Привет, всем...
Mikrotik RB951G, фильтр настроен по такой схеме:
В данном провиле обрубаем ВСЁ, что не разрешено.
Это все конечно хорошо, но последнее время участились атаки... либо порты сканируют, любо на определенный открытый порт... при этом загрузка процессора доходит до 100% и соответственно вешаются все порты.
Если атакуют единичный порт, то можно добавить в Raw Prerouting - тогда загрузка сразу спадает, но как быть когда подобное происходит сразу на кучу портов? Как обрубить подобные атаки прям на входе в Raw. Посоветуйте решение?
Filter Drop - сильно грузит процессор
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
У меня вечер уже, и я мож не увидел замыленным глазом, но:
1) а зачем разрешать пинг (ЯВНО), если Вы его нигде и не закрываете?
То есть в данном случая я вижу, что правило с пингом - лишнее, оно описывает то,
что итак уже открыто по-умолчанию.
2) Посмотрите и попробуйте проанализировать какие именно атаки вешают Ваш роутер?
По каким портам чаще бьют?
Я прекрасно понимаю, что любую железку можно заДДоСить, но в целом, странно что весь роутер вешается?
2.1) надеюсь Вы обновили роутер, там были уязвимости, как бы Вы не попали в число возможных претендентов?
3) А все правила файрвола активны, вернее так спрошу: у всех правил файрвола счётчик срабатываний не нулевой?
То есть хочу сделать акцент на порядок правил, на сработку тех или иных праивл, может даже концепцию файрвола
проверить/пересмотреть?
И лично от меня совет: (другие коллеги могут его не поддержать), я всё же для сбережения ресурсов роутеров,
особенно не мощных, первым правилом "убиваю" инвалидные пакеты на интерфейсе(ах). Зачем обслуживать
пакет, и дальше, через 2-15 правил его так или иначе убивать, "файс контроль" должен быть при входе
(это я думаю тоже +5-15% даёт выигрыша (экономия ресурсов CPU)
1) а зачем разрешать пинг (ЯВНО), если Вы его нигде и не закрываете?
То есть в данном случая я вижу, что правило с пингом - лишнее, оно описывает то,
что итак уже открыто по-умолчанию.
2) Посмотрите и попробуйте проанализировать какие именно атаки вешают Ваш роутер?
По каким портам чаще бьют?
Я прекрасно понимаю, что любую железку можно заДДоСить, но в целом, странно что весь роутер вешается?
2.1) надеюсь Вы обновили роутер, там были уязвимости, как бы Вы не попали в число возможных претендентов?
3) А все правила файрвола активны, вернее так спрошу: у всех правил файрвола счётчик срабатываний не нулевой?
То есть хочу сделать акцент на порядок правил, на сработку тех или иных праивл, может даже концепцию файрвола
проверить/пересмотреть?
И лично от меня совет: (другие коллеги могут его не поддержать), я всё же для сбережения ресурсов роутеров,
особенно не мощных, первым правилом "убиваю" инвалидные пакеты на интерфейсе(ах). Зачем обслуживать
пакет, и дальше, через 2-15 правил его так или иначе убивать, "файс контроль" должен быть при входе
(это я думаю тоже +5-15% даёт выигрыша (экономия ресурсов CPU)
-
alterak
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Если убрать правило, то пинги не проходят, а открыл для себя, временно.
Вчера пытался проанализировать, но это нереально просто... загрузка под 100%, винбокс в локальной сети просто вылетает при такой загрузке. Но пока было несколько рабочих секунд, в Tools->Torch увидел более 6000 подключений, а количество сканируемых портов просто не сосчитать-)
А роутер конечно же обновлен до последней стабильной прошивки.
Сбрасывал счетчик специально, что бы посмотреть в каком правиле сильно летят пакеты... вот в этом, которое блокирует) Вешает микрот именно блокирующий фильтр, поэтому и хотелось бы что бы все блокировки обрубались сразу на входе "Prerouting".
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) связь с провайдером/адрес провайдерский/подключение точно на первом порту?
Нету случайно рррое или l2tp ?
2) про пинг странно
3) а Вы увидели на какие порты Вас атаковали?
Всё таки большая/основная масса должна быть идти на 1-10 портов одних и тех же, не успели посмотреть?
Или тем же Torch или в таблице Connections.
3.1) Кстати, о таблице Connections - зайдите туда (напоминаю, это в IP-Firewall-Connections)
там будет на панели одна единственная кнопка Tracking
и там будет такой параметр как "TCP Established Timeout"
обычно равен 1 дню, поставьте в Вашем случаи, хотя бы временно 1-2 час(а), и в Вашем случаи
проще и быстрее будет роутер перезагрузить(для обновления таблицы Connections).
Роутеру апосля будет полегче, пока Вы не решите тему с атаками.
4) Позвоните провайдеру, уточните у него, что/кто Вас атакует? Может провайдер
со своей стороны увидит какую-ту закономерность.
Да и когда идёт ДДоС на хость (много и долго), провайдеры или звонят/уточняют или отключают
обычно.
-- NB --
Я склоняюсь (и могу ошибаться, но погадать охота) что Вы:
а) перемудрили с файрволом (ситуация с тем же пингом)?
б) файрвол Вас не защищает
в) атака идёт на 53 порт(ы) + ещё что-то.
Нету случайно рррое или l2tp ?
2) про пинг странно
3) а Вы увидели на какие порты Вас атаковали?
Всё таки большая/основная масса должна быть идти на 1-10 портов одних и тех же, не успели посмотреть?
Или тем же Torch или в таблице Connections.
3.1) Кстати, о таблице Connections - зайдите туда (напоминаю, это в IP-Firewall-Connections)
там будет на панели одна единственная кнопка Tracking
и там будет такой параметр как "TCP Established Timeout"
обычно равен 1 дню, поставьте в Вашем случаи, хотя бы временно 1-2 час(а), и в Вашем случаи
проще и быстрее будет роутер перезагрузить(для обновления таблицы Connections).
Роутеру апосля будет полегче, пока Вы не решите тему с атаками.
4) Позвоните провайдеру, уточните у него, что/кто Вас атакует? Может провайдер
со своей стороны увидит какую-ту закономерность.
Да и когда идёт ДДоС на хость (много и долго), провайдеры или звонят/уточняют или отключают
обычно.
-- NB --
Я склоняюсь (и могу ошибаться, но погадать охота) что Вы:
а) перемудрили с файрволом (ситуация с тем же пингом)?
б) файрвол Вас не защищает
в) атака идёт на 53 порт(ы) + ещё что-то.
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Сомневаюсь что кол-во invalid пакетов у вас превышает кол-во established & related.Vlad-2 писал(а): ↑25 июн 2018, 10:44 И лично от меня совет: (другие коллеги могут его не поддержать), я всё же для сбережения ресурсов роутеров,
особенно не мощных, первым правилом "убиваю" инвалидные пакеты на интерфейсе(ах). Зачем обслуживать
пакет, и дальше, через 2-15 правил его так или иначе убивать, "файс контроль" должен быть при входе
(это я думаю тоже +5-15% даёт выигрыша (экономия ресурсов CPU)
Александр
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
есть подозрение что тот кусочек конфига который вы показали отличается от того что у вас на маршрутизаторе, иначе от куда 6000 подключений ?alterak писал(а): ↑25 июн 2018, 11:54 Вчера пытался проанализировать, но это нереально просто... загрузка под 100%, винбокс в локальной сети просто вылетает при такой загрузке. Но пока было несколько рабочих секунд, в Tools->Torch увидел более 6000 подключений, а количество сканируемых портов просто не сосчитать-)
Ну, или, как вариант это трафик с локалки.
Александр
-
alterak
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Это Ростелеком, на 1-м порту PPPoE.
6657, 9583 - это то, что успел увидеть и добавить в Raw Prerouting, после этого загрузка упала с 100 до 80% и хоть интернет зашевелился немного-). Времени не было в тот момент сильно капаться.
Спасибо, попробую сделать.Vlad-2 писал(а): ↑25 июн 2018, 12:57 3.1) Кстати, о таблице Connections - зайдите туда (напоминаю, это в IP-Firewall-Connections)
там будет на панели одна единственная кнопка Tracking
и там будет такой параметр как "TCP Established Timeout"
обычно равен 1 дню, поставьте в Вашем случаи, хотя бы временно 1-2 час(а)
а) Да правила по сути своей простые, там особо и не намудришь
б) Мысль такая была-), нужно заново все мутить однако...
в) 53 порт у меня дропается правилом. С ним давно проблем нет.
У меня один в один! Только после родственных соединений добавлено дополнительное правило, разрешающие определенные порты forward.
Более 6000 соединений... А что тут удивительного? Микротик их обрабатывает и обрубает, а поскольку он их обрабатывает, поэтому и грузит процессор.
Правда было сброшено, поэтому всего 4.338.236 пакетов надропалось. А вообще трафик просто летел с сумасшедшей скоростью-(
Тут как бы ничего необычного, тупо атака по портам, которую не выдерживает железка... Просто за NAT стоит сервер с разными сервисами и портами, итого открыто около 20 нужных портов. Специально проверял, по этим портам пакеты почти не летят. Вешало только то, что приходило на Input и дропалось!
Последний раз редактировалось alterak 25 июн 2018, 13:41, всего редактировалось 1 раз.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
И ????
РРРоЕ это отдельный рабочий действующий виртуальный интерфейс,
на нём адрес даётся, так в файрволе к нему правила применять надо
а не к порту1 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Я выше и сказал - перемудрили!
-
alterak
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
PPPoE конечно отдельный интерфейс, все правила к нему и применяются, а не к 1-му порту
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну в Вашем первом сообщении, в Ваших примерах всё запрещающее приводилось
к по отношению к 1-му порту, а это значит для меня и для файрвола,
что трафик он будет закрывать на 1м порту, но рррое - это как я сказал
отдельный интерфейс, и запрещающие правила надо делать
на этот интерфейс.
порт1 для Вас представьте что его нет, это просто "физика" у Ростелекома.
Сделайте защиту на нужный интерфейс!