Как защить dns сервер?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Igori
Сообщения: 0
Зарегистрирован: 20 ноя 2013, 13:32
Откуда: Msk
Контактная информация:

Прошу совета.
Встретился с проблемой: с разных ip кто-то методично обращается к кешу dns с целью разрешить какое-либо несуществующее имя. Примерно 3-4 раза в секунду. В логе отображаются соответствующие сообщения с состоянием "denied".

Может ли Mikrotik банить ip с которых идет подобного рода атака?

Спасибо


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Может ))

У себя реализовал примерно так.
ТИК смотрит - если с одного ИП одновременно боле 4-х подключений то добавить в бан на час

Делал срочно и на коленке, в результате помогло


Есть интересная задача и бюджет? http://mikrotik.site
Igori
Сообщения: 0
Зарегистрирован: 20 ноя 2013, 13:32
Откуда: Msk
Контактная информация:

Понимаю, что как-то просто делается через ip firewall, но как именно, не знаю.

Если не сложно, подскажите, как именно.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:



Есть интересная задача и бюджет? http://mikrotik.site
Igori
Сообщения: 0
Зарегистрирован: 20 ноя 2013, 13:32
Откуда: Msk
Контактная информация:

Помучился и в итоге сделал под свои нужды руководствуясь этой статьей: http://wiki.mikrotik.com/wiki/DDoS_Dete ... d_Blocking

Сработало, но с одним но: под горячую руку попали обращения со вторичных dns, которые честно пытались обновить зоны.

Поясните пожалуйста правила установки dst-limit. В частности, не понятно, про dst-limit burst.

Спасибо.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

У себя известные ДНС сервера (которые от меня зоны забирают) внес в список исключений. На них правила не распространяются. Могут хоть в 50 потоков зоны забирать.

dst-limit burst - "взрыв" То есть когда наступает критическая ситуация обозначенная в фильтре то микротик на указанный вами период времени изменяет параметры фильтра на указанные в этом поле


Есть интересная задача и бюджет? http://mikrotik.site
Igori
Сообщения: 0
Зарегистрирован: 20 ноя 2013, 13:32
Откуда: Msk
Контактная информация:

Помучился еще день и понял, что защищать dns файрволом не имеет смысла. Только если это внутренний dns и к нему нет обращений извне. Правильный путь - настройка конфига dns. Так, чтобы он не работал в режиме OpenDNS. Ну а запросы к кешу в логе со статусом "denied".. пусть будут. По крайней мере, добился значительного снижения их количества.

 


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

vqd писал(а):Может ))

У себя реализовал примерно так.
ТИК смотрит - если с одного ИП одновременно боле 4-х подключений то добавить в бан на час

Делал срочно и на коленке, в результате помогло



Правило в студию


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

вот вам правило которое ловит смтп спамеров:

Код: Выделить всё

add action=drop chain=forward comment="BLOCK SMTP SPAMMERS" disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 \
    disabled=no dst-port=25 limit=50,5 protocol=tcp

можете переделать под свои нужды. ключевые параметры:
connection-limit=30,32 - 30 подключений с каждого адреса. 32 - это маска сети
limit=50,5 - в среднем 50 pps за 5 секунд.
оба параметра не зависимы


Ответить