Jump to content
Калькуляторы

Помогите DDOS на Mikrotik RB751U

Возможно это другой вид атаки, трафик на TX (синий цвет) со вчерашнего дня не падал ниже моего тарифа 5 Мбит, подключение по L2TP

Проверял отдельно с планшета, трафик приходит только на роутер.

 

Интернет из за этого подлагивает на отдачу трафика.

Добавлял такие правила DDOS защиты (но в списке IP не появлялось):

 

/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=block-ddos
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop
add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return
add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

 

Подскажите за заблокировать атаку с IP 186.2.166.150

Edited by Vitokhv

Share this post


Link to post
Share on other sites

Возможно это другой вид атаки, трафик на TX (синий цвет) со вчерашнего дня не падал ниже моего тарифа 5 Мбит, подключение по L2TP

Проверял отдельно с планшета, трафик приходит только на роутер.

 

Интернет из за этого подлагивает на отдачу трафика.

Добавлял такие правила DDOS защиты (но в списке IP не появлялось):

 

/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=block-ddos
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop
add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return
add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

 

Подскажите за заблокировать атаку с IP 186.2.166.150

Цепочка forward в таблице filter отвечает за транзитный трафика, а блокировать тебе надо входящий.

/ip firewall filter add chain=input src-address=186.2.166.150 action=drop

Share this post


Link to post
Share on other sites

Спасибо, стали добавляться адреса досеров, но главный IP почему-то не заходит в список... 186.2.166.150

Edited by Vitokhv

Share this post


Link to post
Share on other sites

Спасибо, стали добавляться адреса досеров, но главный IP почему-то не заходит в список... 186.2.166.150

Так добавьте его руками )))

Share this post


Link to post
Share on other sites

не предлагайте ТС ересь, от ддос 2 типа защиты

 

1 это широкий канал и мощный роутер и тогда можно лочить локально

2 это банить трафик на уровне вышестоящего прова

 

все остальное глупости.

Share this post


Link to post
Share on other sites

не предлагайте ТС ересь, от ддос 2 типа защиты

 

1 это широкий канал и мощный роутер и тогда можно лочить локально

2 это банить трафик на уровне вышестоящего прова

 

все остальное глупости.

TC задал вопрос:

Подскажите за заблокировать атаку с IP 186.2.166.150

И спрашивает почему не попадают пакеты в цепочку forward.

Про то, что это мертвому припарка вопрос не задавался. :-)

Share this post


Link to post
Share on other sites

Такое ощущение, что роутер взломали и сидят на нем через какой-то тунель гоняют свой трафик.

Я уже IP поменял который не светил, и все равно нашли...

 

162.222.215.25

Edited by Vitokhv

Share this post


Link to post
Share on other sites

Скорее, не ддос это все же, а просто днс обрабатывает все подряд входящие запросы.

покурил гугл, лекарство вроде как такое:

ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop

отпишитесь, плз, о результатах

Share this post


Link to post
Share on other sites

ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop

 

Вместо in-interface можно dst.address использовать, если введен постоянный белые адрес вручную.

Share this post


Link to post
Share on other sites

Спасибо! Помогло, еще нашел этот фильтр и описание проблемы, с предположениями о самом DDOS

 

на маршрутизаторе из вне вообще всё закрыто, кроме порта доступа к самому маршрутизатору, но для udp 53 специально сделано правило drop на input (для отслеживания количества пакетов. Пакеты приходят только из внешки, отключение нат и интерфейсов смотрящих в локальную сеть картинка не меняется сурс адреса толшько внешние, то есть сам маршрутизатор пакеты вообще никуда не отправляет, кроме как на партнёров по vpn, отключение vpn делал. Оставляю маршрутизатор в вакууме, без локалки и vpn, пакеты всеравно приходят с разных адресов на udp 53, моё мнение, что это бот нет атакует мой маршрутизатор, всё бы ни чего и плевать я хотел бы еслиб не одно обстоятельство: пакетов этих очень много и биллинг их засчитывает как уже пришедшие на адрес клитента и соответсвенно выставляется не маленький счёт...

 

 

вот настройки фильтра:

/ip firewall filter
add action=drop chain=input comment=drop_DNS dst-port=53 in-interface=pppoe-out1 protocol=udp
add action=drop chain=input comment=drop_8291 dst-port=8291 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input comment=drop_IGMP protocol=igmp
add action=drop chain=forward comment=pay_STK src-address-list=pay_STK
add action=drop chain=input comment=pay_STK src-address-list=pay_STK
add action=drop chain=output comment=pay_STK src-address-list=pay_STK
add chain=input comment="Bandwidth Test" disabled=yes dst-port=2000 protocol=tcp src-address-list=stk-bbn
add chain=input dst-port=8291,1106 protocol=tcp src-address-list=stk-bbn
add chain=input comment=ping protocol=icmp src-address-list=stk-bbn
add chain=input comment=established connection-state=established src-address-list=stk-bbn
add chain=input comment=related connection-state=related src-address-list=stk-bbn
add action=drop chain=input comment=block in-interface=pppoe-out1
add action=drop chain=input comment=block in-interface=ether1

 

Взято >тут<

Edited by Vitokhv

Share this post


Link to post
Share on other sites

Вы бы конфиг показали сначала. На аплинках, который смотрят в Internet лучше последним правилом все дропать. Проанализировали бы пакеты, определи протокол и порты, и, как посоветовал Constantin, обратились в ТП прова с запросом, повесить ACL на ваш L3 интерфейс.

 

Так для себя определил правила при настройке RB (это выдержки, сформированные моим личным опытом "общения" с Mikrotik и применяются они в каждой ситуации индивидуально, а не все подряд):

 


  •  
  • Обновляем до stable
  • Ставим все пакеты, задействуем только необходимые
  • Закрываем IP SERVICES кроме TELNET, SSH
  • Удаляем (деактивируем) пользователя по умолчанию
  • Добавляем ключи для авторизации
  • Поднимаем L2TP IPSec VPN сервер (ip pool ranges задаем руками, НЕ подсетью, т.к. может выдаваться адрес самого RB)
  • Отключаем MAC-SERVER на лишних интерфейсах (желательно на всех)
  • Вешаем ACL на управу либо выносим техническую сетку в отдельный VRF
  • Отключаем NEIGHBOUR DISCOVERY на лишних интерфейсах
  • Отключаем UPnP если включено
  • Firewall блочим на аплинках все, кроме управы и VPN доступа
  • Приватные сети в blackhole
     

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.