Страница 1 из 1
Как защить dns сервер?
Добавлено: 11 дек 2013, 16:34
Igori
Прошу совета.
Встретился с проблемой: с разных ip кто-то методично обращается к кешу dns с целью разрешить какое-либо несуществующее имя. Примерно 3-4 раза в секунду. В логе отображаются соответствующие сообщения с состоянием "denied".
Может ли Mikrotik банить ip с которых идет подобного рода атака?
Спасибо
Re: Как защить dns сервер?
Добавлено: 11 дек 2013, 16:41
vqd
Может ))
У себя реализовал примерно так.
ТИК смотрит - если с одного ИП одновременно боле 4-х подключений то добавить в бан на час
Делал срочно и на коленке, в результате помогло
Re: Как защить dns сервер?
Добавлено: 11 дек 2013, 16:44
Igori
Понимаю, что как-то просто делается через ip firewall, но как именно, не знаю.
Если не сложно, подскажите, как именно.
Re: Как защить dns сервер?
Добавлено: 11 дек 2013, 16:48
vqd
Re: Как защить dns сервер?
Добавлено: 12 дек 2013, 12:21
Igori
Помучился и в итоге сделал под свои нужды руководствуясь этой статьей:
http://wiki.mikrotik.com/wiki/DDoS_Dete ... d_BlockingСработало, но с одним но: под горячую руку попали обращения со вторичных dns, которые честно пытались обновить зоны.
Поясните пожалуйста правила установки dst-limit. В частности, не понятно, про dst-limit burst.
Спасибо.
Re: Как защить dns сервер?
Добавлено: 13 дек 2013, 08:18
vqd
У себя известные ДНС сервера (которые от меня зоны забирают) внес в список исключений. На них правила не распространяются. Могут хоть в 50 потоков зоны забирать.
dst-limit burst - "взрыв" То есть когда наступает критическая ситуация обозначенная в фильтре то микротик на указанный вами период времени изменяет параметры фильтра на указанные в этом поле
Re: Как защить dns сервер?
Добавлено: 13 дек 2013, 16:50
Igori
Помучился еще день и понял, что защищать dns файрволом не имеет смысла. Только если это внутренний dns и к нему нет обращений извне. Правильный путь - настройка конфига dns. Так, чтобы он не работал в режиме OpenDNS. Ну а запросы к кешу в логе со статусом "denied".. пусть будут. По крайней мере, добился значительного снижения их количества.
Re: Как защить dns сервер?
Добавлено: 23 дек 2013, 20:34
wolf_ktl
vqd писал(а):Может ))
У себя реализовал примерно так.
ТИК смотрит - если с одного ИП одновременно боле 4-х подключений то добавить в бан на час
Делал срочно и на коленке, в результате помогло
Правило в студию
Re: Как защить dns сервер?
Добавлено: 24 дек 2013, 14:23
simpl3x
вот вам правило которое ловит смтп спамеров:
Код: Выделить всё
add action=drop chain=forward comment="BLOCK SMTP SPAMMERS" disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 \
disabled=no dst-port=25 limit=50,5 protocol=tcp
можете переделать под свои нужды. ключевые параметры:
connection-limit=30,32 - 30 подключений с каждого адреса. 32 - это маска сети
limit=50,5 - в среднем 50 pps за 5 секунд.
оба параметра не зависимы