Jump to content

Ddos DNS flood Mikrotik

Добрый день!

Сегодня столкнулись с неприятной ситуацией, с мониторинга стали сыпаться сообщения о высокой загрузки CPU на брасах и бордерах. Начали выяснять и видим что летит флуд траффик на DNS клиентских устройств, а именно атаке подвергались оптические терминалы Eltex NTU-RG-14xx, у всех белые IP.  Самое странное что на них DNS закрыт. Пока проблему решили запретом 53 порта из вне на все клиентские подсети на бордере. Подскажите, кто сталкивался с такой проблемой, каким правилом на бордере запретить подобный трафик? В роли бордера CCR1036. 

Share this post


Link to post
Share on other sites

Ну вы уже правильно трафик закрыли на 53 порт к абонентам. Можно конечно типа fail2ban собрать, но лучше заблокировать и все. Иногда встречаются устройства, который свои DNS запросы отправляют с 53 порта и на этом же порту ждут ответ, не по RFC. Таким отдельно разрешить и ratelimit настроить.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.