Timax Опубликовано 6 февраля, 2022 · Жалоба Добрый день! Сегодня столкнулись с неприятной ситуацией, с мониторинга стали сыпаться сообщения о высокой загрузки CPU на брасах и бордерах. Начали выяснять и видим что летит флуд траффик на DNS клиентских устройств, а именно атаке подвергались оптические терминалы Eltex NTU-RG-14xx, у всех белые IP. Самое странное что на них DNS закрыт. Пока проблему решили запретом 53 порта из вне на все клиентские подсети на бордере. Подскажите, кто сталкивался с такой проблемой, каким правилом на бордере запретить подобный трафик? В роли бордера CCR1036. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hRUst Опубликовано 6 февраля, 2022 · Жалоба Ну вы уже правильно трафик закрыли на 53 порт к абонентам. Можно конечно типа fail2ban собрать, но лучше заблокировать и все. Иногда встречаются устройства, который свои DNS запросы отправляют с 53 порта и на этом же порту ждут ответ, не по RFC. Таким отдельно разрешить и ratelimit настроить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HarDik Опубликовано 7 февраля, 2022 (изменено) · Жалоба Блокируйте input и Forward на 53 UDP. Сталкивался с такой проблемой Изменено 7 февраля, 2022 пользователем HarDik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...