Загрузка Mikrotik 100%

[alterak]

Всем привет, в общем проблема такая... Примерно раз в неделю (обычно по выходным) и по вечерам мой микрот виснет на 100%, отваливается интернет, отваливаются все порты... После перезагрузки иногда проходит, а иногда и нет. В общем после ребута успел немного записать видео. IP у билайна динамический поэтому закрашивать ничего не стал.
Имеется доступ к микроту по ipCloud. Открыто и проброшено на сервер буквально 15 портов, все остальное зарезано фаерволом.
В логах нет абсолютно никаких ошибок-( Даже незнаю куда и капнуть...
Если что, порт 9987 это TeamSpeak голосовой чат, по протоколу UDP. Заметил, что виснуть микрот начинает, когда онлайн в чате доходит до 30 человек, т.е одновременно 30 UDP соединений. Х.з, связано ли это с загрузкой микротика или нет, но факт остается фактом.

[enzain]

Профилирование надо смотреть в момент нагрузки ...
30 сессий это ни о чем

[alterak]

Профилирование надо смотреть в момент нагрузки ...
30 сессий это ни о чем

Если речь о Profile, то смотрел, 100% загрузка cpu0->networking, а так же большая загрузка firewall

[Dragon_Knight]

33к пакетов в секунду на ваш сервер идёт. Атакуют Ваш сервер, причём с одного IP...

[alterak]

33к пакетов в секунду на ваш сервер идёт. Атакуют Ваш сервер, причём с одного IP...

Была такая мысль... тогда как можно избавиться от этого? Как можно ограничить кол-во соединений?

[Dragon_Knight]

Вкладка Extra при добавлении нового правила в ff.

[alterak]

Спасибо всем. Вопрос можно закрыть... ссылку на видео удалю.

[alterak]

Товарищи, сегодня опять повторилось...
Если посмотреть в Profile, то загрузка примерно такая: фаерволл - 80%, сеть - оставшиеся 20%
Если открыть Torch, то картина совсем не радует-) NTP - это же время? Какого хрена сумасшедшая атака на интерфейс? Это все конечно рубится фаерволом, буквально за 1 минуту обрубается около 1GB трафика и более 2,5 млн пакетов. Как от этого избавиться?

[Vlad-2]

Товарищи, сегодня опять повторилось...
Если посмотреть в Profile, то загрузка примерно такая: фаерволл - 80%, сеть - оставшиеся 20%
Если открыть Torch, то картина совсем не радует-) NTP - это же время? Какого хрена сумасшедшая атака на интерфейс? Это все конечно рубится фаерволом, буквально за 1 минуту обрубается около 1GB трафика и более 2,5 млн пакетов. Как от этого избавиться?

Ну если быть точнее, то к Вам приходят входящие соединения с разных IP, и порта 123, а вот на Ваши порты они идут самые самые разные
Такое ощущение что Ваш адрес какой то публично-засвеченный?
Я бы закрыл пинги снаружи, да и может быть снаружи закрыл всё при таких атаках.
Правила убивания инвалидных пакетов ставят вначале....
Ну и надеюсь на микротике отключили лишние сервисы? (фтп,телнет, www, ssh) чтобы не дразнить китайцев ?

[alterak]

Такое ощущение что Ваш адрес какой то публично-засвеченный?

адрес вообще серый, но держится не меняясь уже давно, около полугода наверное. Включено IP Cloud.

Я бы закрыл пинги снаружи, да и может быть снаружи закрыл всё при таких атаках.

Есть правило разрешающее пинги, входящих соединений по этому правилу ооочень мало, следовательно запросов практически нет, всмысле есть, но явно не в таких масштабах.

Ну и надеюсь на микротике отключили лишние сервисы? (фтп,телнет, www, ssh) чтобы не дразнить китайцев ?

Само собой... отключено всё, кроме винбокса, при этом доступ только из локалки и с определенных адресов.


Как я уже и говорил проц грузит именно фаерволл, а точнее, то, что он обрубает. Грузит 14 правило, которое дропает все остальные input, по всей видимости в данный момент дропает как раз эти самые IP с портом 123.
Смысла добавлять в блэк лист - я не вижу, они же итак обрубаются.

Чувствуется мне, что решение одно - менять железяку, или ставить микрот на вирт. машину и прогонять весь трафик через неё, вот только правильное ли это решение? И вообще практикуют ли подобное? Просто на дорогую железяку денег пока нэту, да и неактуальна она для домашнего сервера-(