Флуд на DNS Googlе

[Ozymandis]

Всем Привет!

Столкнулся с блокировкой моей сети гуглом.

 

Обнаружил большое кол-во запросов и соединений от моего внешнего IP к 8.8.8.8 и к 8.8.4.4 (они прописаны у меня в MikroTik как DNS серверы)

 

Проц Mikrotik летит до нагрузки в 95%

 

Сделал так:

 

/ip firewall filter

add action=add-src-to-address-list address-list="dns flood" \

address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 \

protocol=udp

add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp \

src-address-list="dns flood"

 

 

Проснифил пакеты WireShark'ом

всего два адреса:

cpsc.gov

067.cz

 

Поставил обычное правило:

 

action=drop

chain=input

dst.adress=внешний айпи сети

dst port=53

In.Intface: eth1

 

Все равно, изнутри с моего адреса флудит на 8.8.8.8 / 8.8.4.4

с портами

my.ip.ad.ress:30000 до my.ip.ad.ress:60000

[myth]

Ищи кто из клиентов кулхацкер

[kosmich7]

address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 \

protocol=udp

А protocol=tcp dst-port=53 ?

"local" заменить на имя локального интерфейса, и смотреть с какого локального айпи флудит.

tool torch interface="local" dst-address=0.0.0.0/0 src-address=0.0.0.0/0