Перейти к содержимому
Калькуляторы

Mikrotik взломали? Mikrotik генерирует непонятный трафик

Добрый день! Столкнулся со следующей проблемой.

В организации сильно тормозил Интернет. Провайдер утверждает что канал сильно забит. Подключился к роутеру и увидел следующее. Файл во вложении.

От микротика все отключено, при этом он продолжает генерировать трафик на передачу TX. Снифер показывает китайские IP адреса. Кто-нибудь сталкивался с такой проблемой?

P.S. На картинке закрыт ip адреса внешнего интерфейса микротика.

 

Заранее спасибо за помощью

post-93246-066999500 1441808050_thumb.jpg

Изменено пользователем fizik051

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала закройте 53 порт

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а еще в IP > DNS уберите галочку с Allow Remote Requests

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

уберите галочку с Allow Remote Requests

 

Если порт закроет - необязательно, и кэш останется в работе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Заранее спасибо за помощью

 

В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Заранее спасибо за помощью

 

В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать.

 

Скрин во вложении

 

Для начала закройте 53 порт

Закрыть входящий? Просто у меня именно исходящий трафик кладет канал.

post-93246-083964100 1441861140_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Закрыл DNS

Покажи каким правилом закрыл ? Скрины говорят порт открыт !

Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера.

nslookup mail.ru 8.8.8.8

 

Правило блокировки выглядит так ?

add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Закрыл DNS

Покажи каким правилом закрыл ? Скрины говорят порт открыт !

Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера.

nslookup mail.ru 8.8.8.8

 

Правило блокировки выглядит так ?

add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp

Закрыл, трафик сразу пропал. Из-за чего такая проблема получается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все равно немного не понимаю механизм этой атаки. У меня же в полку бьется исходящий трафик, а не входящий. А в данном случае получается мы закрыли входящий DNS трафик. При этом роутер перестал генерировать бесполезный трафик. Я так понимаю он учавствовал в DDos атаке.

Буду признателен если поясните как это работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все равно немного не понимаю механизм этой атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все равно немного не понимаю механизм этой атаки.

https://www.google.com/search?q=dns+amplification

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разобрался. Еще раз всем спасибо.

Первый раз столкнулся с реальными атаками, до этого мне всегда казалось это абстрактной темой, где-то далеко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.