fizik051 Опубликовано 9 сентября, 2015 (изменено) · Жалоба Добрый день! Столкнулся со следующей проблемой. В организации сильно тормозил Интернет. Провайдер утверждает что канал сильно забит. Подключился к роутеру и увидел следующее. Файл во вложении. От микротика все отключено, при этом он продолжает генерировать трафик на передачу TX. Снифер показывает китайские IP адреса. Кто-нибудь сталкивался с такой проблемой? P.S. На картинке закрыт ip адреса внешнего интерфейса микротика. Заранее спасибо за помощью Изменено 9 сентября, 2015 пользователем fizik051 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saiko Опубликовано 9 сентября, 2015 · Жалоба Для начала закройте 53 порт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
unuser Опубликовано 9 сентября, 2015 · Жалоба а еще в IP > DNS уберите галочку с Allow Remote Requests Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 9 сентября, 2015 · Жалоба уберите галочку с Allow Remote Requests Если порт закроет - необязательно, и кэш останется в работе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 сентября, 2015 · Жалоба Заранее спасибо за помощью В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fizik051 Опубликовано 10 сентября, 2015 · Жалоба Заранее спасибо за помощью В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Скрин во вложении Для начала закройте 53 порт Закрыть входящий? Просто у меня именно исходящий трафик кладет канал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fizik051 Опубликовано 10 сентября, 2015 · Жалоба Более подробный скрин Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fizik051 Опубликовано 10 сентября, 2015 · Жалоба Закрыл DNS, ничего не изменилось Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 10 сентября, 2015 · Жалоба Закрыл DNS Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fizik051 Опубликовано 10 сентября, 2015 · Жалоба Закрыл DNS Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Закрыл, трафик сразу пропал. Из-за чего такая проблема получается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 10 сентября, 2015 · Жалоба https://www.google.com/search?q=mikrotik+dns+flood Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fizik051 Опубликовано 10 сентября, 2015 · Жалоба Всем спасибо. Помогли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fizik051 Опубликовано 10 сентября, 2015 · Жалоба Все равно немного не понимаю механизм этой атаки. У меня же в полку бьется исходящий трафик, а не входящий. А в данном случае получается мы закрыли входящий DNS трафик. При этом роутер перестал генерировать бесполезный трафик. Я так понимаю он учавствовал в DDos атаке. Буду признателен если поясните как это работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 10 сентября, 2015 · Жалоба Все равно немного не понимаю механизм этой атаки. https://www.google.com/search?q=mikrotik+dns+flood Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 10 сентября, 2015 · Жалоба Все равно немного не понимаю механизм этой атаки. https://www.google.com/search?q=dns+amplification Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fizik051 Опубликовано 10 сентября, 2015 · Жалоба Разобрался. Еще раз всем спасибо. Первый раз столкнулся с реальными атаками, до этого мне всегда казалось это абстрактной темой, где-то далеко. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...