Russian Users MikroTik | Форум пользователей MikroTik

Vladislav писал(а):Сейчас больше рассматриваю вариант покупки RouterOS и сбора 4-ех ядерной платформы на Intel с нормальными сетевками... Самый дешевый и действенный вариант как по мне...

Самый дешевый вариант это виртуальный микрот на ESX среди прочей инфраструктуры. У мен яварятся несоклько штук, не жрут вообще ничего. Спокойно докидываются процессора, память. В плане совместимости по железу и надёжности - офигенный вариант. ESXi на HCL железе, зеркала, можно даже SSD если бюджет позволяет, тонна памяти и поехали...

Есть сейчас свободная железка с core i7 3770k и 16 Gb DDR3 1600 Mhz на Win Server 2012 R2 Standart. Два раптора по 10к RPM и 2 SSD Vertex4 по 128 Gb. Быть может на нем виртуалку зарядить? Только сетевки нужно нормальные закупить... И желательно WAN с SFP портом, только сетевки нормальные так же обойдутся в хорошую сумму

Нет, ну конечно, писать что-то на основе умных мыслей это круто. А что, если всё же что-то сделать на деле?
Вот при работающем правиле дропа пакетов на 53 порт. Обратите внимание на загрузку процессора и время:

А вот прямо через несколько секунд при отключенном правиле:

Флуд идет именно на 53 порт, протокол - udp.
По поводу того, что грузит процессор, а что нет. Пакет, который отброшен на цепочке input не обрабатывается в маршрутизаторе. Он просто отброшен. Нагрузка на железо минимальна. Изучите если не документацию, то хотя бы схему движения http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... acket_Flow

Дело то в том, что флудить могут НА ЛЮБОЙ порт, НА ЛЮБОЙ! хоть на 65535
З.Ы. И если бы вы читали, то заметили бы, что атаку я моделирую с товарищем сам, с его удаленного ПК.
Аля проводим тестирование оборудования, которое ну ни как не справляется даже с одним бомже-компьютером.

несомненно дропнутые пакеты создают меньше нагрузку на проц, т.к. их путь по железке короткий, более того это очевидно, но это не отменяет создание ими нагрузки, вопрос только в их количестве

Как то так вот все это происходит :) Чисто для примера стрельнули в 80 порт, в любой другой - тоже самое происходит.

в случае дропа причем тут номер порта... грузить будет одинаково
номер порта имеет значение только при атаке на открытый сервис (самого микротика или за чего-либо за ним, отроученного или отфорвардинного микротиком)
53 udp порт был выбран я так понимаю для примера загрузки проца при отсутствии защиты сервиса, т.к. на микротике есть DNS сервис

nediis писал(а):в случае дропа причем тут номер порта... грузить будет одинаково
номер порта имеет значение только при атаке на открытый сервис (самого микротика или за чего-либо за ним, отроученного или отфорвардинного микротиком)
53 udp порт был выбран я так понимаю для примера загрузки проца при отсутствии защиты сервиса, т.к. на микротике есть DNS сервис

Вот и я не пойму, зачем мне так усердно втирают 53 порт :) В то время когда все порты закрыты и через них нет ни каких пробросов в данный момент.

Vladislav писал(а):Есть сейчас свободная железка с core i7 3770k и 16 Gb DDR3 1600 Mhz на Win Server 2012 R2 Standart. Два раптора по 10к RPM и 2 SSD Vertex4 по 128 Gb. Быть может на нем виртуалку зарядить? Только сетевки нужно нормальные закупить... И желательно WAN с SFP портом, только сетевки нормальные так же обойдутся в хорошую сумму

Вы мсье так паритесь сетевухами будто ISP открываете. Хватит обычных двухпортовых интеловых на pci-e шину. Сколько напихаете столько и будете роутить. Ставить микрот на vmware workstation можно, но чисто эмпирически ESX удобней намного и проще в бэкапе и миграции\развертке. Шустрые дисковые винты уж точно подобной машине ни к чему, SSD - желательно, а так хоть на флешке будет жить, конфигурация создана, подгружена в память и живет в ней, ей пофигу на диск в общем то.

Vladislav, Я вот не понимаю. Вы ищите заветную галочку, нажав на которую атакующий компьютер друга сразу взорвётся? Или нажав на которую у бедненького AR9344 измениться архитектура и вырастет дополнительно 31 ядро?
Хотите избавиться от атаки, возьмите кусачки и перекусите сетевой провод. Гарантированно пропадёт трафик и нагрузка на процессор.... И это не сарказм.

Защита от атак это дело не простое, и если от одиночной атаки можно защититься написав 2-4 правила, то универсальную защиту от распределённой атаки написать невозможно.

Что касается 53 порта, то проц нагружает не трафик а DNS сервер.