Страница 1 из 2
как использовать микротик для "ДНС флуда"
Добавлено: 22 фев 2017, 17:32
Pcrepair
Добрый день. есть следующая ситуация :
- микротик 2011
- Разрешение на использование кеша ДНС для РС в ЛВС
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1,8.8.8.8
- для защиты от флуда в фаерволе записано
add action=drop chain=input comment="Drop DNS from !ether6-LAN" dst-port=53 in-interface=!ether6-LAN protocol=udp
add chain=input comment="Allow DNS request" in-interface=ether10-INET protocol=udp src-port=53
Вопрос : как организовать проверку защиты? ну то есть как попробовать использовать мой микротик для флуда? что нужно, программа какая на каком то РС в инете? или как то еще?
кто в курсе?
Re: как использовать микротик для "ДНС флуда"
Добавлено: 22 фев 2017, 20:03
Dragon_Knight
DNS по большей части используют не для флуда самого DNS сервера, а для флуда удалённых узлов, методом подмены адреса источника.
PS: Так-же помимо udp нужно ещё и tcp порт защищать.
Re: как использовать микротик для "ДНС флуда"
Добавлено: 22 фев 2017, 20:11
Pcrepair
это все хорошо правильно и верно (тср удп и все такое)
вопрос не о том
вопрос как все это проверить реально, не ударяясь в религиозную мутотень типа "верую"
Re: как использовать микротик для "ДНС флуда"
Добавлено: 22 фев 2017, 20:16
Dragon_Knight
Попробовать выполнить запрос dns с удалённого хоста.
Ваш Кеп (С)
Re: как использовать микротик для "ДНС флуда"
Добавлено: 22 фев 2017, 21:07
Pcrepair
так так
Попробовать выполнить запрос dns с удалённого хоста.
Ваш Кеп (С)
и далее..... какой программой, способом ну так чтоб было видно что можно роутер поиметь
Re: как использовать микротик для "ДНС флуда"
Добавлено: 22 фев 2017, 21:37
Dragon_Knight
Утилитой nslookup, и вообще странно, что Вы роутер настроили не зная таких вещей...
Re: как использовать микротик для "ДНС флуда"
Добавлено: 22 фев 2017, 22:18
podarok66
Да пусть человек проверяет, это ж простое любопытство. Собственно, дело в том, что он видимо не представляет, что есть эта самая флуд-атака. Уж ее-то не заметить на домашней железке будет проблематично. Там постоянная нагрузка на камень под 100%, никаких нормальных действий в сети проводить невозможно. А в соединениях просто вал входящих запросов по 53 порту. Как только включаешь правило, всё приходит в норму. По-моему, это надо пережить и тогда оно запомнится и сомнения уйдут.
Кстати, я тут глянул с помощью
nmap на один из маршрутизаторов при включенном правиле:
Код: Выделить всё
nmap -sU 100.200.100.200
Starting Nmap 6.47 ( http://nmap.org ) at 2017-02-22 22:02 MSK
Nmap scan report for 100-200-100-200.static.static.net (100.200.100.200)
Host is up (0.026s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
68/udp open|filtered dhcpc
69/udp open|filtered tftp
123/udp open ntp
1812/udp open|filtered radius
1813/udp open|filtered radacct
Nmap done: 1 IP address (1 host up) scanned in 205.04 seconds
а потом при отключенном:
Код: Выделить всё
nmap -sU 100.200.100.200
Starting Nmap 6.47 ( http://nmap.org ) at 2017-02-22 22:19 MSK
Nmap scan report for 100-200-100-200.static.static.net (100.200.100.200)
Host is up (0.021s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
53/udp open domain
68/udp open|filtered dhcpc
69/udp open|filtered tftp
123/udp open ntp
1812/udp open|filtered radius
1813/udp open|filtered radacct
Nmap done: 1 IP address (1 host up) scanned in 410.53 seconds
Вот и посмотрите , как утилита показывает состояние 53 порта при сканировании по UDP. Пойдет в качестве проверки? Или будете копать глубже?
Re: как использовать микротик для "ДНС флуда"
Добавлено: 23 фев 2017, 06:28
Pcrepair
то есть сообщение
53/udp open|filtered domain
как раз сообщает что порт закрыт?
а то не понятно
вообще настраиваю микротик в первый раз, иду по пунктам, каждый шаг проверяю. микротик не мой, для одной конторы, а то там мыльница тп-линк постоянно стала зависать, видимо уже не может обрабатывать запросы (до 15 пользователей)
Re: как использовать микротик для "ДНС флуда"
Добавлено: 23 фев 2017, 06:37
Pcrepair
и по поводу флуд-атаки по 53 порту
в конце прошлого года непонятно отчего возбудился видеорегистратор поганой питерской конторки RVI и стал ДДоСить какие то конторы то в африке то еще где именно по 53 (провайдыр в логах зафисиксировал да и работать было просто невозможно, ДНС не работал). прибамбас был подключен к ЛВС для возможности просмотра видео данных из интернета. после физического отключения регистратора от свитча все косяки тут же пропали. так что что такое флуд 53 мне очень хорошо известно.
Re: как использовать микротик для "ДНС флуда"
Добавлено: 23 фев 2017, 12:40
podarok66
Pcrepair писал(а):что такое флуд 53 мне очень хорошо известно
Ну, если судить по этой фразе
Pcrepair писал(а):видеорегистратор поганой питерской конторки RVI и стал ДДоСить какие то конторы то в африке то еще где именно по 53
то не очень хорошо, во всяком случае терминология хромает. Но тут немудрено, природа этого явления позволяет предположить ДДоС не с той стороны. Ответ маршрутизатора во много раз больше запроса. Это не страшно и не важно в нашем случае...
Pcrepair писал(а):то есть сообщение
53/udp open|filtered domain
как раз сообщает что порт закрыт?
Да нет же, просто nmap не смог получить ответ при запросе через этот порт. Посмотрите в манах nmap, там подробненько описаны эти вещи.
Ну а насчет отработки правила, не переживайте. правило работает отменно. Я лично пережил подобную атаку, получил втык от провайдера и утихомиривал шторм именно таким правилом.
