Добавить в корзинуПозвонить
Найти в Дзене
Партнёр TP-Link - Россия
164 подписчика

Защита роутеров TP-Link от DDoS, включаем SPI-Firewall и Rate Limit за 10 минут

1240
3 мин
Главная мысль: встроенный SPI-межсетевой экран TP-Link анализирует каждое входящее соединение «сверху-вниз» до уровня сеанса, отсекая подозрительный трафик ещё до того, как он достигнет домашней сети, а Rate Limit «душит» лавины UDP- или ICMP-пакетов, не давая DDoS-потоку забить процессор роутера. Rate Limit регулирует максимальную скорость приёма пакетов каждого типа. Если порог превышен, роутер сбрасывает лишний трафик, тем самым освобождая процессор и память. Перед настройкой убедитесь, что у вас последняя версия ПО: «System Tools → Firmware Update» или в приложении Deco «More → Update Deco». Ограничение скорости пакетов доступно через подписку Pro. Главная мысль: после включения SPI-Firewall и Rate Limit важно отслеживать логи, корректно настраивать доверенные IP-адреса и регулярно обновлять прошивку — тогда даже затяжной UDP- или ICMP-флуд не выведет роутер из строя. Archer Deco SPI-Firewall и грамотно настроенный Rate Limit:
Оглавление

Главная мысль: встроенный SPI-межсетевой экран TP-Link анализирует каждое входящее соединение «сверху-вниз» до уровня сеанса, отсекая подозрительный трафик ещё до того, как он достигнет домашней сети, а Rate Limit «душит» лавины UDP- или ICMP-пакетов, не давая DDoS-потоку забить процессор роутера.

Как SPI-Firewall и Rate Limit защищают роутеры TP-Link от DDoS-флудов

1. Что такое SPI-Firewall и почему он важен

  • Stateful Packet Inspection отслеживает состояние каждого TCP-/UDP-сеанса и пропускает лишь пакеты, которые относятся к уже установленным подключениям.
  • Блокируются «сырые» сканы портов, SYN-Flood, а также фрагментированные пакеты, характерные для UDP-DDoS.
  • Функция активна по умолчанию, но её полезно пере­настроить под агрессивный профиль, чтобы усилить фильтрацию.

2. Rate Limit: «шлагбаум» для пакетных лавин

-2

Rate Limit регулирует максимальную скорость приёма пакетов каждого типа. Если порог превышен, роутер сбрасывает лишний трафик, тем самым освобождая процессор и память.

3. Поддерживаемые устройства и прошивки

-3

Перед настройкой убедитесь, что у вас последняя версия ПО: «System Tools → Firmware Update» или в приложении Deco «More → Update Deco».

4. Включаем SPI-Firewall (Archer)

  1. Авторизуйтесь на tplinkwifi.net → Advanced.
  2. Откройте Security → SPI Firewall.
  3. Активируйте все флажки:

    • Enable SPI Firewall

    • Enable DoS Protection

    • Block TCP Scan, UDP Flood, ICMP Flood
  4. Установите уровень High.
  5. Нажмите Save и перезагрузите, чтобы правила вступили в силу.

5. Настраиваем Rate Limit (Archer)

  1. Advanced → Security → DoS Protection → DoS Defend Config.
  2. Для каждого поля впишите порог:

    • ICMP-Flood Rate = 20 пак/с

    • UDP-Flood Rate = 1000 пак/с

    • TCP-SYN Rate = 50 пак/с
  3. Сохраните и проверьте, что статус DoS Protection = Enabled.

6. Активация «HomeShield Pro» на Deco

Ограничение скорости пакетов доступно через подписку Pro.

  1. В приложении Deco откройте HomeShield → Security.
  2. В разделе DDoS Defense включите SPI Firewall и DoS Protection.
  3. Откройте Custom Protection → задайте пороги ICMP/UDP/TCP-SYN так же, как в таблице выше.
  4. Сохраните; Deco подтвердит «Enhanced Security Enabled».

7. Проверяем защиту

  • Из любого внешнего сервера отправьте непрерывный ping -f. Потери > 90 % означают, что ICMP-Limit работает.
  • Используйте утилиту hping3 --flood --udp (только в лабораторной сети). Процессор роутера не должен подниматься выше 30 %.
  • В System Log → Security появятся записи «ICMP Flood from xx.xx.xx.xx dropped».
Главная мысль: после включения SPI-Firewall и Rate Limit важно отслеживать логи, корректно настраивать доверенные IP-адреса и регулярно обновлять прошивку — тогда даже затяжной UDP- или ICMP-флуд не выведет роутер из строя.

8. Добавляем whitelist для доверённых адресов

  1. Advanced → Security → IP & MAC Binding.
  2. Включите ARP Binding и добавьте статический IP/MAC офисного VPN-сервера или удалённого рабочего места.
  3. В Access Control разрешите «Allow Listed Only» — SPI-Firewall пропустит пакеты от белых IP даже при строгих порогах Rate Limit.
  4. На Deco HomeShield — Security → Trusted Devices и добавьте до 32 MAC-адресов, которые игнорируют DoS-фильтры.

9. Отслеживаем DoS-события и экспортируем журнал

Archer

  • System Tools → System Log → Security.
  • Флаг ICMP Flood Attack (from 203.0.113.7) или UDP Flood Attack показывает, что порог сработал.
  • Нажмите Export: файл .txt сохранится на ПК — пригодится при обращении к провайдеру.

Deco

  • HomeShield → Security Report.
  • Категория Network Attack Defense выводит график с датой, типом и IP-адресом атакующего.
  • Кнопка Share Report экспортирует PDF на e-mail администратора.

10. Типичные ошибки и решения

-4

11. Для повышение защиты и безопасности

  • Отключите UPnP — автоматический проброс портов облегчает работу ботнетов.
  • Закройте неиспользуемые сервисы (FTP/SSH/Telnet) в Advanced → System → Service Control.
  • Обновляйте прошивку раз в квартал: новые версии оптимизируют таблицу состояний SPI и пороги DoS.
  • Используйте длинные пароли Web-GUI: с WPA3-Wi-Fi и сложным admin-паролем шанс взлома минимален.

12. Быстрая проверка защиты

  1. С внешнего сервера запустите hping3 –S –p 80 --flood <WAN-IP> на 60 сек.
  2. В логе должен появиться «TCP-SYN Flood Attack blocked»; CPU роутера не превышает 40 %.
  3. Остановите тест, пинги к сайту tp-link.com должны сразу восстановиться.

13. Итоги

SPI-Firewall и грамотно настроенный Rate Limit:

  1. фильтруют фрагментированные пакеты и SYN-флуды до того, как они займут NAT-таблицу;
  2. сохраняют рабочий пинг и пропускную способность даже при мощном ICMP/UDP-DDoS;
  3. автоматически пишут логи, помогая оперативно выявить злоумышленника.

    Обновляйте прошивку, экспортируйте журналы и держите пороги ICMP 20 / UDP 1000 / TCP-SYN 50 пак/с — ваш TP-Link выдержит большинство бытовых атак.