Samgabial Опубликовано 5 мая, 2015 (изменено) · Жалоба Уважаемые, подскажите нубу в микротах, что сие значит и как с этим бороться? Проц грузится в полку. Была ddos атака dns, добавил правила в firewall по 53 порту - помогло. А с ssh не могу понять, в чем дело. Всем заранее благодарен. PS. В ip-services ssh отключен. Изменено 5 мая, 2015 пользователем Samgabial Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 5 мая, 2015 · Жалоба точ выложи с внешнего инта с портами и протоколами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pandel Опубликовано 6 мая, 2015 · Жалоба а в логах разве не видно что на ssh долбятся Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Samgabial Опубликовано 6 мая, 2015 · Жалоба pandel, в логах стало чисто, после того как заблочил 22 и 23 порты, но нагрузка на проц осталась. Вот вывод torch: [admin@MikroTik] /tool> torch pppoe-out1 ip-protocol=any port=any MAC-PROTOCOL IP-PROT... SRC-PORT DST-PORT TX RX TX-PACKETS RX-PACKETS icmp 832bps 864bps 1 1 tcp 80 (http) 32965 416bps 2.5kbps 1 1 tcp 80 (http) 33854 320bps 320bps 1 1 tcp 80 (http) 44981 832bps 416bps 2 1 tcp 80 (http) 45404 2.5kbps 2.8kbps 1 2 tcp 80 (http) 46383 416bps 416bps 1 1 tcp 80 (http) 48004 0bps 0bps 0 0 tcp 80 (http) 50580 0bps 0bps 0 0 tcp 80 (http) 51640 416bps 416bps 1 1 tcp 80 (http) 52288 0bps 0bps 0 0 tcp 80 (http) 52301 0bps 0bps 0 0 tcp 80 (http) 57811 17.5kbps 7.8kbps 7 6 tcp 443 (h... 43929 0bps 0bps 0 0 tcp 443 (h... 45834 16.3kbps 5.4kbps 3 2 tcp 80 (http) 57816 0bps 0bps 0 0 udp 1040 161 (s... 3.6kbps 3.2kbps 1 1 udp 1040 1600 11.0kbps 9.9kbps 3 3 udp 1040 16010 4.0kbps 3.8kbps 6 6 udp 1040 16101 1392bps 1296bps 2 2 udp 1040 16102 1240bps 1184bps 2 2 udp 1040 16103 1232bps 1216bps 2 2 udp 1040 16107 1240bps 1184bps 2 2 udp 1040 16111 1240bps 1184bps 2 2 tcp 5938 53005 512bps 512bps 1 1 tcp 16641 8291 (... 35.7kbps 3.9kbps 8 6 tcp 53831 6881 0bps 416bps 0 1 udp 1040 1614 7.0kbps 6.8kbps 10 10 udp 1040 1618 0bps 592bps 0 1 udp 1040 16010 1248bps 1200bps 2 2 udp 1040 16101 1240bps 1184bps 2 2 udp 1040 16102 616bps 1184bps 1 2 udp 1040 16108 1232bps 1216bps 2 2 udp 1040 16109 632bps 608bps 1 1 udp 1040 16113 0bps 0bps 0 0 udp 1040 16114 0bps 0bps 0 0 udp 1040 16115 1232bps 1216bps 2 2 udp 1040 16116 1240bps 1184bps 2 2 udp 1040 16122 1232bps 1216bps 2 2 udp 1040 16123 0bps 0bps 0 0 udp 1040 16125 1232bps 608bps 2 1 udp 1040 16242 1280bps 1232bps 2 2 udp 1040 16245 0bps 0bps 0 0 udp 1665 53 (dns) 0bps 7.6kbps 0 15 udp 5614 53 (dns) 0bps 0bps 0 0 udp 6881 1990 5.7kbps 1920bps 8 5 udp 7770 11888 2.0kbps 1152bps 4 3 udp 7961 53 (dns) 0bps 0bps 0 0 udp 9876 1990 0bps 0bps 0 0 udp 10070 1990 1032bps 2.4kbps 1 1 udp 11262 1990 1032bps 0bps 1 0 udp 11888 11888 6.0kbps 2.3kbps 11 6 udp 12170 11888 1152bps 1152bps 3 3 udp 12455 11888 45.4kbps 3.2kbps 8 8 udp 13616 53 (dns) 0bps 7.6kbps 0 15 udp 13876 53 (dns) 0bps 0bps 0 0 udp 13933 53 (dns) 0bps 0bps 0 0 udp 14611 1990 0bps 0bps 0 0 udp 1040 16105 1232bps 1216bps 2 2 udp 1040 16107 3.6kbps 3.3kbps 1 1 udp 1040 16113 1240bps 1184bps 2 2 udp 1040 16114 0bps 576bps 0 1 udp 1040 16120 0bps 0bps 0 0 udp 1040 16122 2.7kbps 2.5kbps 4 4 udp 1040 16123 1232bps 1216bps 2 2 udp 1040 16124 0bps 608bps 0 1 udp 1040 16242 6.2kbps 5.7kbps 5 5 udp 1040 16245 3.6kbps 3.3kbps 1 1 udp 1040 16261 16.9kbps 17.1kbps 28 29 udp 2530 1990 1616bps 544bps 2 1 udp 3544 57848 0bps 720bps 0 1 udp 5614 53 (dns) 0bps 512bps 0 1 udp 6881 1990 0bps 384bps 0 1 udp 7961 53 (dns) 0bps 4.0kbps 0 8 udp 9876 1990 2.6kbps 544bps 3 1 udp 10799 1990 1032bps 2.5kbps 1 1 udp 12267 1990 1032bps 2.5kbps 1 1 udp 12455 11888 38.5kbps 1536bps 6 4 udp 12588 53 (dns) 0bps 0bps 0 0 udp 13876 53 (dns) 0bps 7.6kbps 0 15 udp 13933 53 (dns) 0bps 512bps 0 1 udp 14611 1990 1032bps 0bps 1 0 udp 16680 53 (dns) 0bps 512bps 0 1 udp 17173 53 (dns) 0bps 512bps 0 1 udp 18057 1990 1032bps 0bps 1 0 udp 18406 53 (dns) 0bps 0bps 0 0 udp 19341 53 (dns) 0bps 512bps 0 1 udp 19848 1990 1032bps 0bps 1 0 udp 23573 1990 1032bps 0bps 1 0 udp 26066 53 (dns) 0bps 7.6kbps 0 15 udp 27097 53 (dns) 0bps 2.8kbps 0 5 udp 28896 53 (dns) 0bps 512bps 0 1 udp 29217 1990 0bps 2.5kbps 0 1 udp 29408 1990 3.6kbps 3.6kbps 2 2 udp 29433 1990 0bps 1032bps 0 1 udp 29753 53 (dns) 0bps 7.6kbps 0 15 udp 30605 53 (dns) 0bps 6.1kbps 0 12 udp 34441 53 (dns) 0bps 0bps 0 0 udp 35703 1990 1032bps 0bps 1 0 udp 35908 1990 0bps 2.5kbps 0 1 udp 36958 53 (dns) 0bps 7.6kbps 0 15 udp 40643 1990 0bps 2.5kbps 0 1 udp 43603 53 (dns) 0bps 512bps 0 1 udp 44589 1990 0bps 2.5kbps 0 1 udp 45588 1990 1032bps 0bps 1 0 udp 48117 53 (dns) 0bps 7.6kbps 0 15 udp 48253 53 (dns) 0bps 7.6kbps 0 15 udp 49001 1990 0bps 0bps 0 0 313.4kbps 295.8kbps 155 288 PS. В правилах файрвола есть куча правил netmap. Могут они давать такой эффект? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Samgabial Опубликовано 6 мая, 2015 · Жалоба Из данных torch видно, что dns-запросы к микроту снаружи продолжаются, хотя drop-правила в файрволе по порту 53 висят в самом верху. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 мая, 2015 · Жалоба У вас странные правила, если в конце все блокируете, то зачем отдельные правила? Поставьте разрешающие вверх, а после них дроп всего. Лишние удалив. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Samgabial Опубликовано 7 мая, 2015 · Жалоба Saab95, спасибо за подсказку, правила причесал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...