Частичная не работоспособность, в логе: memory info fetch file cko downloaded

Обсуждение ПО и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 3017
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

11 июл 2018, 21:37

Ясно, спасибо за консультацию.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
rampage
Сообщения: 5
Зарегистрирован: 02 июл 2018, 15:28

19 июл 2018, 11:53

Шедулер и Script List девственно пусты:

Изображение Изображение


Заметил большую загрузку процессора:

Изображение Изображение

Изображение Изображение

С одного IP постоянно идёт большой поток данных в несколько мегабит. Возможно от этого загрузка идёт? Что это и как побороть?

Иногда это соединение пропадает на несколько минут - нагрузка сразу падает до околонулевой...
Последний раз редактировалось rampage 19 июл 2018, 23:09, всего редактировалось 4 раза.


Аватара пользователя
podarok66
Модератор
Сообщения: 3017
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

19 июл 2018, 20:25

Так, прислали образец кода со взломанного роутера. Работал года полтора на старом программном обеспечении.

Код: Выделить всё

/system logging
set 0 disabled=yes
set 1 disabled=yes
set 2 disabled=yes
set 3 disabled=yes
add disabled=yes topics=e-mail
/system note
set note="The security flaw for Hajime is closed by the firewall. Please updat\
    e RotherOS. Gratitude is accepted on WebMoney Z399578297824 or BTC 14qiYkk\
    3nUgsdqQawiMLC1bUGDZWHowix1"
/system routerboard settings
set memory-frequency=1200DDR protected-routerboot=disabled
/ip firewall address-list
add address=10.9.0.1 list=allow-ip
add address=10.10.0.0/24 list=allow-ip
add address=10.10.0.7 list=allow-ip
add address=94.170.104.35 list=allow-ip
add address=128.174.197.214 list=allow-ip
add address=192.168.88.0/24 list=allow-ip
add address=192.168.100.0/24 list=allow-ip
add address=192.168.101.0/24 list=allow-ip
/ip firewall filter
add action=tarpit chain=input comment=\
    "Add you ip addess to allow-ip in Address Lists." dst-port=30553 \
    protocol=tcp
add action=add-src-to-address-list address-list=allow-ip \
    address-list-timeout=1h chain=input comment=\
    "The security flaw for Hajime is closed by the firewall." packet-size=\
    1083 protocol=icmp
add action=accept chain=input comment=\
    "Please update RotherOS and change password." src-address-list=allow-ip
add action=drop chain=input comment=\
    " Thanks are accepted on WebMoney Z399578297824" dst-port=53 protocol=udp
add action=drop chain=input comment=\
    "or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1" dst-port=\
    53,8728,8729,21,22,23,80,443,8291 protocol=tcp
На первый взгляд - это просто предупреждение в такой форме. Но сама легкость взлома (логин там абсолютно зубодробительный был, просто так не подберёшь) ещё раз убеждает в том, что обновляться надо вовремя.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vqd
Модератор
Сообщения: 3434
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

20 июл 2018, 06:01

rampage писал(а):
19 июл 2018, 11:53

С одного IP постоянно идёт большой поток данных в несколько мегабит. Возможно от этого загрузка идёт? Что это и как побороть?

Иногда это соединение пропадает на несколько минут - нагрузка сразу падает до околонулевой...
У вас же на скринах есть вся необходимая информация что бы понять в чем проблемма то )) Ну вот прямо написано "флуд по 53 порту"

В фаерволе правила соответсвующие сделате и будет Вам счастье


Есть интересная задача и бюджет? http://mikrotik.site
rampage
Сообщения: 5
Зарегистрирован: 02 июл 2018, 15:28

20 июл 2018, 10:46

Сделал два правила:

1) Блокирую всех из DNS_BLOCK по всем портам и протоколам
chain=input action=drop src-address-list=DNS_BLOCK in-interface=Internet log=no log-prefix=""

2) В список адресов DNS_BLOCK добавляю флудящие IP
chain=input action=add-src-to-address-list protocol=udp address-list=DNS_BLOCK address-list-timeout=0s in-interface=Internet dst-port=53 log=yes log-prefix=""



За ночь в DNS_BLOCK 90 адресов... Нагрузка уменьшилась до 0-5%

Правильно всё сделал?


Аватара пользователя
podarok66
Модератор
Сообщения: 3017
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

21 июл 2018, 11:48

Так это же, похоже, не взлом. Это вполне обычный DNS flood. Чего там в банлист заносить? Дропаем 53 порт на инпуте по udp и tcp. И делов-то.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 1088
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

21 июл 2018, 18:22

rampage писал(а):
20 июл 2018, 10:46
За ночь в DNS_BLOCK 90 адресов... Нагрузка уменьшилась до 0-5%
Правильно всё сделал?
1) Ну если хотите ещё лучше с оптимизироваться, то лучше правила защиты от флуда
по 53 порту сделать в таблице RAW файрвола. Это будет ещё лучше по производительности.
Такие атаки даже не будут попадать в Коннекшен таблицу и меньше нагружать память, процессор
роутера, а отсюда уже и эффективность будет в разы выше.

2) также, для оптимизации - идём в файрвол, Connections и там нажимаем кнопку Tracking,
в появившемся окне, находим параметр TCP Established Timeout, он равен 1дню,
обычно если роутер сканируют, или какая-то зависшая/старая сессия - она там, в коннекшинах
будет до суток висеть, поэтому я лично ставлю этот параметр вместо 1дня, ставлю 12 часов.
Это тоже позволяет ускорить и уменьшить нагрузку на роутер при активном использовании канала(ов).
(этот совет лично от меня).

P.S.
У меня на рабочем роутере за сутки около 200-700 атак.
Тоже формирую список атакующих, таймаут записи в таком списке - сутки,
и этот список у меня уже используется в файрволе, и если айпишник меня пытался флудить,
то для такова адреса полностью по всем портам закрты мой роутер (на сутки).


На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
Ответить