fizik051 Posted September 9, 2015 (edited) Добрый день! Столкнулся со следующей проблемой. В организации сильно тормозил Интернет. Провайдер утверждает что канал сильно забит. Подключился к роутеру и увидел следующее. Файл во вложении. От микротика все отключено, при этом он продолжает генерировать трафик на передачу TX. Снифер показывает китайские IP адреса. Кто-нибудь сталкивался с такой проблемой? P.S. На картинке закрыт ip адреса внешнего интерфейса микротика. Заранее спасибо за помощью Edited September 9, 2015 by fizik051 Share this post Link to post Share on other sites More sharing options...
Saiko Posted September 9, 2015 Для начала закройте 53 порт Share this post Link to post Share on other sites More sharing options...
unuser Posted September 9, 2015 а еще в IP > DNS уберите галочку с Allow Remote Requests Share this post Link to post Share on other sites More sharing options...
DRiVen Posted September 9, 2015 уберите галочку с Allow Remote Requests Если порт закроет - необязательно, и кэш останется в работе. Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 9, 2015 Заранее спасибо за помощью В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Заранее спасибо за помощью В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Скрин во вложении Для начала закройте 53 порт Закрыть входящий? Просто у меня именно исходящий трафик кладет канал. Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Более подробный скрин Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Закрыл DNS, ничего не изменилось Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted September 10, 2015 Закрыл DNS Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Закрыл DNS Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Закрыл, трафик сразу пропал. Из-за чего такая проблема получается? Share this post Link to post Share on other sites More sharing options...
pppoetest Posted September 10, 2015 https://www.google.com/search?q=mikrotik+dns+flood Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Всем спасибо. Помогли. Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Все равно немного не понимаю механизм этой атаки. У меня же в полку бьется исходящий трафик, а не входящий. А в данном случае получается мы закрыли входящий DNS трафик. При этом роутер перестал генерировать бесполезный трафик. Я так понимаю он учавствовал в DDos атаке. Буду признателен если поясните как это работает. Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted September 10, 2015 Все равно немного не понимаю механизм этой атаки. https://www.google.com/search?q=mikrotik+dns+flood Share this post Link to post Share on other sites More sharing options...
pppoetest Posted September 10, 2015 Все равно немного не понимаю механизм этой атаки. https://www.google.com/search?q=dns+amplification Share this post Link to post Share on other sites More sharing options...
fizik051 Posted September 10, 2015 Разобрался. Еще раз всем спасибо. Первый раз столкнулся с реальными атаками, до этого мне всегда казалось это абстрактной темой, где-то далеко. Share this post Link to post Share on other sites More sharing options...
