Страница 1 из 1
Help rb2011 входящий трафик
Добавлено: 06 авг 2017, 11:00
vvchumanov
Народ помогите понять...
подключил в ether1 кабель от провайдера, установил pppoe соединение, все работает отлично. НО...
на ether1 валит входящий трафик 9-10 мегабит постоянно заблокировать не получается... torch по порту дает вот это:
ipv6 отключен пакетом изначально ..
Re: Help rb2011 входящий трафик
Добавлено: 06 авг 2017, 11:39
alexei1977
Попробуй в DNS галку убрать Allow Remote Requests
Re: Help rb2011 входящий трафик
Добавлено: 06 авг 2017, 20:57
podarok66
Гляньте в Connections, может там флуд-ДНС на 53 порту. Тогда просто прикрыть 53 порт на input по udp и по tcp будет вполне достаточно.
Re: Help rb2011 входящий трафик
Добавлено: 07 авг 2017, 01:42
vvchumanov
alexei1977 писал(а):Попробуй в DNS галку убрать Allow Remote Requests
конечно убрал..
podarok66 писал(а):Гляньте в Connections, может там флуд-ДНС на 53 порту. Тогда просто прикрыть 53 порт на input по udp и по tcp будет вполне достаточно.
не в connections ничего такого нету ....
я тут увидел про
teredo только вот как его отключить на mikrotik ?
Re: Help rb2011 входящий трафик
Добавлено: 07 авг 2017, 02:53
Vlad-2
Как варинты ещё:
1) у свитчей ZyXel иногда бывают запросы идут(проскакивают) в виде IPv6, поэтому если Ваш
пров их использует, то такое может быть.
2) у мелких провайдеров когда используется Dual Access (режим и Интернета и Локальной сети по одному проводу),
в таком режиме физический порт WAN - это огромная большая сеть. Там может летать всё что угодно. Обычно
в такой сети напрямую линкуют Винду и геймеры играют, так что бродкаст/мультикаст может быть ещё.
Поэтому всё же зайдите на микротик через Винбокс, и более детально Torch про-анализируйте канал.
И лучше сделать как с поднятым интерфейсом рррое, так и без него.
Так же и с локальной сетью, с ней и без неё.
Может "вирусню" подхватили?
P.S.
Даже если у Вас была атака на ДНС (53-й порт), и даже "спрятав" порт, атаки ещё будут продолжатся какое-то время,
и возможно, что нагрузка и спадёт через какое то время (пару часов, сутки-другие).
Re: Help rb2011 входящий трафик
Добавлено: 08 авг 2017, 22:25
vvchumanov
Vlad-2 писал(а):Как варинты ещё:
1) у свитчей ZyXel иногда бывают запросы идут(проскакивают) в виде IPv6, поэтому если Ваш
пров их использует, то такое может быть.
2) у мелких провайдеров когда используется Dual Access (режим и Интернета и Локальной сети по одному проводу),
в таком режиме физический порт WAN - это огромная большая сеть. Там может летать всё что угодно. Обычно
в такой сети напрямую линкуют Винду и геймеры играют, так что бродкаст/мультикаст может быть ещё.
Поэтому всё же зайдите на микротик через Винбокс, и более детально Torch про-анализируйте канал.
И лучше сделать как с поднятым интерфейсом рррое, так и без него.
Так же и с локальной сетью, с ней и без неё.
Может "вирусню" подхватили?
P.S.
Даже если у Вас была атака на ДНС (53-й порт), и даже "спрятав" порт, атаки ещё будут продолжатся какое-то время,
и возможно, что нагрузка и спадёт через какое то время (пару часов, сутки-другие).
на PPPoe чисто все туда даже запросы не летят, в моей локалке нет компов с windows. Заходил через winbox все тоже самое ... летит запрос через ipv4 по ipv6 (teredo) в ipv6 включил и поставил вообще udp блокировку там видно что трафик блокируется, а толку если он летит через ipv4
53 попробую заблокирую, в моём понятии если заблокировал то ему некуда лететь и он был если была бы атака на 53 порт светился через torch, а так как в torch просто пустотно и трафик идет тупо валом по udp без какого либо порта это мрак....
у меня входящего трафика уже больше 200 гигабайт и роутер из-за этого испытывает нагрузку и скорость подрезается...
перегугли все про teredo ни хрена не нашел как на mikrotik отключить
Основаня проблема в том что ползает все по протоколу ipv6 86dd(ipv6) , через ipv4 800(ip) по портам udp src 546 и dst 547 и когда прописываешь это правило в ipv6 я вижу что оно блокируется! но вот прописать его в ipv4 неполучается так как 86dd идет через ipv4 поесть ipv6 прописать в ipv4 получается! (пздц...)
Re: Help rb2011 входящий трафик
Добавлено: 08 авг 2017, 23:44
Vlad-2
Если нагрузка на роутер максимальна (CPU в "полке") значит надо трафик "убивать".
Попробуйте правила делать уже не в закладке Filter Rules, а поиграться и сделать резку во вкладке Raw.
Обычно когда правила работают, нагрузка уменьшается.
Ну и также пробуйте уже поймать пакеты и заглянуть анализатором что в этих пакетах, мож станет понятно
кто и как их генерирует?
Если уверены что у Вас по защите дыр нету, порты прикрыты/закрыты, то надо звонить провайдеру,
в ТехПоддержку, может проверять они у себя, вдруг у них глюк, бродкастовый шторм пошёл/идёт по их сети?
Re: Help rb2011 входящий трафик
Добавлено: 08 авг 2017, 23:53
vvchumanov
Vlad-2 писал(а):Если нагрузка на роутер максимальна (CPU в "полке") значит надо трафик "убивать".
Попробуйте правила делать уже не в закладке Filter Rules, а поиграться и сделать резку во вкладке Raw.
Обычно когда правила работают, нагрузка уменьшается.
Ну и также пробуйте уже поймать пакеты и заглянуть анализатором что в этих пакетах, мож станет понятно
кто и как их генерирует?
Если уверены что у Вас по защите дыр нету, порты прикрыты/закрыты, то надо звонить провайдеру,
в ТехПоддержку, может проверять они у себя, вдруг у них глюк, бродкастовый шторм пошёл/идёт по их сети?
да завтра попробую провайдера помучать, потому что имхо ужас
как запретить хождение ipv6 через ipv4 это грб..
teredo