pratar vi inte hemmagrejor dock) genom att brandväggen svarar på syn genom att skicka syn ack. När då det tredje paketet kommer från klienten skickas ett syn mot servern innanför. Det ställer då krav på angriparen att använda sin riktiga ip adress då det aldrig blir en förbindelse annars. Syn flooding fungerar givetvis om inte brandväggen har sådan syn-relay genom att då belastas servern, men annars kan alltså servrarna skyddas mot tcp DDOS. en riktig brandvägg kan också förhindra att för många anslutningar skapas från samma klient per sekund.

Dvs, det finns en del skydd man kan använda, men tänk på att ibland är det brandväggen som kan gå på knäna och inte servern innanför också...

Specifikt dns eller andra UDP-anslutningar tillåts givitsvis inte alltid, men många företag och isps har det öppet till sina namnservrar.

Skickades från m.sweclockers.com

Per default blockerar du all som du inte själv anger.
I kommersiella FW iaf. Vet ej hur det är med hemmamarknaden.