100% загрузка одного из ядер Mikrotik CCR1016-12G

[bezhetsk]

Некоторое время наблюдается 100% загрузка одного из ядер Mikrotik CCR1016-12G. Tools-Profile показывает, что это management. Клауд долгое время используется как pppoe сервер для 250 одновременно подключенных пользователей. Может кто-то сталкивался с такой проблемой? И что такое management в микротике?

Edited September 1, 2022 by bezhetsk

[Saab95]

Взломали, наверное.

[jffulcrum]

management - это процесс, отвечающий за изменения. Высокая загрузка по нему означает, что на маршрутизатор поступает большой поток команд. Скорее всего, вас действительно ломанули.

[bezhetsk]

Да. взломали. Спасибо за подсказку. Хорошо что Zabbix отследил аномалию. Поменял логин-пароль админа, полностью закрыл доступ из внешнего интернета, удалил какие-то непонятные файлы. Версия была 6.47.10, поставил 6.48.6. 100 процентная загрузка исчезла.

[Saab95]

Что бы микротик не взламывали нужно сделать следующее:

 

1. Отключить все службы кроме винбокса в IP-Services.

2. Если возможно, отключить доступ через внешние сети, там же в IP-Services указать IP адреса для подключения, продублировать их в настройках администраторов.

[sirmax]

Port-knocking надо настроить а не сааба слушать 

 

А то в один прекрасный момент в отпуске вам позвонят а достучаться до железки не выйдет 

[Ivan_83]

В 02.09.2022 в 21:56, sirmax сказал:

Port-knocking надо настроить а не сааба слушать

Это безопасность через незнанение.

Никогда не нравилось эта херня.

[sol]

В 04.09.2022 в 20:01, Ivan_83 сказал:

Это безопасность через незнанение.

Безопасность начинается дальше. Где пароль спрашивают.

А кнокинг - это просто способ 100% эффективно отсеять ботов.

 

[VolanD666]

В 03.09.2022 в 00:56, sirmax сказал:

А то в один прекрасный момент в отпуске вам позвонят а достучаться до железки не выйдет

Настраивается нормальный VPN в сеть управления.

 

В 04.09.2022 в 21:04, sol сказал:

А кнокинг - это просто способ 100% эффективно отсеять ботов.

Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе.

[Ivan_83]

В 04.09.2022 в 18:04, sol сказал:

А кнокинг - это просто способ 100% эффективно отсеять ботов.

Достаточно на ссш сделать хостовый ключ в 16к и они тоже отсеиваются, неплохо так :)

[sirmax]

3 часа назад, VolanD666 сказал:

Настраивается нормальный VPN в сеть управления.

 

Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе.

Нестандартные порты тоже находят

 

мне домашний микротик так подломали когда-то

 

впн конечно хорошо и самый правильный путь, но для небольших сетапов избыточно 

 

в целом мой посыл был в том что решение «от сааба» не совсем решение :)

[jffulcrum]

port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. 

[sirmax]

5 минут назад, jffulcrum сказал:

port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. 

Не знаю о какой методичке речь, я делал два листа кстати, порты для обоих больше 3200 что б при скане что с начала что с конца порта до них доходили не сразу 

 

Но спорить что это решени лучше впн я пожалуй не буду

[jffulcrum]

В 05.09.2022 в 16:46, sirmax сказал:

я делал два листа кстати

По методичке два и делается. Вот первый и забивается, частое явление, когда роутер не шевелится, постфактум смотрим - а там 6000+ адресов в первом списке, а это еще и сравниваться со вторым должно, в итоге управление потеряно. 

[sirmax]

5 часов назад, jffulcrum сказал:

По методичке два и делается. Вот первый и забивается, частое явление, когда роутер не шевелится, постфактум смотрим - а там 6000+ адресов в первом списке, а это еще и сравниваться со вторым должно, в итоге управление потеряно. 

Пока не сталкивался но проблемы выглядит реально 

Надо подумать но у меня на первый лист Ttl 15 сек так что тайминги возможно решают или точнее замазывают эту проблему 

[Saab95]

В 05.09.2022 в 16:39, jffulcrum сказал:

port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. 

Это все занимает ресурсы процессора, одно дело это какой-то домашний роутер, а другое CCR1072 с десятком гигабит трафика - там уже лишнее правило заметно влияет на производительность.

 

В 05.09.2022 в 12:48, Ivan_83 сказал:

Достаточно на ссш сделать хостовый ключ в 16к и они тоже отсеиваются, неплохо так :)

У микротика может слететь этот ключ при обновлении прошивки, как вариант, и подключиться уже не выйдет.

 

В 05.09.2022 в 10:02, VolanD666 сказал:

Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе.

Ну и что они сделают? Вот есть микротики где и винбокс на стандартном порту открыт извне, и ssh на стандартном порту. Постоянно в логах попытки подключения, но там просто тупо перебирают стандартные пароли, если пароль сложный его никогда не подберут. Но это так вариант, безалаберный.

 

Для себя это смена портов, отключения не нужных служб, подключение по впн.

[Ivan_83]

В 10.09.2022 в 20:53, Saab95 сказал:

У микротика может слететь этот ключ при обновлении прошивки, как вариант, и подключиться уже не выйдет.

Значит не использовать микротик, или залить туда OpenWRT где таких проблем нет.

[sol]

В 10.09.2022 в 23:53, Saab95 сказал:

Ну и что они сделают?

Обеспечат 100% загрузку CPU, как у топикстартера. А потом, как найдётся zero-day уязвимость, так сразу и апокалипсис сделают.