проблеммы при перезагрузке RB2011UAS-RM

Обсуждение оборудования и его настройки
jone31
Сообщения: 27
Зарегистрирован: 05 июл 2013, 02:00

сейчас перешил ros 6.4 через netinstall грузиться под 100% перестал...

но вот ддос продолжается....

нашел мануал на микротике http://wiki.mikrotik.com/wiki/DDoS_Dete ... d_Blocking - но он вероятно устарел и на 6.4 не работает... за пол часа ни одного ip в листы не добавил... хотя запросов стала просто тьма - сейчас 48 запросов к dns идёт... пробил по яндексу - большинство ip входит в этот список http://logovo.snak.kiev.ua/2013/08/07/список-активних-dns-any-рефлекторів/


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Это не ddos. Поищите по форуму - я уже сталкивался с этой проблемой и отписывался в нескольких темах. Если у вас загрузка процессора действительно по dns и соединения идут на 53 udp порт, то просто используйте правило, которое я указал выше. Через несколько дней активнойсть сойдет на нет.
В результате изысканий я пришел к выводу, что микротик в плане работы dns немного отличается от классических домашних роутеров. Чтобы он мог обслуживать dns запросы со сторонних компьютеров, необходимо поставить галочку "allow remote requests" (да-да, локалка это тоже remote). Тут и кроется подвох. "Remote" работает во все стороны.
Тут есть два варианта:
1) раздавать в локалку (dhcp) или прописывать на клиентах вручную внешние dns адреса и выключить dns сервер на микротике;
2) закрыть доступ к dns на внешнем порту микротика.
Классические домашние длинки и прочее оборудование рассчитано на неподготовленного пользователя и действует аккуратнее, не разрешая удаленные (из вне) dns запросы.

правило не помогает

Вы хоть напишите подробнее, что именно происходит. Счетчик у этого правила растет?
Какой именно процесс дает такую большую нагрузку?

48 запросов в секунду - это немного. Когда я обнаружил такую проблему, то "атака" была несколько сотен rps и съедала все 75мбит канала. Вот это было более похоже на ddos ;)


Kola
Сообщения: 49
Зарегистрирован: 02 сен 2013, 13:48

jone31 писал(а):да, правило на 53 порт пробовал... но cpu это не разгружает нисколько

Возможно соединения еще не сбросились, когда проверяли. В любом случае, как уже сказал plin2s это правило нужно, как и отключение/блокировка других публичных сервисов.

plin2s писал(а):Это не ddos.

Пусть не DDOS, но явно атака или попытка юзать чужие ресурсы, а то зачем сканировать инет в поисках левых dns-серверов? :)

plin2s писал(а):48 запросов в секунду

Я так понял, речь о 48-ми различных адресах.


jone31
Сообщения: 27
Зарегистрирован: 05 июл 2013, 02:00

Kola писал(а):Я так понял, речь о 48-ми различных адресах.

речь идет о том что количество не званных пакетов увеличилось до 1500 пакетов в сек. хотя в локалку уходят лишь 10 из них остальное это проделки ботнета...

см. скрин сегодняшней ночи
Вложения
Без имени-1 копия.GIF
(53.16 КБ) 0 скачиваний


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Вы так и не ответили ни на один из моих вопросов. Дальнейшего смысла помогать вам не вижу.


jone31
Сообщения: 27
Зарегистрирован: 05 июл 2013, 02:00

plin2s писал(а):Вы так и не ответили ни на один из моих вопросов. Дальнейшего смысла помогать вам не вижу.

прошу прощения... вроде прикладывал скриншот в ответ на ваш вопрос... но видно что то не отправилось... прикладываю ещё раз
Вложения
Без имени-2 копия.GIF
(45.81 КБ) 0 скачиваний


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

jone31 писал(а):
plin2s писал(а):Вы так и не ответили ни на один из моих вопросов. Дальнейшего смысла помогать вам не вижу.

прошу прощения... вроде прикладывал скриншот в ответ на ваш вопрос... но видно что то не отправилось... прикладываю ещё раз

Правило работает. Пакеты дропаются. Моментально они на спад не пойдут. Скорее всего еще несколько дней будет держаться на том же уровне. Дальше пойдут по нисходящей.
Счетчик правила должен увеличиваться со скоростью равной количеству входящих соединений на 53 порт. Если он заметно отстает - значит есть еще одна проблема, которую пока не заметили.
Даже с работающим правилом загрузка cpu не падает? Покажите еще, пожалуйста, Tools-profile. Будет понятно кто именно нагружает процессор.


jone31
Сообщения: 27
Зарегистрирован: 05 июл 2013, 02:00

plin2s писал(а):
jone31 писал(а):
plin2s писал(а):Вы так и не ответили ни на один из моих вопросов. Дальнейшего смысла помогать вам не вижу.

прошу прощения... вроде прикладывал скриншот в ответ на ваш вопрос... но видно что то не отправилось... прикладываю ещё раз

Правило работает. Пакеты дропаются. Моментально они на спад не пойдут. Скорее всего еще несколько дней будет держаться на том же уровне. Дальше пойдут по нисходящей.
Счетчик правила должен увеличиваться со скоростью равной количеству входящих соединений на 53 порт. Если он заметно отстает - значит есть еще одна проблема, которую пока не заметили.
Даже с работающим правилом загрузка cpu не падает? Покажите еще, пожалуйста, Tools-profile. Будет понятно кто именно нагружает процессор.


в предыдщум посте вмете с файрволом я приложил и tools/profile


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Упс. Совсем слепой стал. Все верно: нагрузка упала, правило работает. Наберитесь терпения, подождите.
Как я уже написал выше, через некоторое время количество соединений пойдет на спад. Больше здесь сделать ничего не получится.


jone31
Сообщения: 27
Зарегистрирован: 05 июл 2013, 02:00

plin2s писал(а):Упс. Совсем слепой стал. Все верно: нагрузка упала, правило работает. Наберитесь терпения, подождите.
Как я уже написал выше, через некоторое время количество соединений пойдет на спад. Больше здесь сделать ничего не получится.


самое интересное что пакетов стало приходить не меньше, а больше - с 40-100 поднялось до 1500-1800 pps.

но надеюсь что пройдет.

интересено как это могло произойти?

почему на других шести микротиках(настроены все под копирку) и ip идут подряд, ведь если бы айпишники сканирвоали, то и те бы тоже захватили.... а именно один этот микротик оказался под нападением...


Ответить