Страница 1 из 1
Помогите избавиться от атак?
Добавлено: 28 июл 2018, 17:11
alterak
Mikrotik 951G
Пока роутер не завис окончательно, успел сделать скрин... в общем ситуация такова:
IP белый, на нем висят как сайты, так и различные другие сервисы, типа TS и.т.п, поэтому скрывать его нет смысла.
На скрине видно всего 4к+ соединений поскольку нажат СТОП. Вообще соединений более 8к и тогда загрузка микротика 100%. Сегодня весь день вот такие чудеса происходят.
Все данные
INPUT соединения дропаются правилом, но от перегруза это явно не спасает. Помогает только одно - вручную дропать данный порт, либо указанные IP
на PREROUTING
Завтра планирую перенести RouterOS на виртуальную машину, там железо гораздо мощнее. А пока прошу помощи в создании правила, которое будет обрубать подобные соединения без их обработки - PREROUTING?
Re: Помогите избавиться от атак?
Добавлено: 28 июл 2018, 20:33
mafijs
Re: Помогите избавиться от атак?
Добавлено: 28 июл 2018, 21:22
alterak
Понимаю, вирусы бывают часто. Вопрос в другом.... как избежать зависаний в подобных случаях?
Re: Помогите избавиться от атак?
Добавлено: 28 июл 2018, 21:28
podarok66
А вам что, так необходим этот порт 1025? Если нет, что мешает просто заблокировать обращения на него в фаерволе?
Re: Помогите избавиться от атак?
Добавлено: 28 июл 2018, 22:19
alterak
podarok66 писал(а): ↑28 июл 2018, 21:28
А вам что, так необходим этот порт 1025? Если нет, что мешает просто заблокировать обращения на него в фаерволе?
да это же как пример, конечно же данный порт сразу был добавлен в блокировку-) Подобное бывает абсолютно каждый вечер и по всем портам. Честно сказать, надоело мучатся с зависаниями каждый вечер, мониторить и вручную добавлять их в black list., поэтому и спросил про правило.
Re: Помогите избавиться от атак?
Добавлено: 28 июл 2018, 22:28
alterak
Сейчас такой фильтр
Код: Выделить всё
/ip firewall filter
add action=accept chain=input comment="Accept PING" disabled=yes protocol=\
icmp
add action=accept chain=input comment=\
"Accept established connections Mikrotik" connection-state=established \
in-interface=pppoe-rostel
add action=accept chain=forward comment="Accept established connections LAN" \
connection-state=established in-interface=pppoe-rostel
add action=accept chain=input comment="Accept related connections Mikrotik" \
connection-state=related in-interface=pppoe-rostel
add action=accept chain=forward comment="Accept related connections LAN" \
connection-state=related in-interface=pppoe-rostel
add action=accept chain=input comment="MIKROTIK ALLOW" dst-port=тут порт \
protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP)" dst-port=\
тут список портов protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP)" dst-port=\
тут список портов \
protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (TCP->SSH)" \
dst-port=тут список портов protocol=tcp
add action=accept chain=forward comment="RESOURCES SERVER (UDP)" dst-port=\
тут список портов protocol=udp
add action=drop chain=input comment="Drop invalid connections Mikrotik" \
connection-state=invalid in-interface=pppoe-rostel
add action=drop chain=forward comment="Drop invalid connections LAN" \
connection-state=invalid in-interface=pppoe-rostel
add action=drop chain=input comment="Drop all other input connections" \
in-interface=pppoe-rostel
add action=accept chain=forward comment="Access Internet From LAN" \
src-address=192.168.1.0/24
add action=drop chain=forward comment="Drop all other forward connections"
Принцип фаервола такой - Запрещено всё, кроме разрешенных портов.
Именно это правило рубит все остальные инпуты, только вот от атак оно явно не спасает, а наоборот, вешает микротик на 100%
Код: Выделить всё
add action=drop chain=input comment="Drop all other input connections" \
in-interface=pppoe-rostel
Re: Помогите избавиться от атак?
Добавлено: 28 июл 2018, 23:39
alterak
В общем решил сделать так... и на самый верх их все
Код: Выделить всё
/ip firewall filter
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=5m chain=input comment="DDOS Attack" \
connection-limit=3,32 in-interface=pppoe-rostel protocol=tcp
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=5m chain=forward comment="DDOS Attack" \
connection-limit=5,32 dst-port=!80,443 in-interface=pppoe-rostel \
protocol=tcp src-port=!80,443
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=5m chain=input comment="DDOS Attack" \
connection-limit=10,32 in-interface=pppoe-rostel protocol=udp src-port=\
!53
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=5m chain=forward comment="DDOS Attack" \
connection-limit=5,32 in-interface=pppoe-rostel protocol=udp
Пускай теперь пробуют задолбить мой аппаратик-)
Re: Помогите избавиться от атак?
Добавлено: 29 июл 2018, 02:53
Vlad-2
В итоге, какая нагрузка на микротик ?
P.S.
перенесите часть правила в RAW таблицу, сразу станет роутеру легче.