[Антоха Р.]

В очередной раз доброго времени суток добрым людям)) Сменился у нас значит вышестоящий провайдер и пришли проблемы. Начали ддосить нашу сеть, сервер на микротике, подскажите как защититься от не прошенных гостей?

[garikus]

А закрыть порты из вне? и в инете куча примеров настройки от ддоса. В правилах фаервола блокируйте входящий трафик(если у вас конечно шары в сеть нету). Проброс портов если имеется уводите на нестандартные порты. Ну в общем и все. Если такие вопросы задаете, в большей мере мануалы курите и вообще принципы сетевой безопастности

[Saab95]

Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса.

Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками.

[dronis3]

Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса.

Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками.

А лучше на каждый поток по микротику.

[Антоха Р.]

А закрыть порты из вне? и в инете куча примеров настройки от ддоса. В правилах фаервола блокируйте входящий трафик(если у вас конечно шары в сеть нету). Проброс портов если имеется уводите на нестандартные порты. Ну в общем и все. Если такие вопросы задаете, в большей мере мануалы курите и вообще принципы сетевой безопастности

Примеров куча - согласен, а вот, что из этой кучи действительно работает - это вопрос. Потому тут и спрашиваю, как лучше сделать.

[Realwizard]

Для начала посмотрите эту ссылку. Инфа старая, но актуальности не потеряля.

[divxl]

Мне такая рекомендация понравилась:

Важный момент работы служб Mikrotik. Из за большого колличества скан-ботов в интернете и постоянного подбора паролей, службы управления Mikrotik (кроме winbox) могут зависать что весьма не желательно для работы.

 

Рекомендуется разрешить полный доступ для ваших IP (биллинг и другие узлы) в первых правилах цепочки input. И следом за ним сделать DROP на портах TCP 21,22,23,8728 для всех хостов. Ниже пример подобной настройки.

 

 

Я бы еще 53 порт добавил.

[Constantin]

все что вам написали выше забудте ибо бредовее заяв не слышал.

 

ддос бывает 2 типов основных, это ддос большим потоком трафика или ддос небольшим трафиком, но большим потоком пакетов

 

пишите любые фильтра, но в 1 случае вам забьют входящий канал, а во 2 микротик все равно будет обрабатывать трафик и проц станет в полку

 

защита это широкий канал, мощная железка или тупая смена адреса, все больше решений нет

 

фильтра нужны только для того чтоб к вам не ломились на службы и тд,

[Saab95]

Надо просто все службы запретить со стороны интернета и не заморачиваться, если хотите что-то блокировать, то порты в микротике можно через запятую указывать, а не создавать десяток правил с блокировкой по одному порту.

[divxl]

Надо просто все службы запретить со стороны интернета и не заморачиваться, если хотите что-то блокировать, то порты в микротике можно через запятую указывать, а не создавать десяток правил с блокировкой по одному порту.

 

 

 

Не подскажите как запретить со стороны интернета?

 

Полагаю так?

 

set ssh address=192.168.13.0/24

 

[Constantin]

Надо просто все службы запретить со стороны интернета и не заморачиваться

 

 

ты как всегда, главное взбнуть и не важно по теме или нет

 

вот кусок ддос который я словил на прошлой неделе на один из интов и так порядка 250кппс, свой адрес заменил на 8,8,8,8 для наглядности

и как от него защититься?????

 

19:49:15.386271 IP 192.135.178.114.9309 > 8.8.8.8.0: Flags [none], seq 529887311:529887312, win 512, length 1

19:49:15.386274 IP 146.126.248.105.1176 > 8.8.8.8.0: Flags [none], seq 1419029135:1419029136, win 512, length 1

19:49:15.386277 IP 204.56.239.112.skkserv > 8.8.8.8.0: Flags [none], seq 1761383465:1761383466, win 512, length 1

19:49:15.386280 IP 221.139.82.125.9310 > 8.8.8.8.0: Flags [none], seq 104918232:104918233, win 512, length 1

19:49:15.386284 IP 149.248.85.168.1180 > 8.8.8.8.0: Flags [none], seq 956538089:956538090, win 512, length 1

19:49:15.386288 IP 155.200.255.26.1181 > 8.8.8.8.0: Flags [none], seq 1748552:1748553, win 512, length 1

19:49:15.386293 IP 22.40.164.113.1182 > 8.8.8.8.0: Flags [none], seq 1370726384:1370726385, win 512, length 1

19:49:15.386295 IP 227.100.167.136.1183 > 8.8.8.8.0: Flags [none], seq 550307610:550307611, win 512, length 1

19:49:15.386298 IP 192.40.142.137.9313 > 8.8.8.8.0: Flags [none], seq 1456274438:1456274439, win 512, length 1

19:49:15.386299 IP 147.89.224.215.1184 > 8.8.8.8.0: Flags [none], seq 1251166037:1251166038, win 512, length 1

 

 

только погашение интерфейса спасло

[Saab95]

только погашение интерфейса спасло

 

Так надо отправить этот трафик обратно отправителям и нет проблем, исходящая полоса ведь остается свободна?

 

Полагаю так?

set ssh address=192.168.13.0/24

 

Да, только можно указать 192.168.0.0/16. На всю серую сеть.

[Constantin]

Так надо отправить этот трафик обратно отправителям и нет проблем, исходящая полоса ведь остается свободна?

 

ты идиот? там в соурс весь инет это раз, а во вторых МТ при 250кррs уже плоховато а ты предлагаешь еще 250 kpps сгенерить......

 

 

ну то что ничего толкового не скажешь и так было понятно, простой продаван далекий от реалий в реальной сети

[Nickuz]

указать 192.168.0.0/16

[Saab95]

там в соурс весь инет это раз, а во вторых МТ при 250кррs уже плоховато а ты предлагаешь еще 250 kpps сгенерить......

 

А как иначе? Ставите второй микротик, если основной не справляется. Учитывая то, что часть атак может идти с роутеров, часть с ПК, если на ПК придут запросы с какого-то адреса интернета, то при наличии файрвола, у пользователя может вылезти запрос на блокировку указанного узла, т.к. он осуществляет атаку, часто, при такой ситуации, блокируется и передача на этот узел. Хотя бы малую часть запросов можно будет убрать.

[Constantin]

Ставите второй микротик, если основной не справляется.

ты в своем репертуаре...

 

да хоть 10 ставь клод 36 ядерный задирает все 36 ядер в полку если на него именно валиться, если сквозь то немного полегче, но если попытаетесь что то делать страфиком так же умирает от слова совершенно

[Антоха Р.]

Не надо там ничего закрывать. Просто отключить все службы, перенести ДНС на внутренние устройства сети на серые адреса.

Если потоки нежелательного трафика большие, то нужно поставить еще один микротик только для фильтрации входящего трафика, на нем будете через торч наблюдать за происходящим и уже заниматься блокировками.

У нас так и реализовано, как выяснилось. А какой командой фильтровать/мониторить ддос-атаку?

[Saab95]

На внешнем интерфейсе нажимаете Torch, включаете все галочки и смотрите - если идут данные, а ответов на них от вашего роутера нет - это и есть флуд извне. Фильтровать это нельзя, т.к. по сети провайдера данные уже доставлены.

Если нужно фильтровать, то в разрыв ставят еще один микротик, на котором и производится блокировка.

[Антоха Р.]

На внешнем интерфейсе нажимаете Torch, включаете все галочки и смотрите - если идут данные, а ответов на них от вашего роутера нет - это и есть флуд извне. Фильтровать это нельзя, т.к. по сети провайдера данные уже доставлены.

Если нужно фильтровать, то в разрыв ставят еще один микротик, на котором и производится блокировка.

Т.е команд то никаих нет?