постоянные атаки ddos syn flood attack - Mikrotik RB915ui-2H

Обсуждение оборудования и его настройки
Ответить
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Всем привет. Прошу помочь советом.
Раньше дома стоял роутер Asus модель уже и не вспомню сейчас )), но свое дело делал вроде бы пока не сгорел не так давно. Но вот захотелось поставить интересную для себя железку, заодно и поизучать сетевые заморочки и настройки.
Итак купил Mikrotik RB915ui-2Hnd
Настраивал его с недельку наверное читая кучу статей, примеров настройки и т.п. В результате сейчас есть несколько правил в фаерволе Микротика, правила общеизвестные и стандартные как написано во множестве статей. Могу чуть позже перечислить все свои правила.

Теперь о проблеме:
После установки роутера начались сетевые атаки на мой ПК типа ddos syn flood attack, о которых сообщает Каспер 2014. Говорит что мол была обнаружена такая сетевая атака, но IP не был заблокирован, т.к. он возможно поддельный.

Вот и хотелось бы узнать, как избавиться от этой фигни, как сделать правильное правило, которое бы отсекало эту атаку. Тем более немного не пойму, не на внешний получается IP идет атака, а уже на внутренний IP, который Микротик выдал по ДХЦП. Т.е. злоумышленник видит сетевые устройства внутри сети что ли? Хотя я запаролил WIFI (WPA2+TKIP)+фильтрацию по MAC сделал.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Вверху, красный текст, пункты 2 и 3.

Плюс, вы уж определитесь что за атака и куда, а не верьте товарищу Касшмаровсому на слово.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Наверняка, опять речь про 53 порт пойдет. Смотрите, на какой порт атака...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

podarok66 писал(а):Наверняка, опять речь про 53 порт пойдет. Смотрите, на какой порт атака...


Атакуется в основном порт 40 и порты выше 1000.
Сегодня вечером, опишу подробнее что и как, а то вчера дома некогда было тестить


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Странная атака. 40 порт принципиально ничем не занят, по крайней мере информации такой я не нашел.
Нужно посмотреть ваш конфиг, чтобы знать что есть в правилах фаервола/ната.

Попробуйте создать базовые правила из параграфа Router protection и первого блока Customer protection http://wiki.mikrotik.com/wiki/Manual:IP ... protection

Код: Выделить всё

/ip firewall filter
add chain=input connection-state=invalid action=drop \
   comment="Drop Invalid connections"
add chain=forward protocol=tcp connection-state=invalid \
    action=drop comment="drop invalid connections" 


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Да, нужен конфиг и скрин Torch со всеми галками. Или какое-то кольцо или вирус на какой-то локальной машине.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Dragon_Knight писал(а):Да, нужен конфиг и скрин Torch со всеми галками. Или какое-то кольцо или вирус на какой-то локальной машине.

Вернусь вечером домой, сразу же предоставлю полную картину настроек и того что делал.

Но другие машины не завирусованы. Однозначно! Дома всего-то на роутере висят 1ПК+ 2 ноута + 2 смарта + плазма. Вирусов нет! Так же если вечером сработает опять каспер, то предоставлю скрин его логов про эту атаку.


Ответить