Jump to content
Калькуляторы

Mikrotik взломали? Mikrotik генерирует непонятный трафик

Добрый день! Столкнулся со следующей проблемой.

В организации сильно тормозил Интернет. Провайдер утверждает что канал сильно забит. Подключился к роутеру и увидел следующее. Файл во вложении.

От микротика все отключено, при этом он продолжает генерировать трафик на передачу TX. Снифер показывает китайские IP адреса. Кто-нибудь сталкивался с такой проблемой?

P.S. На картинке закрыт ip адреса внешнего интерфейса микротика.

 

Заранее спасибо за помощью

post-93246-066999500 1441808050_thumb.jpg

Edited by fizik051

Share this post


Link to post
Share on other sites

Заранее спасибо за помощью

 

В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать.

Share this post


Link to post
Share on other sites

Заранее спасибо за помощью

 

В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать.

 

Скрин во вложении

 

Для начала закройте 53 порт

Закрыть входящий? Просто у меня именно исходящий трафик кладет канал.

post-93246-083964100 1441861140_thumb.jpg

Share this post


Link to post
Share on other sites

Закрыл DNS

Покажи каким правилом закрыл ? Скрины говорят порт открыт !

Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера.

nslookup mail.ru 8.8.8.8

 

Правило блокировки выглядит так ?

add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp

Share this post


Link to post
Share on other sites

Закрыл DNS

Покажи каким правилом закрыл ? Скрины говорят порт открыт !

Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера.

nslookup mail.ru 8.8.8.8

 

Правило блокировки выглядит так ?

add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp

Закрыл, трафик сразу пропал. Из-за чего такая проблема получается?

Share this post


Link to post
Share on other sites

Все равно немного не понимаю механизм этой атаки. У меня же в полку бьется исходящий трафик, а не входящий. А в данном случае получается мы закрыли входящий DNS трафик. При этом роутер перестал генерировать бесполезный трафик. Я так понимаю он учавствовал в DDos атаке.

Буду признателен если поясните как это работает.

Share this post


Link to post
Share on other sites

Разобрался. Еще раз всем спасибо.

Первый раз столкнулся с реальными атаками, до этого мне всегда казалось это абстрактной темой, где-то далеко.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.