Загрузка Mikrotik 100%

[Vlad-2]

адрес вообще серый, но держится не меняясь уже давно, около полугода наверное. Включено IP Cloud.

Так, тогда я чё то не пойму: серая адресация и у Вас атаки? Откуда?
И зачем Вам Cloud если Вы за серой адресацией?
Или на Ваш серый Ваш провайдер сделал проброс внешних запросов?

Чувствуется мне, что решение одно - менять железяку, или ставить микрот на вирт. машину и прогонять весь трафик через неё, вот только правильное ли это решение? И вообще практикуют ли подобное? Просто на дорогую железяку денег пока нэту, да и неактуальна она для домашнего сервера-(

Да бывает и дохлый 941 много чего выдерживал. Мне кажется или с логикой и схемой подключение у Вас что-то не так,
или ещё какие то проблемы. Что у Вас за провайдер, какая логика работы с ним.

P.S.
А точно адрес серый?

[alterak]

Так, тогда я чё то не пойму: серая адресация и у Вас атаки? Откуда?
И зачем Вам Cloud если Вы за серой адресацией?
Или на Ваш серый Ваш провайдер сделал проброс внешних запросов?

Адрес динамический - это однозначно. Провайдер Билайн, белый адрес стоит 150р в месяц, поэтому и пользуюсь серым. Скорость = 100
Поскольку адрес серый, именно поэтому включил ip cloud. Есть ссылка, по которой проброшены несколько доменов. Если пинговать домен, то видно и ссылку и этот серый IP, следовательно по этому домену попадаешь на мой сервер (это реальный мини сервер, на котором стоит гипервизор, несколько вирт машин, на котором крутятся голосовые чаты, mail, web с несколькими сайтами и.т.п)
Серый адрес держится так долго, поскольку на нем имеется постоянная активность, как только активность пропадет - IP изменится... такие условия у билайна насколько я знаю.
Раньше подобных проблем не было, но со временем они появились, последние 3 дня атакуют стабильно, по вечерам... длится около 30 минут, ребуты не помогают.
В общем-то вот такая логика работы-)

[Vlad-2]

В общем-то вот такая логика работы-)

Я всё же не до конца понимаю.
Если у меня есть сервисы, и мне нужен реальный адрес - я его беру в аренду и знаю, что он мой на это время
Как в билайне сделано именно у Вас - я не знаю. Обычно Cloud выводит предупреждение, мол я за НАТом и так далее...
В моём регионе билайна нету, но у отца есть, правда у него ещё "старый" билайн, где сначала надо получить "серый" адрес
из сети билайна, и уже на базе серой адресации поднять сессию L2TP и получить реальный адрес + доступ в Интернет.
И серый и реальные адреса меняются через какие-то моменты. Cloud при поднятии L2TP не ругается, предупреждение не выводит.

P.S.
Переинициируйте смену адресов, видать все ваши адреса как-то засветились....или атака идёт из пула серых/реальных
адресов сети Билайна....(предполагаю)

P.P.S.
Не надо в микротике (в файрволе) создавать заведомо разрешённые правила, которые и не запрещены.
Надо сначала убивать инвалидные пакеты, запрещать снаружи пинги, сервисы, а уже потом чуть чуть
что-то явное описать.
Тем более если у Вас прошивка выше 6.38 (кажется), то связанные, подлюченные и установленные правила делать
не надо, это уже внутри прошивки сделано. Чем меньше правил файрвола, тем лучше железке.

[alterak]

Переинициируйте смену адресов, видать все ваши адреса как-то засветились....или атака идёт из пула серых/реальных
адресов сети Билайна....(предполагаю)

Ну поскольку через ссылку Cloud на адрес привязаны домены, которые в публичном доступе, то адрес конечно же засвечен-) впрочем как и белый IP был бы засвечен. Вопрос не в засвете адреса, а в том, как избавиться от атак-)

Не надо в микротике (в файрволе) создавать заведомо разрешённые правила, которые и не запрещены.

Пинги мне нужны, поэтому запрещать их не могу-(
Так у меня разрешены около 15 портов (которые нужны для NAT), а затем уже дропается всё что не разрешено.

Вот мои правила (комментарии ужасны!)

/ip firewall filter
add action=drop chain=forward comment="\CB\E8\EC\E8\F2 \EA\EE\EB-\E2\E0 \EF\EE\
\E4\EA\EB\FE\F7\E5\ED\E8\E9 \F1 \EE\E4\ED\EE\E3\EE IP \EF\EE \EF\F0\EE\F2\
\EE\EA\EE\EB\F3 TCP" connection-limit=100,32 dst-port=80,64738 protocol=\
tcp
add action=drop chain=forward comment="\CB\E8\EC\E8\F2 \EA\EE\EB-\E2\E0 \EF\EE\
\E4\EA\EB\FE\F7\E5\ED\E8\E9 \F1 \EE\E4\ED\EE\E3\EE IP \EF\EE \EF\F0\EE\F2\
\EE\EA\EE\EB\F3 UDP" connection-limit=5,32 dst-port=9987 protocol=udp
add action=accept chain=input comment=\
"\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\E8\ED\E3\E8" protocol=icmp
add action=accept chain=forward comment=\
"\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\E8\ED\E3\E8" protocol=icmp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \F3\F1\F2\
\E0\ED\EE\E2\EB\E5\ED\ED\FB\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF" \
connection-state=established
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \F3\F1\F2\
\E0\ED\EE\E2\EB\E5\ED\ED\FB\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF" \
connection-state=established
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \F1\E2\FF\
\E7\E0\ED\ED\FB\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF" connection-state=\
related
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \F1\E2\FF\
\E7\E0\ED\ED\FB\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF" connection-state=\
related
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E2\F1\E5 \
\EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF \E8\E7 \ED\E0\F8\E5\E9 \EB\EE\EA\E0\EB\
\FC\ED\EE\E9 \F1\E5\F2\E8" in-interface=!ether1-ext src-address=\
192.168.1.0/24
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \ED\E5\EE\
\E1\F5\EE\E4\E8\EC\FB\E5 \E2\F5\EE\E4\FF\F9\E8\E5 \EF\EE\E4\EA\EB\FE\F7\E5\
\ED\E8\FF \EF\EE TCP" dst-port=\
21,25,80,143,445,2203-2212,3390,5901,64738,8006,8384,10011,30033,51413 \
in-interface=ether1-ext protocol=tcp
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \ED\E5\EE\
\E1\F5\EE\E4\E8\EC\FB\E5 \E2\F5\EE\E4\FF\F9\E8\E5 \EF\EE\E4\EA\EB\FE\F7\E5\
\ED\E8\FF \EF\EE UDP" dst-port=9987,64738 in-interface=ether1-ext \
protocol=udp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E4\EE\F1\
\F2\F3\EF \EA Mikrotik \E8\E7 \E8\ED\F2\E5\F0\ED\E5\F2" port=8291 \
protocol=tcp
add action=drop chain=input comment="\CE\E1\F0\F3\E1\E0\E5\EC \E8\ED\E2\E0\EB\
\E8\E4\ED\FB\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF" connection-state=\
invalid
add action=drop chain=forward comment="\CE\E1\F0\F3\E1\E0\E5\EC \E8\ED\E2\E0\
\EB\E8\E4\ED\FB\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF" connection-state=\
invalid
add action=drop chain=input comment="\CE\E1\F0\F3\E1\E0\E5\EC \E2\F1\E5 \EE\F1\
\F2\E0\EB\FC\ED\FB\E5 \E2\F5\EE\E4\FF\F9\E8\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\
\E8\FF" in-interface=ether1-ext
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E4\EE\F1\
\F2\F3\EF \E8\E7 \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \E2 \E8\ED\F2\E5\
\F0\ED\E5\F2" in-interface=!ether1-ext out-interface=ether1-ext
add action=drop chain=forward comment="\CE\E1\F0\F3\E1\E0\E5\EC \E2\F1\E5 \EE\
\F1\F2\E0\EB\FC\ED\FB\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF"

Первые 2 правила добавил для проверки

Тем более если у Вас прошивка выше 6.38 (кажется), то связанные, подлюченные и установленные правила делать
не надо, это уже внутри прошивки сделано. Чем меньше правил файрвола, тем лучше железке.

Прошивка самая свежая, вчера обновился вообще до 6.41.2. А связанные подключения в правилах похоже что не работают, поскольку пакеты по нулям.

[Vlad-2]

Ну всё что мог, я Вам посоветовал, а так как я Вас не совсем понимаю что у Вас сделано и как,
поэтому советовать ещё что-то явное и конкретное как-то будет не разумно.

1)
Я бы хотел увидеть Ваши адреса (при всех поднятых интерфейсах),
то есть скрин IP-Addresses (естественно замазать последние два октета, но первые два для понимая оставить)
чтобы понять какие у Вас адреса, реальные, серые, и где как.
(для примера привожу свой скрин адресов)


2)
И привожу как пример файрвол (я делал человеку, для дома, основной минимум)

[alterak]

А что тут непонятного... есть ссылка Cloud = IP адрес. Доступ на микрот по этой ссылке. В Настройках днс для домена указан не IP, а эта самая ссылка, следовательно по любым протоколам указанного домена мы попадаем на мой микрот. Далее в настройках NAT я сделал пробросы определенных портов на определенные вирт машины, вот и вся схема. Конфигурацию микрота делал с нуля, но можно и дефолтную оставить. Кабель от билайна в первом порту, интерфейс - ether1-ext.
Возможно тебя смутило отсутствие L2TP? Так с недавних времен билайн перешел на IPoE. Раньше на L2TP таких атак не было.

Если не сложно, выгрузи плз список правил из п.2

Код: Выделить всё

ip firewall filter export file=filter.rsc

P.S. Если нужно, могу в личку скинуть вчерашнее видео боевых действий, там все порты, адреса, правила, манипуляции и.т.п видно.

[Vlad-2]

Ну мне стало более понятно. Серой адресации от провайдера(именно от провайдера) у Вас нет.
У Вас реальный адрес на WAN-интерфейсе(ether1), то есть внешний адрес прямо на роуете. И только.
О каком Вы сером говорили, так я и не понял.

И я знаю что Билайн давно переходит на IPoE. Но увы, он это делает не во всех регионах.

Рекомендации:

1) Я бы проверил Ваши сервисы, может Ваши сервисы засветили Ваш адрес или через Ваши
сервисы как-то была попытка чего-то сделать. Отсюда и повышенные атаки.
Поэтому проверка Ваших сервисов, открытых портов, и частая смена адресации (то есть
делать пару раз в сутки переконнекты). Но если сервис какой-то "дырявый", атак будет только больше.
1.1) посмотрите примерно какое правил пробросов у Вас более всего набрала трафик? Косвенно конечно,
можно предположить что атака идёт на этот порт
1.2) отключите все пробросы на 10-20 минут, и посмотрите как будет вести себя трафик атак,
уменьшится, измениться его логика, активность, частота?

2) проверьте Ваш текущий внешний IP на наличие во всяких спам-базах, если будет он там, значит
подтверждается ещё больше идея описанная в пункт 1

3) Если Вы уверены что всё у Вас чисто, попросите у Билайна смена адреса на другой (из другого диапазона),
указав что на Ваш идёт большая атака. Возможно надо будет указать/показать часть логов/скрины.

[alterak]

Ну мне стало более понятно. Серой адресации от провайдера(именно от провайдера) у Вас нет.
У Вас реальный адрес на WAN-интерфейсе(ether1), то есть внешний адрес прямо на роуете. И только.

Ну за белый адрес я не платил... х.з, может всучили в подарок-)

1) Я бы проверил Ваши сервисы, может Ваши сервисы засветили Ваш адрес или через Ваши
сервисы как-то была попытка чего-то сделать. Отсюда и повышенные атаки.
Поэтому проверка Ваших сервисов, открытых портов, и частая смена адресации (то есть
делать пару раз в сутки переконнекты). Но если сервис какой-то "дырявый", атак будет только больше.

Все сервисы кроме винбокса отключены... может где еще есть?

1.1) посмотрите примерно какое правил пробросов у Вас более всего набрала трафик? Косвенно конечно,
можно предположить что атака идёт на этот порт
1.2) отключите все пробросы на 10-20 минут, и посмотрите как будет вести себя трафик атак,
уменьшится, измениться его логика, активность, частота?

Грузило правило, которое дропает все остальные соединения, мин, сделаю скрин из видео...



как видно, после ребута, за 2 минуты аптайма обрубилось более 2,6 млн пакетов. Все запросы прилетали отсюда

[Vlad-2]

Все сервисы кроме винбокса отключены... может где еще есть?

Ну яж написал, проверьте по портам которыые Вы пробрасывали.
Микротик закрыт, но те порты что Вы делали пробросы,они сразу
шли на Ваши сервисы, вот и проверяйте по логам сервисов что там у Вас.
То есть ещё раз иначе скажу: открывали RDP на винду, проверяйте эту Винду,
открывали там почту,проверяйте по логам, что с там с почтой и по логам.

Ещё раз, обрубите сессию, обождите 5 минут и подключите ещё раз,
смените айпи.
Но если после смены айпи снова, значит у Вас на каком то сервисе "дыра" или
руткит стоит или вирус уже на заражённых серверах и изнутри "светит".
Проверяйте сервисы Ваши...я написал, тем более что Вы говорили что их
много....

[alterak]

Ну яж написал, проверьте по портам которыые Вы пробрасывали.
Микротик закрыт, но те порты что Вы делали пробросы,они сразу
шли на Ваши сервисы, вот и проверяйте по логам сервисов что там у Вас.
То есть ещё раз иначе скажу: открывали RDP на винду, проверяйте эту Винду,
открывали там почту,проверяйте по логам, что с там с почтой и по логам.

Так по количеству пакетов для правила видно же, что пакеты почти не летят-)
Вот есть например 9-е правило, в котором открыты несколько TCP портов, видно что по этому правилу за 2 минуты аптайма пролетело всего 20 пакетов, всего 20!!! Так смысл ковырять конечные сервисы, на которые трафик просто не идет-)
А вот 14-е правило, которое обрубает все соединения как раз и грузит проц-)

Ещё раз, обрубите сессию, обождите 5 минут и подключите ещё раз,
смените айпи.

Сменить IP можно конечно попробовать, только боюсь через некоторое время все повторится.
Все равно спасибо за совет.