bezhetsk Опубликовано 1 сентября, 2022 (изменено) · Жалоба Некоторое время наблюдается 100% загрузка одного из ядер Mikrotik CCR1016-12G. Tools-Profile показывает, что это management. Клауд долгое время используется как pppoe сервер для 250 одновременно подключенных пользователей. Может кто-то сталкивался с такой проблемой? И что такое management в микротике? Изменено 1 сентября, 2022 пользователем bezhetsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 сентября, 2022 · Жалоба Взломали, наверное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 1 сентября, 2022 · Жалоба management - это процесс, отвечающий за изменения. Высокая загрузка по нему означает, что на маршрутизатор поступает большой поток команд. Скорее всего, вас действительно ломанули. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bezhetsk Опубликовано 2 сентября, 2022 · Жалоба Да. взломали. Спасибо за подсказку. Хорошо что Zabbix отследил аномалию. Поменял логин-пароль админа, полностью закрыл доступ из внешнего интернета, удалил какие-то непонятные файлы. Версия была 6.47.10, поставил 6.48.6. 100 процентная загрузка исчезла. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 сентября, 2022 · Жалоба Что бы микротик не взламывали нужно сделать следующее: 1. Отключить все службы кроме винбокса в IP-Services. 2. Если возможно, отключить доступ через внешние сети, там же в IP-Services указать IP адреса для подключения, продублировать их в настройках администраторов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 2 сентября, 2022 · Жалоба Port-knocking надо настроить а не сааба слушать А то в один прекрасный момент в отпуске вам позвонят а достучаться до железки не выйдет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 4 сентября, 2022 · Жалоба В 02.09.2022 в 21:56, sirmax сказал: Port-knocking надо настроить а не сааба слушать Это безопасность через незнанение. Никогда не нравилось эта херня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 4 сентября, 2022 · Жалоба В 04.09.2022 в 20:01, Ivan_83 сказал: Это безопасность через незнанение. Безопасность начинается дальше. Где пароль спрашивают. А кнокинг - это просто способ 100% эффективно отсеять ботов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 5 сентября, 2022 · Жалоба В 03.09.2022 в 00:56, sirmax сказал: А то в один прекрасный момент в отпуске вам позвонят а достучаться до железки не выйдет Настраивается нормальный VPN в сеть управления. В 04.09.2022 в 21:04, sol сказал: А кнокинг - это просто способ 100% эффективно отсеять ботов. Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 сентября, 2022 · Жалоба В 04.09.2022 в 18:04, sol сказал: А кнокинг - это просто способ 100% эффективно отсеять ботов. Достаточно на ссш сделать хостовый ключ в 16к и они тоже отсеиваются, неплохо так :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 5 сентября, 2022 · Жалоба 3 часа назад, VolanD666 сказал: Настраивается нормальный VPN в сеть управления. Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе. Нестандартные порты тоже находят мне домашний микротик так подломали когда-то впн конечно хорошо и самый правильный путь, но для небольших сетапов избыточно в целом мой посыл был в том что решение «от сааба» не совсем решение :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 5 сентября, 2022 · Жалоба port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 5 сентября, 2022 · Жалоба 5 минут назад, jffulcrum сказал: port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. Не знаю о какой методичке речь, я делал два листа кстати, порты для обоих больше 3200 что б при скане что с начала что с конца порта до них доходили не сразу Но спорить что это решени лучше впн я пожалуй не буду Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 5 сентября, 2022 · Жалоба В 05.09.2022 в 16:46, sirmax сказал: я делал два листа кстати По методичке два и делается. Вот первый и забивается, частое явление, когда роутер не шевелится, постфактум смотрим - а там 6000+ адресов в первом списке, а это еще и сравниваться со вторым должно, в итоге управление потеряно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 5 сентября, 2022 · Жалоба 5 часов назад, jffulcrum сказал: По методичке два и делается. Вот первый и забивается, частое явление, когда роутер не шевелится, постфактум смотрим - а там 6000+ адресов в первом списке, а это еще и сравниваться со вторым должно, в итоге управление потеряно. Пока не сталкивался но проблемы выглядит реально Надо подумать но у меня на первый лист Ttl 15 сек так что тайминги возможно решают или точнее замазывают эту проблему Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 сентября, 2022 · Жалоба В 05.09.2022 в 16:39, jffulcrum сказал: port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. Это все занимает ресурсы процессора, одно дело это какой-то домашний роутер, а другое CCR1072 с десятком гигабит трафика - там уже лишнее правило заметно влияет на производительность. В 05.09.2022 в 12:48, Ivan_83 сказал: Достаточно на ссш сделать хостовый ключ в 16к и они тоже отсеиваются, неплохо так :) У микротика может слететь этот ключ при обновлении прошивки, как вариант, и подключиться уже не выйдет. В 05.09.2022 в 10:02, VolanD666 сказал: Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе. Ну и что они сделают? Вот есть микротики где и винбокс на стандартном порту открыт извне, и ssh на стандартном порту. Постоянно в логах попытки подключения, но там просто тупо перебирают стандартные пароли, если пароль сложный его никогда не подберут. Но это так вариант, безалаберный. Для себя это смена портов, отключения не нужных служб, подключение по впн. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 сентября, 2022 · Жалоба В 10.09.2022 в 20:53, Saab95 сказал: У микротика может слететь этот ключ при обновлении прошивки, как вариант, и подключиться уже не выйдет. Значит не использовать микротик, или залить туда OpenWRT где таких проблем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 11 сентября, 2022 · Жалоба В 10.09.2022 в 23:53, Saab95 сказал: Ну и что они сделают? Обеспечат 100% загрузку CPU, как у топикстартера. А потом, как найдётся zero-day уязвимость, так сразу и апокалипсис сделают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...