Timax Posted February 6, 2022 Posted February 6, 2022 Добрый день! Сегодня столкнулись с неприятной ситуацией, с мониторинга стали сыпаться сообщения о высокой загрузки CPU на брасах и бордерах. Начали выяснять и видим что летит флуд траффик на DNS клиентских устройств, а именно атаке подвергались оптические терминалы Eltex NTU-RG-14xx, у всех белые IP. Самое странное что на них DNS закрыт. Пока проблему решили запретом 53 порта из вне на все клиентские подсети на бордере. Подскажите, кто сталкивался с такой проблемой, каким правилом на бордере запретить подобный трафик? В роли бордера CCR1036. Вставить ник Quote
hRUst Posted February 6, 2022 Posted February 6, 2022 Ну вы уже правильно трафик закрыли на 53 порт к абонентам. Можно конечно типа fail2ban собрать, но лучше заблокировать и все. Иногда встречаются устройства, который свои DNS запросы отправляют с 53 порта и на этом же порту ждут ответ, не по RFC. Таким отдельно разрешить и ratelimit настроить. Вставить ник Quote
HarDik Posted February 7, 2022 Posted February 7, 2022 (edited) Блокируйте input и Forward на 53 UDP. Сталкивался с такой проблемой Edited February 7, 2022 by HarDik Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.