Помогите избавиться от атак?

Обсуждение ПО и его настройки
Ответить
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Mikrotik 951G

Пока роутер не завис окончательно, успел сделать скрин... в общем ситуация такова:

Изображение

IP белый, на нем висят как сайты, так и различные другие сервисы, типа TS и.т.п, поэтому скрывать его нет смысла.

На скрине видно всего 4к+ соединений поскольку нажат СТОП. Вообще соединений более 8к и тогда загрузка микротика 100%. Сегодня весь день вот такие чудеса происходят.
Все данные INPUT соединения дропаются правилом, но от перегруза это явно не спасает. Помогает только одно - вручную дропать данный порт, либо указанные IP на PREROUTING

Завтра планирую перенести RouterOS на виртуальную машину, там железо гораздо мощнее. А пока прошу помощи в создании правила, которое будет обрубать подобные соединения без их обработки - PREROUTING?


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

https://www.adminsub.net/tcp-udp-port-finder/1025
Похоже на вирус в сети.


alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

mafijs писал(а): 28 июл 2018, 20:33 https://www.adminsub.net/tcp-udp-port-finder/1025
Похоже на вирус в сети.
Понимаю, вирусы бывают часто. Вопрос в другом.... как избежать зависаний в подобных случаях?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А вам что, так необходим этот порт 1025? Если нет, что мешает просто заблокировать обращения на него в фаерволе?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

podarok66 писал(а): 28 июл 2018, 21:28 А вам что, так необходим этот порт 1025? Если нет, что мешает просто заблокировать обращения на него в фаерволе?
да это же как пример, конечно же данный порт сразу был добавлен в блокировку-) Подобное бывает абсолютно каждый вечер и по всем портам. Честно сказать, надоело мучатся с зависаниями каждый вечер, мониторить и вручную добавлять их в black list., поэтому и спросил про правило.


alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

Сейчас такой фильтр
 Тык

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Accept PING" disabled=yes protocol=\
    icmp
add action=accept chain=input comment=\
    "Accept established connections Mikrotik" connection-state=established \
    in-interface=pppoe-rostel
add action=accept chain=forward comment="Accept established connections LAN" \
    connection-state=established in-interface=pppoe-rostel
add action=accept chain=input comment="Accept related connections Mikrotik" \
    connection-state=related in-interface=pppoe-rostel
add action=accept chain=forward comment="Accept related connections LAN" \
    connection-state=related in-interface=pppoe-rostel
add action=accept chain=input comment="MIKROTIK ALLOW" dst-port=тут порт \
    protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP)" dst-port=\
    тут список портов protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP)" dst-port=\
    тут список портов \
    protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP->SSH)" \
    dst-port=тут список портов protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (UDP)" dst-port=\
    тут список портов protocol=udp
add action=drop chain=input comment="Drop invalid connections Mikrotik" \
    connection-state=invalid in-interface=pppoe-rostel
add action=drop chain=forward comment="Drop invalid connections LAN" \
    connection-state=invalid in-interface=pppoe-rostel
add action=drop chain=input comment="Drop all other input connections" \
    in-interface=pppoe-rostel
add action=accept chain=forward comment="Access Internet From LAN" \
    src-address=192.168.1.0/24
add action=drop chain=forward comment="Drop all other forward connections"
Принцип фаервола такой - Запрещено всё, кроме разрешенных портов.

Именно это правило рубит все остальные инпуты, только вот от атак оно явно не спасает, а наоборот, вешает микротик на 100%

Код: Выделить всё

add action=drop chain=input comment="Drop all other input connections" \
    in-interface=pppoe-rostel


alterak
Сообщения: 83
Зарегистрирован: 07 авг 2017, 12:29

В общем решил сделать так... и на самый верх их все

Код: Выделить всё

/ip firewall filter
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=5m chain=input comment="DDOS Attack" \
    connection-limit=3,32 in-interface=pppoe-rostel protocol=tcp
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=5m chain=forward comment="DDOS Attack" \
    connection-limit=5,32 dst-port=!80,443 in-interface=pppoe-rostel \
    protocol=tcp src-port=!80,443
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=5m chain=input comment="DDOS Attack" \
    connection-limit=10,32 in-interface=pppoe-rostel protocol=udp src-port=\
    !53
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=5m chain=forward comment="DDOS Attack" \
    connection-limit=5,32 in-interface=pppoe-rostel protocol=udp
Пускай теперь пробуют задолбить мой аппаратик-)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

В итоге, какая нагрузка на микротик ?

P.S.
перенесите часть правила в RAW таблицу, сразу станет роутеру легче.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить