Помогите избавиться от атак?

[alterak]

Mikrotik 951G

Пока роутер не завис окончательно, успел сделать скрин... в общем ситуация такова:



IP белый, на нем висят как сайты, так и различные другие сервисы, типа TS и.т.п, поэтому скрывать его нет смысла.

На скрине видно всего 4к+ соединений поскольку нажат СТОП. Вообще соединений более 8к и тогда загрузка микротика 100%. Сегодня весь день вот такие чудеса происходят.
Все данные INPUT соединения дропаются правилом, но от перегруза это явно не спасает. Помогает только одно - вручную дропать данный порт, либо указанные IP на PREROUTING

Завтра планирую перенести RouterOS на виртуальную машину, там железо гораздо мощнее. А пока прошу помощи в создании правила, которое будет обрубать подобные соединения без их обработки - PREROUTING?

[mafijs]

https://www.adminsub.net/tcp-udp-port-finder/1025
Похоже на вирус в сети.

[alterak]

https://www.adminsub.net/tcp-udp-port-finder/1025
Похоже на вирус в сети.

Понимаю, вирусы бывают часто. Вопрос в другом.... как избежать зависаний в подобных случаях?

[podarok66]

А вам что, так необходим этот порт 1025? Если нет, что мешает просто заблокировать обращения на него в фаерволе?

[alterak]

А вам что, так необходим этот порт 1025? Если нет, что мешает просто заблокировать обращения на него в фаерволе?

да это же как пример, конечно же данный порт сразу был добавлен в блокировку-) Подобное бывает абсолютно каждый вечер и по всем портам. Честно сказать, надоело мучатся с зависаниями каждый вечер, мониторить и вручную добавлять их в black list., поэтому и спросил про правило.

[alterak]

Сейчас такой фильтр

 Тык

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Accept PING" disabled=yes protocol=\
    icmp
add action=accept chain=input comment=\
    "Accept established connections Mikrotik" connection-state=established \
    in-interface=pppoe-rostel
add action=accept chain=forward comment="Accept established connections LAN" \
    connection-state=established in-interface=pppoe-rostel
add action=accept chain=input comment="Accept related connections Mikrotik" \
    connection-state=related in-interface=pppoe-rostel
add action=accept chain=forward comment="Accept related connections LAN" \
    connection-state=related in-interface=pppoe-rostel
add action=accept chain=input comment="MIKROTIK ALLOW" dst-port=тут порт \
    protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP)" dst-port=\
    тут список портов protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP)" dst-port=\
    тут список портов \
    protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP->SSH)" \
    dst-port=тут список портов protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (UDP)" dst-port=\
    тут список портов protocol=udp
add action=drop chain=input comment="Drop invalid connections Mikrotik" \
    connection-state=invalid in-interface=pppoe-rostel
add action=drop chain=forward comment="Drop invalid connections LAN" \
    connection-state=invalid in-interface=pppoe-rostel
add action=drop chain=input comment="Drop all other input connections" \
    in-interface=pppoe-rostel
add action=accept chain=forward comment="Access Internet From LAN" \
    src-address=192.168.1.0/24
add action=drop chain=forward comment="Drop all other forward connections"

Принцип фаервола такой - Запрещено всё, кроме разрешенных портов.

Именно это правило рубит все остальные инпуты, только вот от атак оно явно не спасает, а наоборот, вешает микротик на 100%

Код: Выделить всё

add action=drop chain=input comment="Drop all other input connections" \
    in-interface=pppoe-rostel

[alterak]

В общем решил сделать так... и на самый верх их все

Код: Выделить всё

/ip firewall filter
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=5m chain=input comment="DDOS Attack" \
    connection-limit=3,32 in-interface=pppoe-rostel protocol=tcp
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=5m chain=forward comment="DDOS Attack" \
    connection-limit=5,32 dst-port=!80,443 in-interface=pppoe-rostel \
    protocol=tcp src-port=!80,443
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=5m chain=input comment="DDOS Attack" \
    connection-limit=10,32 in-interface=pppoe-rostel protocol=udp src-port=\
    !53
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=5m chain=forward comment="DDOS Attack" \
    connection-limit=5,32 in-interface=pppoe-rostel protocol=udp

Пускай теперь пробуют задолбить мой аппаратик-)

[Vlad-2]

В итоге, какая нагрузка на микротик ?

P.S.
перенесите часть правила в RAW таблицу, сразу станет роутеру легче.