Jump to content
Калькуляторы

100% загрузка одного из ядер Mikrotik CCR1016-12G

Некоторое время наблюдается 100% загрузка одного из ядер Mikrotik CCR1016-12G. Tools-Profile показывает, что это management. Клауд долгое время используется как pppoe сервер для 250 одновременно подключенных пользователей. Может кто-то сталкивался с такой проблемой? И что такое management в микротике?

2022-09-01_20-22-00.png

Edited by bezhetsk

Share this post


Link to post
Share on other sites

management - это процесс, отвечающий за изменения. Высокая загрузка по нему означает, что на маршрутизатор поступает большой поток команд. Скорее всего, вас действительно ломанули.

Share this post


Link to post
Share on other sites

Да. взломали. Спасибо за подсказку. Хорошо что Zabbix отследил аномалию. Поменял логин-пароль админа, полностью закрыл доступ из внешнего интернета, удалил какие-то непонятные файлы. Версия была 6.47.10, поставил 6.48.6. 100 процентная загрузка исчезла.

Share this post


Link to post
Share on other sites

Что бы микротик не взламывали нужно сделать следующее:

 

1. Отключить все службы кроме винбокса в IP-Services.

2. Если возможно, отключить доступ через внешние сети, там же в IP-Services указать IP адреса для подключения, продублировать их в настройках администраторов.

Share this post


Link to post
Share on other sites

Port-knocking надо настроить а не сааба слушать 

 

А то в один прекрасный момент в отпуске вам позвонят а достучаться до железки не выйдет 

Share this post


Link to post
Share on other sites

В 02.09.2022 в 21:56, sirmax сказал:

Port-knocking надо настроить а не сааба слушать

Это безопасность через незнанение.

Никогда не нравилось эта херня.

Share this post


Link to post
Share on other sites

В 04.09.2022 в 20:01, Ivan_83 сказал:

Это безопасность через незнанение.

Безопасность начинается дальше. Где пароль спрашивают.

А кнокинг - это просто способ 100% эффективно отсеять ботов.

 

Share this post


Link to post
Share on other sites

В 03.09.2022 в 00:56, sirmax сказал:

А то в один прекрасный момент в отпуске вам позвонят а достучаться до железки не выйдет

Настраивается нормальный VPN в сеть управления.

 

В 04.09.2022 в 21:04, sol сказал:

А кнокинг - это просто способ 100% эффективно отсеять ботов.

Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе.

Share this post


Link to post
Share on other sites

В 04.09.2022 в 18:04, sol сказал:

А кнокинг - это просто способ 100% эффективно отсеять ботов.

Достаточно на ссш сделать хостовый ключ в 16к и они тоже отсеиваются, неплохо так :)

Share this post


Link to post
Share on other sites

3 часа назад, VolanD666 сказал:

Настраивается нормальный VPN в сеть управления.

 

Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе.

Нестандартные порты тоже находят

 

мне домашний микротик так подломали когда-то

 

впн конечно хорошо и самый правильный путь, но для небольших сетапов избыточно 

 

в целом мой посыл был в том что решение «от сааба» не совсем решение :)

Share this post


Link to post
Share on other sites

port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. 

Share this post


Link to post
Share on other sites

5 минут назад, jffulcrum сказал:

port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. 

Не знаю о какой методичке речь, я делал два листа кстати, порты для обоих больше 3200 что б при скане что с начала что с конца порта до них доходили не сразу 

 

Но спорить что это решени лучше впн я пожалуй не буду

Share this post


Link to post
Share on other sites

В 05.09.2022 в 16:46, sirmax сказал:

я делал два листа кстати

По методичке два и делается. Вот первый и забивается, частое явление, когда роутер не шевелится, постфактум смотрим - а там 6000+ адресов в первом списке, а это еще и сравниваться со вторым должно, в итоге управление потеряно. 

Share this post


Link to post
Share on other sites

5 часов назад, jffulcrum сказал:

По методичке два и делается. Вот первый и забивается, частое явление, когда роутер не шевелится, постфактум смотрим - а там 6000+ адресов в первом списке, а это еще и сравниваться со вторым должно, в итоге управление потеряно. 

Пока не сталкивался но проблемы выглядит реально 

Надо подумать но у меня на первый лист Ttl 15 сек так что тайминги возможно решают или точнее замазывают эту проблему 

Share this post


Link to post
Share on other sites

В 05.09.2022 в 16:39, jffulcrum сказал:

port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. 

Это все занимает ресурсы процессора, одно дело это какой-то домашний роутер, а другое CCR1072 с десятком гигабит трафика - там уже лишнее правило заметно влияет на производительность.

 

В 05.09.2022 в 12:48, Ivan_83 сказал:

Достаточно на ссш сделать хостовый ключ в 16к и они тоже отсеиваются, неплохо так :)

У микротика может слететь этот ключ при обновлении прошивки, как вариант, и подключиться уже не выйдет.

 

В 05.09.2022 в 10:02, VolanD666 сказал:

Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе.

Ну и что они сделают? Вот есть микротики где и винбокс на стандартном порту открыт извне, и ssh на стандартном порту. Постоянно в логах попытки подключения, но там просто тупо перебирают стандартные пароли, если пароль сложный его никогда не подберут. Но это так вариант, безалаберный.

 

Для себя это смена портов, отключения не нужных служб, подключение по впн.

Share this post


Link to post
Share on other sites

В 10.09.2022 в 20:53, Saab95 сказал:

У микротика может слететь этот ключ при обновлении прошивки, как вариант, и подключиться уже не выйдет.

Значит не использовать микротик, или залить туда OpenWRT где таких проблем нет.

Share this post


Link to post
Share on other sites

В 10.09.2022 в 23:53, Saab95 сказал:

Ну и что они сделают?

Обеспечат 100% загрузку CPU, как у топикстартера. А потом, как найдётся zero-day уязвимость, так сразу и апокалипсис сделают.

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.