Антоха Р. Posted October 21, 2015 В очередной раз доброго времени суток добрым людям)) Сменился у нас значит вышестоящий провайдер и пришли проблемы. Начали ддосить нашу сеть, сервер на микротике, подскажите как защититься от не прошенных гостей? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garikus Posted October 21, 2015 А закрыть порты из вне? и в инете куча примеров настройки от ддоса. В правилах фаервола блокируйте входящий трафик(если у вас конечно шары в сеть нету). Проброс портов если имеется уводите на нестандартные порты. Ну в общем и все. Если такие вопросы задаете, в большей мере мануалы курите и вообще принципы сетевой безопастности Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 22, 2015 Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса. Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted October 22, 2015 Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса. Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками. А лучше на каждый поток по микротику. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Антоха Р. Posted October 25, 2015 А закрыть порты из вне? и в инете куча примеров настройки от ддоса. В правилах фаервола блокируйте входящий трафик(если у вас конечно шары в сеть нету). Проброс портов если имеется уводите на нестандартные порты. Ну в общем и все. Если такие вопросы задаете, в большей мере мануалы курите и вообще принципы сетевой безопастности Примеров куча - согласен, а вот, что из этой кучи действительно работает - это вопрос. Потому тут и спрашиваю, как лучше сделать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Realwizard Posted October 26, 2015 Для начала посмотрите эту ссылку. Инфа старая, но актуальности не потеряля. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted October 26, 2015 Мне такая рекомендация понравилась: Важный момент работы служб Mikrotik. Из за большого колличества скан-ботов в интернете и постоянного подбора паролей, службы управления Mikrotik (кроме winbox) могут зависать что весьма не желательно для работы. Рекомендуется разрешить полный доступ для ваших IP (биллинг и другие узлы) в первых правилах цепочки input. И следом за ним сделать DROP на портах TCP 21,22,23,8728 для всех хостов. Ниже пример подобной настройки. Я бы еще 53 порт добавил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted October 27, 2015 все что вам написали выше забудте ибо бредовее заяв не слышал. ддос бывает 2 типов основных, это ддос большим потоком трафика или ддос небольшим трафиком, но большим потоком пакетов пишите любые фильтра, но в 1 случае вам забьют входящий канал, а во 2 микротик все равно будет обрабатывать трафик и проц станет в полку защита это широкий канал, мощная железка или тупая смена адреса, все больше решений нет фильтра нужны только для того чтоб к вам не ломились на службы и тд, Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 27, 2015 Надо просто все службы запретить со стороны интернета и не заморачиваться, если хотите что-то блокировать, то порты в микротике можно через запятую указывать, а не создавать десяток правил с блокировкой по одному порту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted October 27, 2015 Надо просто все службы запретить со стороны интернета и не заморачиваться, если хотите что-то блокировать, то порты в микротике можно через запятую указывать, а не создавать десяток правил с блокировкой по одному порту. Не подскажите как запретить со стороны интернета? Полагаю так? set ssh address=192.168.13.0/24 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted October 27, 2015 Надо просто все службы запретить со стороны интернета и не заморачиваться ты как всегда, главное взбнуть и не важно по теме или нет вот кусок ддос который я словил на прошлой неделе на один из интов и так порядка 250кппс, свой адрес заменил на 8,8,8,8 для наглядности и как от него защититься????? 19:49:15.386271 IP 192.135.178.114.9309 > 8.8.8.8.0: Flags [none], seq 529887311:529887312, win 512, length 1 19:49:15.386274 IP 146.126.248.105.1176 > 8.8.8.8.0: Flags [none], seq 1419029135:1419029136, win 512, length 1 19:49:15.386277 IP 204.56.239.112.skkserv > 8.8.8.8.0: Flags [none], seq 1761383465:1761383466, win 512, length 1 19:49:15.386280 IP 221.139.82.125.9310 > 8.8.8.8.0: Flags [none], seq 104918232:104918233, win 512, length 1 19:49:15.386284 IP 149.248.85.168.1180 > 8.8.8.8.0: Flags [none], seq 956538089:956538090, win 512, length 1 19:49:15.386288 IP 155.200.255.26.1181 > 8.8.8.8.0: Flags [none], seq 1748552:1748553, win 512, length 1 19:49:15.386293 IP 22.40.164.113.1182 > 8.8.8.8.0: Flags [none], seq 1370726384:1370726385, win 512, length 1 19:49:15.386295 IP 227.100.167.136.1183 > 8.8.8.8.0: Flags [none], seq 550307610:550307611, win 512, length 1 19:49:15.386298 IP 192.40.142.137.9313 > 8.8.8.8.0: Flags [none], seq 1456274438:1456274439, win 512, length 1 19:49:15.386299 IP 147.89.224.215.1184 > 8.8.8.8.0: Flags [none], seq 1251166037:1251166038, win 512, length 1 только погашение интерфейса спасло Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 27, 2015 только погашение интерфейса спасло Так надо отправить этот трафик обратно отправителям и нет проблем, исходящая полоса ведь остается свободна? Полагаю так? set ssh address=192.168.13.0/24 Да, только можно указать 192.168.0.0/16. На всю серую сеть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted October 27, 2015 Так надо отправить этот трафик обратно отправителям и нет проблем, исходящая полоса ведь остается свободна? ты идиот? там в соурс весь инет это раз, а во вторых МТ при 250кррs уже плоховато а ты предлагаешь еще 250 kpps сгенерить...... ну то что ничего толкового не скажешь и так было понятно, простой продаван далекий от реалий в реальной сети Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted October 28, 2015 указать 192.168.0.0/16 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 28, 2015 там в соурс весь инет это раз, а во вторых МТ при 250кррs уже плоховато а ты предлагаешь еще 250 kpps сгенерить...... А как иначе? Ставите второй микротик, если основной не справляется. Учитывая то, что часть атак может идти с роутеров, часть с ПК, если на ПК придут запросы с какого-то адреса интернета, то при наличии файрвола, у пользователя может вылезти запрос на блокировку указанного узла, т.к. он осуществляет атаку, часто, при такой ситуации, блокируется и передача на этот узел. Хотя бы малую часть запросов можно будет убрать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted October 28, 2015 Ставите второй микротик, если основной не справляется. ты в своем репертуаре... да хоть 10 ставь клод 36 ядерный задирает все 36 ядер в полку если на него именно валиться, если сквозь то немного полегче, но если попытаетесь что то делать страфиком так же умирает от слова совершенно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Антоха Р. Posted November 13, 2015 Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса. Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками. У нас так и реализовано, как выяснилось. А какой командой фильтровать/мониторить ддос-атаку? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 13, 2015 На внешнем интерфейсе нажимаете Torch, включаете все галочки и смотрите - если идут данные, а ответов на них от вашего роутера нет - это и есть флуд извне. Фильтровать это нельзя, т.к. по сети провайдера данные уже доставлены. Если нужно фильтровать, то в разрыв ставят еще один микротик, на котором и производится блокировка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Антоха Р. Posted November 18, 2015 На внешнем интерфейсе нажимаете Torch, включаете все галочки и смотрите - если идут данные, а ответов на них от вашего роутера нет - это и есть флуд извне. Фильтровать это нельзя, т.к. по сети провайдера данные уже доставлены. Если нужно фильтровать, то в разрыв ставят еще один микротик, на котором и производится блокировка. Т.е команд то никаих нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...