Jump to content
Калькуляторы

Mikrotik - часть DDOS сети

Сегодня заметил ровный исходящий траффик в размере 2мбита на микротике.

Глянул а там 2 udp запроса генерируют весь этот траффик на порту 53. Похоже какая-то уязвимость в DNS server микротик, которую уже вовсю используют.

Версия причем последняя. Один из адресов откуда шли запросы был 188.225.112.21

ФАйрволом заблокировал 53ий, но не встречал чтобы днс сервера так использовались на более серьезных машинах.

PS. настройки DNS сервера по умолчанию.

Share this post


Link to post
Share on other sites
Совсем не новость. Варианта два - либо отключаете "allow remote requests", но лишаетесь локального кэша и несколько теряете в скорости резольва запросов, либо как вы и сделали, дропаете запросы на 53 порт с тех интерфейсов, которые отвечать не должны.

Share this post


Link to post
Share on other sites

Собственно это и было понятно. Удивляет что в настройках по умолчанию это не учтено в микротике.

Share this post


Link to post
Share on other sites
какая-то уязвимость в DNS server микротик, которую уже вовсю используют.

Используют уже не первый год.

Удивляет что в настройках по умолчанию это не учтено в микротике.

Как и прокся, которая при включении проксирует также и внешние запросы.

Share this post


Link to post
Share on other sites

to Sergeylo

 

И как бороться, если хочется использовать микротиковский DNS Server ?

 

p.s. на 53 порт запросы бропаю...

Share this post


Link to post
Share on other sites

И как бороться, если хочется использовать микротиковский DNS Server ?

Так пользуйте, в чем проблема. Фильтр на запросы с левых адресов ставьте и работайте.

Share this post


Link to post
Share on other sites

Так пользуйте, в чем проблема. Фильтр на запросы с левых адресов ставьте и работайте.

 

Не могли бы написать пример фильтра, немного не понял что имеете ввиду.

 

Как и прокся, которая при включении проксирует также и внешние запросы.

 

А с этим как бороться ?

Share this post


Link to post
Share on other sites

Не могли бы написать пример фильтра, немного не понял что имеете ввиду.

Создаете список адресов, с которых разрешено обращение к вашему DNS:

/ip firewall address-list
add address=x.x.x.x list=DNS-access
...
add address=x.x.x.x list=DNS-access

и правило ограничения доступа:

add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=tcp src-address-list=!DNS-access
add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=udp src-address-list=!DNS-access

А с этим как бороться ?

Например вписать в настройке прокси в поле Src.address пул адресов, с которого должен быть доступ.

Share this post


Link to post
Share on other sites

И как бороться, если хочется использовать микротиковский DNS Server ?

 

Поставить еще один микротик, на котором включить DNS сервер, при этом подключить его к основному микротику по серому адресу. Тогда он сам будет иметь доступ в интернет для переадресации запросов, а никто извне на него не попадет, и не нужно никаких фильтров.

Share this post


Link to post
Share on other sites

Поставить еще один микротик, на котором включить DNS сервер, при этом подключить его к основному микротику по серому адресу. Тогда он сам будет иметь доступ в интернет для переадресации запросов, а никто извне на него не попадет, и не нужно никаких фильтров.

антон ты "рифма" больше нечего добавить

 

решается правилом а не добавлением точки отказа....

и правило ограничения доступа:

 

add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=tcp src-address-list=!DNS-access

add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=udp src-address-list=!DNS-access

 

просто тупо лишнее, у вас уже есть ограничение по интерфейсу, точнее тут либо интерфейс либо адрес лист

Share this post


Link to post
Share on other sites

просто тупо лишнее, у вас уже есть ограничение по интерфейсу

Общее правило дропа на 53 порт по этому интерфейсу естественно надо убрать, я считал это очевидно.

Share this post


Link to post
Share on other sites

Подскажите, на аплинке установен микрот со следующими правилами:

 

0    chain=input action=drop protocol=tcp in-interface=l2tp-out1 dst-port=53 
     log=no log-prefix="" 

1    chain=input action=drop protocol=udp in-interface=l2tp-out1 dst-port=53 
     log=no log-prefix="" 

 

Этих правил достаточно для безопасного использования микротиковского DNS ?

 

 

Что еще посоветует настроить для защиты от внешних угроз?

p.s. пользователь админ изменен, пароль сложный, лишние службы отключены, доступ по SSH указан с определенных IP, микротиковской проксей не пользуюсь.

Share this post


Link to post
Share on other sites

Этих правил достаточно для безопасного использования микротиковского DNS?

Если WAN один - вполне.

Что еще посоветуете настроить для защиты от внешних угроз?

Сменить порты сервисов, доступных извне.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this