Adott egy Mikrotik router, pár napja az uplódja kb. kétszerese, mint amit a sávszélességünk elbírna.
Ahogy eddig láttam csak udp forgalom van kifele 3-4 ipről egyszerre. Ipk tiltása után jön egy új, új országból:), tehát egyesével tiltogatni esélytelen.
Az eszközben van még tartalék (memória, proci).
Ezt a szabályt tettem bele: http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking
De a megadott feladatot nem látja el. Sajnos a megadott ipk nem kerülnek bele a tiltó listába.
Pár hasznos ötlet:
http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
- 6630 megtekintés
Hozzászólások
A linkelt szabályon kívül, van még tűzfal szabályod beállítva?
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
DNS kifele tiltva van?
- A hozzászóláshoz be kell jelentkezni
már nem csak az udpt támadják, van benne már tcp is redesen
- A hozzászóláshoz be kell jelentkezni
Köszi az ötletet mindenkinek dnst tiltottam, viszont ma reggelre megszűnt a terhelés, így nem tudom mondani ez volt-e a baj.
Amúgy puszta kíváncsiság, ki kezd el véletlenszerű ipről névfeloldást kérni?
- A hozzászóláshoz be kell jelentkezni
Botneten keresztül keresi valaki, hogy alkalmas vagy-e DNS Amplification támadásra vagy már javában zajlik is a támadás?
- A hozzászóláshoz be kell jelentkezni
Nem tudom, de nálam 12 nap alatt 141 próbálkozás volt 51 különböző címről.
- A hozzászóláshoz be kell jelentkezni
ebben az a vicc, hogy mikrotiknél kézzel kell tiltani a TCP/UDP 53-at, nem értem miért nem lehet a DNS cache-nél ezt beállítani
- A hozzászóláshoz be kell jelentkezni
Mert a MikroTik nem olyan "router" amit az ember a TP-Link után "router"-nek gondol.
Nem kell hogy WIFI legyen benne, nem kell hogy torrentezni tudjon, nem kell switch-nek lennie (1db ethernet portos megoldások is vannak), stb...
Beállítani viszont tudni kell, akkor sokkal több a lehetőséged, mint a kattingatós routereknél.
- A hozzászóláshoz be kell jelentkezni
izé ebbe ne menjünk bele , hogy ki mit tud konfigurálni, vagy mit nem...
pl. vegyük az SXT-t, az egy CPE, kliens eszköz (aka. TPLINK! ) és faja ki open-proxyk az alap configgal!
akkor szerinted a bind-ban található allow-query-cache opció tök felesleges, ott is szürjük a csomagszűrövel...
csak annyit akartam jelezni, hogy szerintem ez egy fontos funkció lenne a mikrotikben, hogy egy DNS cache szolgáltatás honnan fogad el kéréseket (iface, ip range)
azt tegyük hozzá a mikrotikhez, hogy egy szép kis frontend az egész egy linuxra ráhúzva! (viszont szépen össze van reszelve!)
- A hozzászóláshoz be kell jelentkezni
tényleg ne mennyünk bele,igiboynak igaza van +1
:)
- A hozzászóláshoz be kell jelentkezni
:P
- A hozzászóláshoz be kell jelentkezni
Van viszont összekattintgatós varázsló a TP-Link-hez szokott felhasználók számára.
És ott sincs kikapcsolva.
- A hozzászóláshoz be kell jelentkezni
Biztos vagy benne, hogy támadásról van szó?
Egy helyen, ahol van mikrotikem, a szolgáltatónak kb 50-100 Mbps bulk forgalma van az intefészen, de ennek a forgalomnak semmi köze nincs hozzám, de az intrefész statisztikájában tisztán látszik, hogy óriási forgalmat generál, de ha megnézem részletesen, akkor látszi, hogy nem tőlem jön és nem nekem van címezve.
- A hozzászóláshoz be kell jelentkezni
és az nem zavar hogy annak semmi keresnivalója nem lenne nálad?:)
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
Szia!
Nálam 2 hete jelentkezett DDoS DNS-re. Tűzfal szabállyal megoldottam.
Előtte előszeretettel SNMP-re, NTP-re, Radius Incoming-ra, Bandwidth test-re.
Minden létező nyitott portra ami nem volt filterezve.
Jó megoldást DDoS védelemre nem találtam én sem. Maradt a sok soros tűzfal szabály.
- A hozzászóláshoz be kell jelentkezni
Hali,
Valószínűleg, DNS lesz, kezdetekben velem is fordult elő hasonló. Arra ügyelj, hogyha DSL vagy egyéb olyan kapcsolatot használsz, ami új hálózati interfészt hoz létre, akkor a külső tűzfalszabályokat arra húzd fel. Tehát pl. DSL esetén ne az eth1-re, hanem a pppoe-out1-re legyen aktív.
--
kincza
- A hozzászóláshoz be kell jelentkezni