Перейти к содержимому
Калькуляторы

Mikrotik - часть DDOS сети

Сегодня заметил ровный исходящий траффик в размере 2мбита на микротике.

Глянул а там 2 udp запроса генерируют весь этот траффик на порту 53. Похоже какая-то уязвимость в DNS server микротик, которую уже вовсю используют.

Версия причем последняя. Один из адресов откуда шли запросы был 188.225.112.21

ФАйрволом заблокировал 53ий, но не встречал чтобы днс сервера так использовались на более серьезных машинах.

PS. настройки DNS сервера по умолчанию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Совсем не новость. Варианта два - либо отключаете "allow remote requests", но лишаетесь локального кэша и несколько теряете в скорости резольва запросов, либо как вы и сделали, дропаете запросы на 53 порт с тех интерфейсов, которые отвечать не должны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Собственно это и было понятно. Удивляет что в настройках по умолчанию это не учтено в микротике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

какая-то уязвимость в DNS server микротик, которую уже вовсю используют.

Используют уже не первый год.

Удивляет что в настройках по умолчанию это не учтено в микротике.

Как и прокся, которая при включении проксирует также и внешние запросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to Sergeylo

 

И как бороться, если хочется использовать микротиковский DNS Server ?

 

p.s. на 53 порт запросы бропаю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И как бороться, если хочется использовать микротиковский DNS Server ?

Так пользуйте, в чем проблема. Фильтр на запросы с левых адресов ставьте и работайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так пользуйте, в чем проблема. Фильтр на запросы с левых адресов ставьте и работайте.

 

Не могли бы написать пример фильтра, немного не понял что имеете ввиду.

 

Как и прокся, которая при включении проксирует также и внешние запросы.

 

А с этим как бороться ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не могли бы написать пример фильтра, немного не понял что имеете ввиду.

Создаете список адресов, с которых разрешено обращение к вашему DNS:

/ip firewall address-list
add address=x.x.x.x list=DNS-access
...
add address=x.x.x.x list=DNS-access

и правило ограничения доступа:

add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=tcp src-address-list=!DNS-access
add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=udp src-address-list=!DNS-access

А с этим как бороться ?

Например вписать в настройке прокси в поле Src.address пул адресов, с которого должен быть доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И как бороться, если хочется использовать микротиковский DNS Server ?

 

Поставить еще один микротик, на котором включить DNS сервер, при этом подключить его к основному микротику по серому адресу. Тогда он сам будет иметь доступ в интернет для переадресации запросов, а никто извне на него не попадет, и не нужно никаких фильтров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставить еще один микротик, на котором включить DNS сервер, при этом подключить его к основному микротику по серому адресу. Тогда он сам будет иметь доступ в интернет для переадресации запросов, а никто извне на него не попадет, и не нужно никаких фильтров.

антон ты "рифма" больше нечего добавить

 

решается правилом а не добавлением точки отказа....

и правило ограничения доступа:

 

add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=tcp src-address-list=!DNS-access

add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=udp src-address-list=!DNS-access

 

просто тупо лишнее, у вас уже есть ограничение по интерфейсу, точнее тут либо интерфейс либо адрес лист

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

просто тупо лишнее, у вас уже есть ограничение по интерфейсу

Общее правило дропа на 53 порт по этому интерфейсу естественно надо убрать, я считал это очевидно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, на аплинке установен микрот со следующими правилами:

 

0    chain=input action=drop protocol=tcp in-interface=l2tp-out1 dst-port=53 
     log=no log-prefix="" 

1    chain=input action=drop protocol=udp in-interface=l2tp-out1 dst-port=53 
     log=no log-prefix="" 

 

Этих правил достаточно для безопасного использования микротиковского DNS ?

 

 

Что еще посоветует настроить для защиты от внешних угроз?

p.s. пользователь админ изменен, пароль сложный, лишние службы отключены, доступ по SSH указан с определенных IP, микротиковской проксей не пользуюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этих правил достаточно для безопасного использования микротиковского DNS?

Если WAN один - вполне.

Что еще посоветуете настроить для защиты от внешних угроз?

Сменить порты сервисов, доступных извне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.