fizik051 Posted September 9, 2015 (edited) Добрый день! Столкнулся со следующей проблемой. В организации сильно тормозил Интернет. Провайдер утверждает что канал сильно забит. Подключился к роутеру и увидел следующее. Файл во вложении. От микротика все отключено, при этом он продолжает генерировать трафик на передачу TX. Снифер показывает китайские IP адреса. Кто-нибудь сталкивался с такой проблемой? P.S. На картинке закрыт ip адреса внешнего интерфейса микротика. Заранее спасибо за помощью Edited September 9, 2015 by fizik051 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saiko Posted September 9, 2015 Для начала закройте 53 порт Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
unuser Posted September 9, 2015 а еще в IP > DNS уберите галочку с Allow Remote Requests Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted September 9, 2015 уберите галочку с Allow Remote Requests Если порт закроет - необязательно, и кэш останется в работе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 9, 2015 Заранее спасибо за помощью В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Заранее спасибо за помощью В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Скрин во вложении Для начала закройте 53 порт Закрыть входящий? Просто у меня именно исходящий трафик кладет канал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Более подробный скрин Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Закрыл DNS, ничего не изменилось Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted September 10, 2015 Закрыл DNS Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Закрыл DNS Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Закрыл, трафик сразу пропал. Из-за чего такая проблема получается? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted September 10, 2015 https://www.google.com/search?q=mikrotik+dns+flood Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Всем спасибо. Помогли. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Все равно немного не понимаю механизм этой атаки. У меня же в полку бьется исходящий трафик, а не входящий. А в данном случае получается мы закрыли входящий DNS трафик. При этом роутер перестал генерировать бесполезный трафик. Я так понимаю он учавствовал в DDos атаке. Буду признателен если поясните как это работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted September 10, 2015 Все равно немного не понимаю механизм этой атаки. https://www.google.com/search?q=mikrotik+dns+flood Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted September 10, 2015 Все равно немного не понимаю механизм этой атаки. https://www.google.com/search?q=dns+amplification Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Разобрался. Еще раз всем спасибо. Первый раз столкнулся с реальными атаками, до этого мне всегда казалось это абстрактной темой, где-то далеко. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...