Прошу совета.
Встретился с проблемой: с разных ip кто-то методично обращается к кешу dns с целью разрешить какое-либо несуществующее имя. Примерно 3-4 раза в секунду. В логе отображаются соответствующие сообщения с состоянием "denied".
Может ли Mikrotik банить ip с которых идет подобного рода атака?
Спасибо
Как защить dns сервер?
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Igori
- Сообщения: 0
- Зарегистрирован: 20 ноя 2013, 13:32
- Откуда: Msk
- Контактная информация:
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Может ))
У себя реализовал примерно так.
ТИК смотрит - если с одного ИП одновременно боле 4-х подключений то добавить в бан на час
Делал срочно и на коленке, в результате помогло
У себя реализовал примерно так.
ТИК смотрит - если с одного ИП одновременно боле 4-х подключений то добавить в бан на час
Делал срочно и на коленке, в результате помогло
Есть интересная задача и бюджет? http://mikrotik.site
-
Igori
- Сообщения: 0
- Зарегистрирован: 20 ноя 2013, 13:32
- Откуда: Msk
- Контактная информация:
Понимаю, что как-то просто делается через ip firewall, но как именно, не знаю.
Если не сложно, подскажите, как именно.
Если не сложно, подскажите, как именно.
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
Igori
- Сообщения: 0
- Зарегистрирован: 20 ноя 2013, 13:32
- Откуда: Msk
- Контактная информация:
Помучился и в итоге сделал под свои нужды руководствуясь этой статьей: http://wiki.mikrotik.com/wiki/DDoS_Dete ... d_Blocking
Сработало, но с одним но: под горячую руку попали обращения со вторичных dns, которые честно пытались обновить зоны.
Поясните пожалуйста правила установки dst-limit. В частности, не понятно, про dst-limit burst.
Спасибо.
Сработало, но с одним но: под горячую руку попали обращения со вторичных dns, которые честно пытались обновить зоны.
Поясните пожалуйста правила установки dst-limit. В частности, не понятно, про dst-limit burst.
Спасибо.
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
У себя известные ДНС сервера (которые от меня зоны забирают) внес в список исключений. На них правила не распространяются. Могут хоть в 50 потоков зоны забирать.
dst-limit burst - "взрыв" То есть когда наступает критическая ситуация обозначенная в фильтре то микротик на указанный вами период времени изменяет параметры фильтра на указанные в этом поле
dst-limit burst - "взрыв" То есть когда наступает критическая ситуация обозначенная в фильтре то микротик на указанный вами период времени изменяет параметры фильтра на указанные в этом поле
Есть интересная задача и бюджет? http://mikrotik.site
-
Igori
- Сообщения: 0
- Зарегистрирован: 20 ноя 2013, 13:32
- Откуда: Msk
- Контактная информация:
Помучился еще день и понял, что защищать dns файрволом не имеет смысла. Только если это внутренний dns и к нему нет обращений извне. Правильный путь - настройка конфига dns. Так, чтобы он не работал в режиме OpenDNS. Ну а запросы к кешу в логе со статусом "denied".. пусть будут. По крайней мере, добился значительного снижения их количества.
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
vqd писал(а):Может ))
У себя реализовал примерно так.
ТИК смотрит - если с одного ИП одновременно боле 4-х подключений то добавить в бан на час
Делал срочно и на коленке, в результате помогло
Правило в студию
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
вот вам правило которое ловит смтп спамеров:
можете переделать под свои нужды. ключевые параметры:
connection-limit=30,32 - 30 подключений с каждого адреса. 32 - это маска сети
limit=50,5 - в среднем 50 pps за 5 секунд.
оба параметра не зависимы
Код: Выделить всё
add action=drop chain=forward comment="BLOCK SMTP SPAMMERS" disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 \
disabled=no dst-port=25 limit=50,5 protocol=tcpможете переделать под свои нужды. ключевые параметры:
connection-limit=30,32 - 30 подключений с каждого адреса. 32 - это маска сети
limit=50,5 - в среднем 50 pps за 5 секунд.
оба параметра не зависимы