Jump to content
Калькуляторы

Защита микротика

В очередной раз доброго времени суток добрым людям)) Сменился у нас значит вышестоящий провайдер и пришли проблемы. Начали ддосить нашу сеть, сервер на микротике, подскажите как защититься от не прошенных гостей?

Share this post


Link to post
Share on other sites

А закрыть порты из вне? и в инете куча примеров настройки от ддоса. В правилах фаервола блокируйте входящий трафик(если у вас конечно шары в сеть нету). Проброс портов если имеется уводите на нестандартные порты. Ну в общем и все. Если такие вопросы задаете, в большей мере мануалы курите и вообще принципы сетевой безопастности

Share this post


Link to post
Share on other sites

Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса.

Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками.

Share this post


Link to post
Share on other sites

Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса.

Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками.

А лучше на каждый поток по микротику.

Share this post


Link to post
Share on other sites

А закрыть порты из вне? и в инете куча примеров настройки от ддоса. В правилах фаервола блокируйте входящий трафик(если у вас конечно шары в сеть нету). Проброс портов если имеется уводите на нестандартные порты. Ну в общем и все. Если такие вопросы задаете, в большей мере мануалы курите и вообще принципы сетевой безопастности

Примеров куча - согласен, а вот, что из этой кучи действительно работает - это вопрос. Потому тут и спрашиваю, как лучше сделать.

Share this post


Link to post
Share on other sites

Мне такая рекомендация понравилась:

Важный момент работы служб Mikrotik. Из за большого колличества скан-ботов в интернете и постоянного подбора паролей, службы управления Mikrotik (кроме winbox) могут зависать что весьма не желательно для работы.

 

Рекомендуется разрешить полный доступ для ваших IP (биллинг и другие узлы) в первых правилах цепочки input. И следом за ним сделать DROP на портах TCP 21,22,23,8728 для всех хостов. Ниже пример подобной настройки.

 

mikrotik-ip-firewall-filter.jpg

 

Я бы еще 53 порт добавил.

Share this post


Link to post
Share on other sites

все что вам написали выше забудте ибо бредовее заяв не слышал.

 

ддос бывает 2 типов основных, это ддос большим потоком трафика или ддос небольшим трафиком, но большим потоком пакетов

 

пишите любые фильтра, но в 1 случае вам забьют входящий канал, а во 2 микротик все равно будет обрабатывать трафик и проц станет в полку

 

защита это широкий канал, мощная железка или тупая смена адреса, все больше решений нет

 

фильтра нужны только для того чтоб к вам не ломились на службы и тд,

Share this post


Link to post
Share on other sites

Надо просто все службы запретить со стороны интернета и не заморачиваться, если хотите что-то блокировать, то порты в микротике можно через запятую указывать, а не создавать десяток правил с блокировкой по одному порту.

Share this post


Link to post
Share on other sites

Надо просто все службы запретить со стороны интернета и не заморачиваться, если хотите что-то блокировать, то порты в микротике можно через запятую указывать, а не создавать десяток правил с блокировкой по одному порту.

 

 

 

Не подскажите как запретить со стороны интернета?

 

Полагаю так?

 

set ssh address=192.168.13.0/24

 

Share this post


Link to post
Share on other sites

Надо просто все службы запретить со стороны интернета и не заморачиваться

 

 

ты как всегда, главное взбнуть и не важно по теме или нет

 

вот кусок ддос который я словил на прошлой неделе на один из интов и так порядка 250кппс, свой адрес заменил на 8,8,8,8 для наглядности

и как от него защититься?????

 

19:49:15.386271 IP 192.135.178.114.9309 > 8.8.8.8.0: Flags [none], seq 529887311:529887312, win 512, length 1

19:49:15.386274 IP 146.126.248.105.1176 > 8.8.8.8.0: Flags [none], seq 1419029135:1419029136, win 512, length 1

19:49:15.386277 IP 204.56.239.112.skkserv > 8.8.8.8.0: Flags [none], seq 1761383465:1761383466, win 512, length 1

19:49:15.386280 IP 221.139.82.125.9310 > 8.8.8.8.0: Flags [none], seq 104918232:104918233, win 512, length 1

19:49:15.386284 IP 149.248.85.168.1180 > 8.8.8.8.0: Flags [none], seq 956538089:956538090, win 512, length 1

19:49:15.386288 IP 155.200.255.26.1181 > 8.8.8.8.0: Flags [none], seq 1748552:1748553, win 512, length 1

19:49:15.386293 IP 22.40.164.113.1182 > 8.8.8.8.0: Flags [none], seq 1370726384:1370726385, win 512, length 1

19:49:15.386295 IP 227.100.167.136.1183 > 8.8.8.8.0: Flags [none], seq 550307610:550307611, win 512, length 1

19:49:15.386298 IP 192.40.142.137.9313 > 8.8.8.8.0: Flags [none], seq 1456274438:1456274439, win 512, length 1

19:49:15.386299 IP 147.89.224.215.1184 > 8.8.8.8.0: Flags [none], seq 1251166037:1251166038, win 512, length 1

 

 

только погашение интерфейса спасло

Share this post


Link to post
Share on other sites

только погашение интерфейса спасло

 

Так надо отправить этот трафик обратно отправителям и нет проблем, исходящая полоса ведь остается свободна?

 

Полагаю так?

set ssh address=192.168.13.0/24

 

Да, только можно указать 192.168.0.0/16. На всю серую сеть.

Share this post


Link to post
Share on other sites

Так надо отправить этот трафик обратно отправителям и нет проблем, исходящая полоса ведь остается свободна?

 

ты идиот? там в соурс весь инет это раз, а во вторых МТ при 250кррs уже плоховато а ты предлагаешь еще 250 kpps сгенерить......

 

 

ну то что ничего толкового не скажешь и так было понятно, простой продаван далекий от реалий в реальной сети

Share this post


Link to post
Share on other sites

там в соурс весь инет это раз, а во вторых МТ при 250кррs уже плоховато а ты предлагаешь еще 250 kpps сгенерить......

 

А как иначе? Ставите второй микротик, если основной не справляется. Учитывая то, что часть атак может идти с роутеров, часть с ПК, если на ПК придут запросы с какого-то адреса интернета, то при наличии файрвола, у пользователя может вылезти запрос на блокировку указанного узла, т.к. он осуществляет атаку, часто, при такой ситуации, блокируется и передача на этот узел. Хотя бы малую часть запросов можно будет убрать.

Share this post


Link to post
Share on other sites

Ставите второй микротик, если основной не справляется.

ты в своем репертуаре...

 

да хоть 10 ставь клод 36 ядерный задирает все 36 ядер в полку если на него именно валиться, если сквозь то немного полегче, но если попытаетесь что то делать страфиком так же умирает от слова совершенно

Share this post


Link to post
Share on other sites

Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса.

Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками.

У нас так и реализовано, как выяснилось. А какой командой фильтровать/мониторить ддос-атаку?

Share this post


Link to post
Share on other sites

На внешнем интерфейсе нажимаете Torch, включаете все галочки и смотрите - если идут данные, а ответов на них от вашего роутера нет - это и есть флуд извне. Фильтровать это нельзя, т.к. по сети провайдера данные уже доставлены.

Если нужно фильтровать, то в разрыв ставят еще один микротик, на котором и производится блокировка.

Share this post


Link to post
Share on other sites

На внешнем интерфейсе нажимаете Torch, включаете все галочки и смотрите - если идут данные, а ответов на них от вашего роутера нет - это и есть флуд извне. Фильтровать это нельзя, т.к. по сети провайдера данные уже доставлены.

Если нужно фильтровать, то в разрыв ставят еще один микротик, на котором и производится блокировка.

Т.е команд то никаих нет?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.