fizik051 Posted September 9, 2015 (edited) · Report post Добрый день! Столкнулся со следующей проблемой. В организации сильно тормозил Интернет. Провайдер утверждает что канал сильно забит. Подключился к роутеру и увидел следующее. Файл во вложении. От микротика все отключено, при этом он продолжает генерировать трафик на передачу TX. Снифер показывает китайские IP адреса. Кто-нибудь сталкивался с такой проблемой? P.S. На картинке закрыт ip адреса внешнего интерфейса микротика. Заранее спасибо за помощью Edited September 9, 2015 by fizik051 Share this post Link to post Share on other sites
Saiko Posted September 9, 2015 · Report post Для начала закройте 53 порт Share this post Link to post Share on other sites
unuser Posted September 9, 2015 · Report post а еще в IP > DNS уберите галочку с Allow Remote Requests Share this post Link to post Share on other sites
DRiVen Posted September 9, 2015 · Report post уберите галочку с Allow Remote Requests Если порт закроет - необязательно, и кэш останется в работе. Share this post Link to post Share on other sites
Saab95 Posted September 9, 2015 · Report post Заранее спасибо за помощью В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Share this post Link to post Share on other sites
fizik051 Posted September 10, 2015 · Report post Заранее спасибо за помощью В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Скрин во вложении Для начала закройте 53 порт Закрыть входящий? Просто у меня именно исходящий трафик кладет канал. Share this post Link to post Share on other sites
fizik051 Posted September 10, 2015 · Report post Более подробный скрин Share this post Link to post Share on other sites
fizik051 Posted September 10, 2015 · Report post Закрыл DNS, ничего не изменилось Share this post Link to post Share on other sites
kosmich7 Posted September 10, 2015 · Report post Закрыл DNS Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Share this post Link to post Share on other sites
fizik051 Posted September 10, 2015 · Report post Закрыл DNS Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Закрыл, трафик сразу пропал. Из-за чего такая проблема получается? Share this post Link to post Share on other sites
pppoetest Posted September 10, 2015 · Report post https://www.google.com/search?q=mikrotik+dns+flood Share this post Link to post Share on other sites
fizik051 Posted September 10, 2015 · Report post Всем спасибо. Помогли. Share this post Link to post Share on other sites
fizik051 Posted September 10, 2015 · Report post Все равно немного не понимаю механизм этой атаки. У меня же в полку бьется исходящий трафик, а не входящий. А в данном случае получается мы закрыли входящий DNS трафик. При этом роутер перестал генерировать бесполезный трафик. Я так понимаю он учавствовал в DDos атаке. Буду признателен если поясните как это работает. Share this post Link to post Share on other sites
kosmich7 Posted September 10, 2015 · Report post Все равно немного не понимаю механизм этой атаки. https://www.google.com/search?q=mikrotik+dns+flood Share this post Link to post Share on other sites
pppoetest Posted September 10, 2015 · Report post Все равно немного не понимаю механизм этой атаки. https://www.google.com/search?q=dns+amplification Share this post Link to post Share on other sites
fizik051 Posted September 10, 2015 · Report post Разобрался. Еще раз всем спасибо. Первый раз столкнулся с реальными атаками, до этого мне всегда казалось это абстрактной темой, где-то далеко. Share this post Link to post Share on other sites