Частичная не работоспособность, в логе: memory info fetch file cko downloaded
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Ясно, спасибо за консультацию.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 5
- Зарегистрирован: 02 июл 2018, 15:28
Шедулер и Script List девственно пусты:
Заметил большую загрузку процессора:
С одного IP постоянно идёт большой поток данных в несколько мегабит. Возможно от этого загрузка идёт? Что это и как побороть?
Иногда это соединение пропадает на несколько минут - нагрузка сразу падает до околонулевой...
Заметил большую загрузку процессора:
С одного IP постоянно идёт большой поток данных в несколько мегабит. Возможно от этого загрузка идёт? Что это и как побороть?
Иногда это соединение пропадает на несколько минут - нагрузка сразу падает до околонулевой...
Последний раз редактировалось rampage 19 июл 2018, 23:09, всего редактировалось 4 раза.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так, прислали образец кода со взломанного роутера. Работал года полтора на старом программном обеспечении.
На первый взгляд - это просто предупреждение в такой форме. Но сама легкость взлома (логин там абсолютно зубодробительный был, просто так не подберёшь) ещё раз убеждает в том, что обновляться надо вовремя.
Код: Выделить всё
/system logging
set 0 disabled=yes
set 1 disabled=yes
set 2 disabled=yes
set 3 disabled=yes
add disabled=yes topics=e-mail
/system note
set note="The security flaw for Hajime is closed by the firewall. Please updat\
e RotherOS. Gratitude is accepted on WebMoney Z399578297824 or BTC 14qiYkk\
3nUgsdqQawiMLC1bUGDZWHowix1"
/system routerboard settings
set memory-frequency=1200DDR protected-routerboot=disabled
/ip firewall address-list
add address=10.9.0.1 list=allow-ip
add address=10.10.0.0/24 list=allow-ip
add address=10.10.0.7 list=allow-ip
add address=94.170.104.35 list=allow-ip
add address=128.174.197.214 list=allow-ip
add address=192.168.88.0/24 list=allow-ip
add address=192.168.100.0/24 list=allow-ip
add address=192.168.101.0/24 list=allow-ip
/ip firewall filter
add action=tarpit chain=input comment=\
"Add you ip addess to allow-ip in Address Lists." dst-port=30553 \
protocol=tcp
add action=add-src-to-address-list address-list=allow-ip \
address-list-timeout=1h chain=input comment=\
"The security flaw for Hajime is closed by the firewall." packet-size=\
1083 protocol=icmp
add action=accept chain=input comment=\
"Please update RotherOS and change password." src-address-list=allow-ip
add action=drop chain=input comment=\
" Thanks are accepted on WebMoney Z399578297824" dst-port=53 protocol=udp
add action=drop chain=input comment=\
"or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1" dst-port=\
53,8728,8729,21,22,23,80,443,8291 protocol=tcp
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
У вас же на скринах есть вся необходимая информация что бы понять в чем проблемма то )) Ну вот прямо написано "флуд по 53 порту"
В фаерволе правила соответсвующие сделате и будет Вам счастье
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 5
- Зарегистрирован: 02 июл 2018, 15:28
Сделал два правила:
1) Блокирую всех из DNS_BLOCK по всем портам и протоколам
chain=input action=drop src-address-list=DNS_BLOCK in-interface=Internet log=no log-prefix=""
2) В список адресов DNS_BLOCK добавляю флудящие IP
chain=input action=add-src-to-address-list protocol=udp address-list=DNS_BLOCK address-list-timeout=0s in-interface=Internet dst-port=53 log=yes log-prefix=""
За ночь в DNS_BLOCK 90 адресов... Нагрузка уменьшилась до 0-5%
Правильно всё сделал?
1) Блокирую всех из DNS_BLOCK по всем портам и протоколам
chain=input action=drop src-address-list=DNS_BLOCK in-interface=Internet log=no log-prefix=""
2) В список адресов DNS_BLOCK добавляю флудящие IP
chain=input action=add-src-to-address-list protocol=udp address-list=DNS_BLOCK address-list-timeout=0s in-interface=Internet dst-port=53 log=yes log-prefix=""
За ночь в DNS_BLOCK 90 адресов... Нагрузка уменьшилась до 0-5%
Правильно всё сделал?
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так это же, похоже, не взлом. Это вполне обычный DNS flood. Чего там в банлист заносить? Дропаем 53 порт на инпуте по udp и tcp. И делов-то.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Ну если хотите ещё лучше с оптимизироваться, то лучше правила защиты от флуда
по 53 порту сделать в таблице RAW файрвола. Это будет ещё лучше по производительности.
Такие атаки даже не будут попадать в Коннекшен таблицу и меньше нагружать память, процессор
роутера, а отсюда уже и эффективность будет в разы выше.
2) также, для оптимизации - идём в файрвол, Connections и там нажимаем кнопку Tracking,
в появившемся окне, находим параметр TCP Established Timeout, он равен 1дню,
обычно если роутер сканируют, или какая-то зависшая/старая сессия - она там, в коннекшинах
будет до суток висеть, поэтому я лично ставлю этот параметр вместо 1дня, ставлю 12 часов.
Это тоже позволяет ускорить и уменьшить нагрузку на роутер при активном использовании канала(ов).
(этот совет лично от меня).
P.S.
У меня на рабочем роутере за сутки около 200-700 атак.
Тоже формирую список атакующих, таймаут записи в таком списке - сутки,
и этот список у меня уже используется в файрволе, и если айпишник меня пытался флудить,
то для такова адреса полностью по всем портам закрты мой роутер (на сутки).