Jump to content
Калькуляторы

Mikrotik взломали? Mikrotik генерирует непонятный трафик

Добрый день! Столкнулся со следующей проблемой.

В организации сильно тормозил Интернет. Провайдер утверждает что канал сильно забит. Подключился к роутеру и увидел следующее. Файл во вложении.

От микротика все отключено, при этом он продолжает генерировать трафик на передачу TX. Снифер показывает китайские IP адреса. Кто-нибудь сталкивался с такой проблемой?

P.S. На картинке закрыт ip адреса внешнего интерфейса микротика.

 

Заранее спасибо за помощью

post-93246-066999500 1441808050_thumb.jpg

Edited by fizik051

Share this post


Link to post
Share on other sites

Для начала закройте 53 порт

Share this post


Link to post
Share on other sites

а еще в IP > DNS уберите галочку с Allow Remote Requests

Share this post


Link to post
Share on other sites

уберите галочку с Allow Remote Requests

 

Если порт закроет - необязательно, и кэш останется в работе.

Share this post


Link to post
Share on other sites

Заранее спасибо за помощью

 

В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать.

Share this post


Link to post
Share on other sites

Заранее спасибо за помощью

 

В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать.

 

Скрин во вложении

 

Для начала закройте 53 порт

Закрыть входящий? Просто у меня именно исходящий трафик кладет канал.

post-93246-083964100 1441861140_thumb.jpg

Share this post


Link to post
Share on other sites

Закрыл DNS

Покажи каким правилом закрыл ? Скрины говорят порт открыт !

Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера.

nslookup mail.ru 8.8.8.8

 

Правило блокировки выглядит так ?

add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp

Share this post


Link to post
Share on other sites

Закрыл DNS

Покажи каким правилом закрыл ? Скрины говорят порт открыт !

Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера.

nslookup mail.ru 8.8.8.8

 

Правило блокировки выглядит так ?

add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp

Закрыл, трафик сразу пропал. Из-за чего такая проблема получается?

Share this post


Link to post
Share on other sites

Все равно немного не понимаю механизм этой атаки. У меня же в полку бьется исходящий трафик, а не входящий. А в данном случае получается мы закрыли входящий DNS трафик. При этом роутер перестал генерировать бесполезный трафик. Я так понимаю он учавствовал в DDos атаке.

Буду признателен если поясните как это работает.

Share this post


Link to post
Share on other sites

Разобрался. Еще раз всем спасибо.

Первый раз столкнулся с реальными атаками, до этого мне всегда казалось это абстрактной темой, где-то далеко.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this