Timax Posted February 6, 2022 · Report post Добрый день! Сегодня столкнулись с неприятной ситуацией, с мониторинга стали сыпаться сообщения о высокой загрузки CPU на брасах и бордерах. Начали выяснять и видим что летит флуд траффик на DNS клиентских устройств, а именно атаке подвергались оптические терминалы Eltex NTU-RG-14xx, у всех белые IP. Самое странное что на них DNS закрыт. Пока проблему решили запретом 53 порта из вне на все клиентские подсети на бордере. Подскажите, кто сталкивался с такой проблемой, каким правилом на бордере запретить подобный трафик? В роли бордера CCR1036. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hRUst Posted February 6, 2022 · Report post Ну вы уже правильно трафик закрыли на 53 порт к абонентам. Можно конечно типа fail2ban собрать, но лучше заблокировать и все. Иногда встречаются устройства, который свои DNS запросы отправляют с 53 порта и на этом же порту ждут ответ, не по RFC. Таким отдельно разрешить и ratelimit настроить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
HarDik Posted February 7, 2022 (edited) · Report post Блокируйте input и Forward на 53 UDP. Сталкивался с такой проблемой Edited February 7, 2022 by HarDik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...