Добрый день. есть следующая ситуация :
- микротик 2011
- Разрешение на использование кеша ДНС для РС в ЛВС
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1,8.8.8.8
- для защиты от флуда в фаерволе записано
add action=drop chain=input comment="Drop DNS from !ether6-LAN" dst-port=53 in-interface=!ether6-LAN protocol=udp
add chain=input comment="Allow DNS request" in-interface=ether10-INET protocol=udp src-port=53
Вопрос : как организовать проверку защиты? ну то есть как попробовать использовать мой микротик для флуда? что нужно, программа какая на каком то РС в инете? или как то еще?
кто в курсе?
как использовать микротик для "ДНС флуда"
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
DNS по большей части используют не для флуда самого DNS сервера, а для флуда удалённых узлов, методом подмены адреса источника.
PS: Так-же помимо udp нужно ещё и tcp порт защищать.
PS: Так-же помимо udp нужно ещё и tcp порт защищать.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
это все хорошо правильно и верно (тср удп и все такое)
вопрос не о том
вопрос как все это проверить реально, не ударяясь в религиозную мутотень типа "верую"
вопрос не о том
вопрос как все это проверить реально, не ударяясь в религиозную мутотень типа "верую"
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Попробовать выполнить запрос dns с удалённого хоста.
Ваш Кеп (С)
Ваш Кеп (С)
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
так так
Попробовать выполнить запрос dns с удалённого хоста.
Ваш Кеп (С)
и далее..... какой программой, способом ну так чтоб было видно что можно роутер поиметь
Попробовать выполнить запрос dns с удалённого хоста.
Ваш Кеп (С)
и далее..... какой программой, способом ну так чтоб было видно что можно роутер поиметь
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Утилитой nslookup, и вообще странно, что Вы роутер настроили не зная таких вещей...
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да пусть человек проверяет, это ж простое любопытство. Собственно, дело в том, что он видимо не представляет, что есть эта самая флуд-атака. Уж ее-то не заметить на домашней железке будет проблематично. Там постоянная нагрузка на камень под 100%, никаких нормальных действий в сети проводить невозможно. А в соединениях просто вал входящих запросов по 53 порту. Как только включаешь правило, всё приходит в норму. По-моему, это надо пережить и тогда оно запомнится и сомнения уйдут.
Кстати, я тут глянул с помощью nmap на один из маршрутизаторов при включенном правиле:
а потом при отключенном:
Вот и посмотрите , как утилита показывает состояние 53 порта при сканировании по UDP. Пойдет в качестве проверки? Или будете копать глубже?
Кстати, я тут глянул с помощью nmap на один из маршрутизаторов при включенном правиле:
Код: Выделить всё
nmap -sU 100.200.100.200
Starting Nmap 6.47 ( http://nmap.org ) at 2017-02-22 22:02 MSK
Nmap scan report for 100-200-100-200.static.static.net (100.200.100.200)
Host is up (0.026s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
68/udp open|filtered dhcpc
69/udp open|filtered tftp
123/udp open ntp
1812/udp open|filtered radius
1813/udp open|filtered radacct
Nmap done: 1 IP address (1 host up) scanned in 205.04 seconds
а потом при отключенном:
Код: Выделить всё
nmap -sU 100.200.100.200
Starting Nmap 6.47 ( http://nmap.org ) at 2017-02-22 22:19 MSK
Nmap scan report for 100-200-100-200.static.static.net (100.200.100.200)
Host is up (0.021s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
53/udp open domain
68/udp open|filtered dhcpc
69/udp open|filtered tftp
123/udp open ntp
1812/udp open|filtered radius
1813/udp open|filtered radacct
Nmap done: 1 IP address (1 host up) scanned in 410.53 seconds
Вот и посмотрите , как утилита показывает состояние 53 порта при сканировании по UDP. Пойдет в качестве проверки? Или будете копать глубже?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
то есть сообщение
53/udp open|filtered domain
как раз сообщает что порт закрыт?
а то не понятно
вообще настраиваю микротик в первый раз, иду по пунктам, каждый шаг проверяю. микротик не мой, для одной конторы, а то там мыльница тп-линк постоянно стала зависать, видимо уже не может обрабатывать запросы (до 15 пользователей)
53/udp open|filtered domain
как раз сообщает что порт закрыт?
а то не понятно
вообще настраиваю микротик в первый раз, иду по пунктам, каждый шаг проверяю. микротик не мой, для одной конторы, а то там мыльница тп-линк постоянно стала зависать, видимо уже не может обрабатывать запросы (до 15 пользователей)
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
и по поводу флуд-атаки по 53 порту
в конце прошлого года непонятно отчего возбудился видеорегистратор поганой питерской конторки RVI и стал ДДоСить какие то конторы то в африке то еще где именно по 53 (провайдыр в логах зафисиксировал да и работать было просто невозможно, ДНС не работал). прибамбас был подключен к ЛВС для возможности просмотра видео данных из интернета. после физического отключения регистратора от свитча все косяки тут же пропали. так что что такое флуд 53 мне очень хорошо известно.
в конце прошлого года непонятно отчего возбудился видеорегистратор поганой питерской конторки RVI и стал ДДоСить какие то конторы то в африке то еще где именно по 53 (провайдыр в логах зафисиксировал да и работать было просто невозможно, ДНС не работал). прибамбас был подключен к ЛВС для возможности просмотра видео данных из интернета. после физического отключения регистратора от свитча все косяки тут же пропали. так что что такое флуд 53 мне очень хорошо известно.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Pcrepair писал(а):что такое флуд 53 мне очень хорошо известно
Ну, если судить по этой фразе
Pcrepair писал(а):видеорегистратор поганой питерской конторки RVI и стал ДДоСить какие то конторы то в африке то еще где именно по 53
то не очень хорошо, во всяком случае терминология хромает. Но тут немудрено, природа этого явления позволяет предположить ДДоС не с той стороны. Ответ маршрутизатора во много раз больше запроса. Это не страшно и не важно в нашем случае...
Pcrepair писал(а):то есть сообщение
53/udp open|filtered domain
как раз сообщает что порт закрыт?
Да нет же, просто nmap не смог получить ответ при запросе через этот порт. Посмотрите в манах nmap, там подробненько описаны эти вещи.
Ну а насчет отработки правила, не переживайте. правило работает отменно. Я лично пережил подобную атаку, получил втык от провайдера и утихомиривал шторм именно таким правилом.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...