Mikrotik vs Turk DDoS

Jelass · 07 янв 2018, 12:07

Доброго времени суток форумчане. Для начала опишу систему к которой относится текущий тред.
Вся сеть носит сугубо домашний экспериментально-познавательный характер.
Домашняя сеть, 2 ветки инета по 100мб/с туда обратно, 2 роутера Asus rt-n16 (Advanced tomato AIO) и mikrotik RB450G на v6.41. В домашней машинке 2 входа eth, один встройка в мат плату, второй дискретная сетевая карта. В мать входит домашний интернет после asus'a, в дискретную входит вторая ветка тип серверного инета. На основной машине стоит виртуалка Hyper-V с CentOS и всякими плюшками на ней тип вебсервера, тимспик сервера, фтп и прочих личных утех.
Теперь о проблеме. В тске с достаточно неплохим онлайном последнее время начало собираться неплохое кол-во людей, общаться, играть вместе и даже устраивать онлайн-бухичи. Звук с кодеками всем нравится, про фон всем любимого(нет) скайпа уже в прошлом, да и дизкорд мало кому нравится из моих. Все круто, крякнул сервера тса, поднял с 32 до 100слоты в тске, онлайн еще вырос. И как-то раз произошел случай который теперь висит на мне как проклятие. Люди заходят с разных стран, общаемся на английском и не только. И надо было одному из моих модером забанить турка, и чет они обиделись, теперь время от времени заходят очень обиженые люди этой нации и ддосят, улетают в бан вечный, но успевают положить сервер. ДДоС мелкий, но противный, хотелось бы от него избавиться.
Нашел некоторые способы в виде:

правило firewall

Но дата постов как правило далека от нынешней и захотелось узнать, позволит мне ли это сдержать противных школьников из Турции?
Если что-то написал не очень грамотно - извиняюсь, в микротике почти ничего не знаю, пользуюсь только NAT для пробрасывания портов, обновления прошивки и пожалуй все. В centos и линуксе в целом шарю, поэтому понимаю в целом суть строк ip table (хотя на centos пользуюсь активно firewall-d).
Посоветуйте что-то.

Jelass · 07 янв 2018, 18:30

/ip firewall filter
add action=drop chain=virus comment="Drop Spammer" disabled=no dst-port=25 \
protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
1d chain=virus comment="add to spammer list" connection-limit=30,32 \
disabled=no dst-port=25 limit=10,5 protocol=tcp src-address-list=!smtpOK
add action=drop chain=virus comment="SMTP SPAM stopper!" disabled=no \
dst-port=25 protocol=tcp src-address-list=!smtpOK

А можно вот это замодить на нужный порт? 9987

08 янв 2018, 10:30

ну замените 25 на 9987

Erik_U · 08 янв 2018, 11:24

Ну, если бы просто спросили, как от DDoS защититься, это был бы просто технический вопрос.
А после такого рассказа давайте разбираться. Может турки правы, и правильно все делают.
:)

Jelass · 12 янв 2018, 00:18

Erik_U писал(а):Ну, если бы просто спросили, как от DDoS защититься, это был бы просто технический вопрос.
А после такого рассказа давайте разбираться. Может турки правы, и правильно все делают.
:)

Убедил! Как защититься от ддоса :D

Dragon_Knight · 12 янв 2018, 00:27

От DDoS, "в домашних условиях"? - никак.
Не в домашних: https://www.cloudflare.com/

Jelass · 12 янв 2018, 00:49

Dragon_Knight писал(а):От DDoS, "в домашних условиях"? - никак.
Не в домашних: https://www.cloudflare.com/

Нужна элементарная настройка файрвола на бан идиотов которые дудосят одним компом, сегодня был один "умник" который даже не смог уронить мой микротик, 94% проц загрузка заместо 4% и все работало. Помогите пожалуйста уже составить правила на дроп по 9987 порту udp с баном на 10 минут по кол-ву конектов с одного ипа.

Erik_U · 12 янв 2018, 07:57

https://wiki.mikrotik.com/wiki/DDoS_Det ... d_Blocking

читали-пробовали? что не получилось?

Dragon_Knight · 12 янв 2018, 19:57

Когда атакует один комп это DoS. Когда много атакующих это DDoS. От первого спасает простое ограничение на кол-во подключений с src-address. От второго спасает сложный анализ трафика.
Если цель именно DoS, то https://wiki.mikrotik.com/wiki/DoS_attack_protection

Mikrotik vs Turk DDoS

Вход • Регистрация