Jump to content
Калькуляторы

Атака SSH? Нездоровая загрузка проца rb750up

Уважаемые, подскажите нубу в микротах, что сие значит и как с этим бороться?

Проц грузится в полку.

Была ddos атака dns, добавил правила в firewall по 53 порту - помогло.

А с ssh не могу понять, в чем дело.

Всем заранее благодарен.

PS. В ip-services ssh отключен.

post-119167-087999800 1430857281_thumb.jpg

Edited by Samgabial

Share this post


Link to post
Share on other sites

а в логах разве не видно что на ssh долбятся

Share this post


Link to post
Share on other sites

pandel, в логах стало чисто, после того как заблочил 22 и 23 порты, но нагрузка на проц осталась.

 

Вот вывод torch:

 

 

[admin@MikroTik] /tool> torch pppoe-out1 ip-protocol=any port=any

MAC-PROTOCOL IP-PROT... SRC-PORT DST-PORT TX RX TX-PACKETS RX-PACKETS

icmp 832bps 864bps 1 1

tcp 80 (http) 32965 416bps 2.5kbps 1 1

tcp 80 (http) 33854 320bps 320bps 1 1

tcp 80 (http) 44981 832bps 416bps 2 1

tcp 80 (http) 45404 2.5kbps 2.8kbps 1 2

tcp 80 (http) 46383 416bps 416bps 1 1

tcp 80 (http) 48004 0bps 0bps 0 0

tcp 80 (http) 50580 0bps 0bps 0 0

tcp 80 (http) 51640 416bps 416bps 1 1

tcp 80 (http) 52288 0bps 0bps 0 0

tcp 80 (http) 52301 0bps 0bps 0 0

tcp 80 (http) 57811 17.5kbps 7.8kbps 7 6

tcp 443 (h... 43929 0bps 0bps 0 0

tcp 443 (h... 45834 16.3kbps 5.4kbps 3 2

tcp 80 (http) 57816 0bps 0bps 0 0

udp 1040 161 (s... 3.6kbps 3.2kbps 1 1

udp 1040 1600 11.0kbps 9.9kbps 3 3

udp 1040 16010 4.0kbps 3.8kbps 6 6

udp 1040 16101 1392bps 1296bps 2 2

udp 1040 16102 1240bps 1184bps 2 2

udp 1040 16103 1232bps 1216bps 2 2

udp 1040 16107 1240bps 1184bps 2 2

udp 1040 16111 1240bps 1184bps 2 2

tcp 5938 53005 512bps 512bps 1 1

tcp 16641 8291 (... 35.7kbps 3.9kbps 8 6

tcp 53831 6881 0bps 416bps 0 1

udp 1040 1614 7.0kbps 6.8kbps 10 10

udp 1040 1618 0bps 592bps 0 1

udp 1040 16010 1248bps 1200bps 2 2

udp 1040 16101 1240bps 1184bps 2 2

udp 1040 16102 616bps 1184bps 1 2

udp 1040 16108 1232bps 1216bps 2 2

udp 1040 16109 632bps 608bps 1 1

udp 1040 16113 0bps 0bps 0 0

udp 1040 16114 0bps 0bps 0 0

udp 1040 16115 1232bps 1216bps 2 2

udp 1040 16116 1240bps 1184bps 2 2

udp 1040 16122 1232bps 1216bps 2 2

udp 1040 16123 0bps 0bps 0 0

udp 1040 16125 1232bps 608bps 2 1

udp 1040 16242 1280bps 1232bps 2 2

udp 1040 16245 0bps 0bps 0 0

udp 1665 53 (dns) 0bps 7.6kbps 0 15

udp 5614 53 (dns) 0bps 0bps 0 0

udp 6881 1990 5.7kbps 1920bps 8 5

udp 7770 11888 2.0kbps 1152bps 4 3

udp 7961 53 (dns) 0bps 0bps 0 0

udp 9876 1990 0bps 0bps 0 0

udp 10070 1990 1032bps 2.4kbps 1 1

udp 11262 1990 1032bps 0bps 1 0

udp 11888 11888 6.0kbps 2.3kbps 11 6

udp 12170 11888 1152bps 1152bps 3 3

udp 12455 11888 45.4kbps 3.2kbps 8 8

udp 13616 53 (dns) 0bps 7.6kbps 0 15

udp 13876 53 (dns) 0bps 0bps 0 0

udp 13933 53 (dns) 0bps 0bps 0 0

udp 14611 1990 0bps 0bps 0 0

udp 1040 16105 1232bps 1216bps 2 2

udp 1040 16107 3.6kbps 3.3kbps 1 1

udp 1040 16113 1240bps 1184bps 2 2

udp 1040 16114 0bps 576bps 0 1

udp 1040 16120 0bps 0bps 0 0

udp 1040 16122 2.7kbps 2.5kbps 4 4

udp 1040 16123 1232bps 1216bps 2 2

udp 1040 16124 0bps 608bps 0 1

udp 1040 16242 6.2kbps 5.7kbps 5 5

udp 1040 16245 3.6kbps 3.3kbps 1 1

udp 1040 16261 16.9kbps 17.1kbps 28 29

udp 2530 1990 1616bps 544bps 2 1

udp 3544 57848 0bps 720bps 0 1

udp 5614 53 (dns) 0bps 512bps 0 1

udp 6881 1990 0bps 384bps 0 1

udp 7961 53 (dns) 0bps 4.0kbps 0 8

udp 9876 1990 2.6kbps 544bps 3 1

udp 10799 1990 1032bps 2.5kbps 1 1

udp 12267 1990 1032bps 2.5kbps 1 1

udp 12455 11888 38.5kbps 1536bps 6 4

udp 12588 53 (dns) 0bps 0bps 0 0

udp 13876 53 (dns) 0bps 7.6kbps 0 15

udp 13933 53 (dns) 0bps 512bps 0 1

udp 14611 1990 1032bps 0bps 1 0

udp 16680 53 (dns) 0bps 512bps 0 1

udp 17173 53 (dns) 0bps 512bps 0 1

udp 18057 1990 1032bps 0bps 1 0

udp 18406 53 (dns) 0bps 0bps 0 0

udp 19341 53 (dns) 0bps 512bps 0 1

udp 19848 1990 1032bps 0bps 1 0

udp 23573 1990 1032bps 0bps 1 0

udp 26066 53 (dns) 0bps 7.6kbps 0 15

udp 27097 53 (dns) 0bps 2.8kbps 0 5

udp 28896 53 (dns) 0bps 512bps 0 1

udp 29217 1990 0bps 2.5kbps 0 1

udp 29408 1990 3.6kbps 3.6kbps 2 2

udp 29433 1990 0bps 1032bps 0 1

udp 29753 53 (dns) 0bps 7.6kbps 0 15

udp 30605 53 (dns) 0bps 6.1kbps 0 12

udp 34441 53 (dns) 0bps 0bps 0 0

udp 35703 1990 1032bps 0bps 1 0

udp 35908 1990 0bps 2.5kbps 0 1

udp 36958 53 (dns) 0bps 7.6kbps 0 15

udp 40643 1990 0bps 2.5kbps 0 1

udp 43603 53 (dns) 0bps 512bps 0 1

udp 44589 1990 0bps 2.5kbps 0 1

udp 45588 1990 1032bps 0bps 1 0

udp 48117 53 (dns) 0bps 7.6kbps 0 15

udp 48253 53 (dns) 0bps 7.6kbps 0 15

udp 49001 1990 0bps 0bps 0 0

313.4kbps 295.8kbps 155 288

 

 

 

PS. В правилах файрвола есть куча правил netmap. Могут они давать такой эффект?

post-119167-011530200 1430898748_thumb.jpg

Share this post


Link to post
Share on other sites

Из данных torch видно, что dns-запросы к микроту снаружи продолжаются, хотя drop-правила в файрволе по порту 53 висят в самом верху.

post-119167-068191800 1430900035_thumb.jpg

Share this post


Link to post
Share on other sites

У вас странные правила, если в конце все блокируете, то зачем отдельные правила? Поставьте разрешающие вверх, а после них дроп всего. Лишние удалив.

Share this post


Link to post
Share on other sites

Saab95, спасибо за подсказку, правила причесал.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this