Mikrotik hálózat kérdés

Hálózatok általános

Sziasztok,

Elmúlt hetekben kaptam egy jelzést az internet szolgáltatómtól, hogy az általam használt internet előfizetésről támadást indítottak bizonyos oldalak ellen.
Végig néztem minden logot, hálózati kaput/szabályt, de nem találtam semmi nyomot, hogy mi történhetett.

Nagyjából ezóta a mikrotik routeremben, ha megnézem a firewall, connections fület, akkor rengetek kapcsolat van established állapotban a 443as és 80 as porton, bizonyos szerverek felé.
Ezeknek egy része google szerver, a másik része viszont teljesen ismeretlen számomra.
Ha pl nyitok bármelyik hálózatomon lévő gépről egy új oldalt böngészőben, akkor is 5-10 egyidejű established kapcsolat nyílik és nem értem miért, korábban nem volt ilyen.

Elképzelehető hogy bekaptam valami botnetet?
Hogy lehet ennek a végére járni?

  • 2612 megtekintés

( hrgy84 | 2015. 05. 23., szo – 21:21 )

"Ha pl nyitok bármelyik hálózatomon lévő gépről egy új oldalt böngészőben, akkor is 5-10 egyidejű established kapcsolat nyílik és nem értem miért, korábban nem volt ilyen."

Oooo... mennyire vagy otthon a halozatok, ezen belul a bongeszo mukodeseben?

Marmint, arrol biztos hallottal mar, hogy bizonyos oldalak nem egy helyrol szedik ossze az informaciot. Peldaul, ha itt a HUP-on valaki beilleszt a nyito postba egy kepet az imgur.com -rol vagy a kepfeltoltes.hu -rol, akkor az nem a hup.hu szervererol jon le, hanem az adott kep hosting oldalerol. Ez azt jelenti, hogy maris ket kapcsolat nyilt meg.
Ha ehhez hozzaveszem, hogy ma mar minden masodik oldal tartalmazza a Google Analytics JavaScript kodjat, akkor mar harom kapcsolatrol beszelunk.

Ezen felul van egy dolog, ugynevezett CDN, ez olyasvalami, mint a kepfeltoltes.hu, csak nem kizarolag kepeknek, hanem CSS meg JavaScript fajloknak, ez maris negy kapcsolat per oldal. Ha nem egy, hanem tobb CDN-rol szedi ossze, akkor az annyival tobb kapcsolat, hiszen gepenkent legalabb egy kapcsolatot jelent.

Tehat az, hogy egy bongeszolap 5-10 kapcsolatot nyit meg, az nem is annyira szokatlan, hiszen eleg gyorsan osszeszedheto az ilyesmi, az oldaltol fuggoen.

Am ettol fuggetlenul elkepzelhetonek tartom, hogy valami csunya dolog megszallta a gepedet, en biztosan megfuttatnek egy virusellenorzest es egy Ad-Aware-t (vagy valami nagyon hasonlot), ami kiszedi az adware-ket is a rendszerbol. Ezen felul nezd at az osszes bongeszo beepulodet, amit tobb, mint egy honapja nem hasznaltal, azt dobd ki.
--
Blog | @hron84
Üzemeltető macik

( makanys | 2015. 05. 23., szo – 21:36 )

Szia!

Mostanság mégegy dolog szokott lenni MikroTik esetén. A beépített DNS szerveren keresztül szoktak támadást indítani. Ezt onnan veszed észre, hogy nagy a router WAN portján a packet/sec szám. A kivédése: /ip firewall filter add chain=input protocol=UDP dst-port=53 in-interface=WAN_interface action=drop
Így már csak a belső hálózatról lehet elérni a router DNS szerverét. Érdemes akkor is ezt megcsinálni ha mindent rendben látsz, mert előbb utóbb úgyis belefutsz.

Üdv
Sanyi