Vitokhv Posted November 21, 2014 (edited) · Report post Возможно это другой вид атаки, трафик на TX (синий цвет) со вчерашнего дня не падал ниже моего тарифа 5 Мбит, подключение по L2TP Проверял отдельно с планшета, трафик приходит только на роутер. Интернет из за этого подлагивает на отдачу трафика. Добавлял такие правила DDOS защиты (но в списке IP не появлялось): /ip firewall filter add chain=forward connection-state=new action=jump jump-target=block-ddos add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m Подскажите за заблокировать атаку с IP 186.2.166.150 Edited November 21, 2014 by Vitokhv Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Danila Posted November 21, 2014 · Report post Возможно это другой вид атаки, трафик на TX (синий цвет) со вчерашнего дня не падал ниже моего тарифа 5 Мбит, подключение по L2TP Проверял отдельно с планшета, трафик приходит только на роутер. Интернет из за этого подлагивает на отдачу трафика. Добавлял такие правила DDOS защиты (но в списке IP не появлялось): /ip firewall filter add chain=forward connection-state=new action=jump jump-target=block-ddos add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m Подскажите за заблокировать атаку с IP 186.2.166.150 Цепочка forward в таблице filter отвечает за транзитный трафика, а блокировать тебе надо входящий. /ip firewall filter add chain=input src-address=186.2.166.150 action=drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vitokhv Posted November 21, 2014 (edited) · Report post Спасибо, стали добавляться адреса досеров, но главный IP почему-то не заходит в список... 186.2.166.150 Edited November 21, 2014 by Vitokhv Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saiko Posted November 22, 2014 · Report post Спасибо, стали добавляться адреса досеров, но главный IP почему-то не заходит в список... 186.2.166.150 Так добавьте его руками ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted November 22, 2014 · Report post не предлагайте ТС ересь, от ддос 2 типа защиты 1 это широкий канал и мощный роутер и тогда можно лочить локально 2 это банить трафик на уровне вышестоящего прова все остальное глупости. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Danila Posted November 22, 2014 · Report post не предлагайте ТС ересь, от ддос 2 типа защиты 1 это широкий канал и мощный роутер и тогда можно лочить локально 2 это банить трафик на уровне вышестоящего прова все остальное глупости. TC задал вопрос: Подскажите за заблокировать атаку с IP 186.2.166.150 И спрашивает почему не попадают пакеты в цепочку forward. Про то, что это мертвому припарка вопрос не задавался. :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vitokhv Posted November 22, 2014 (edited) · Report post Такое ощущение, что роутер взломали и сидят на нем через какой-то тунель гоняют свой трафик. Я уже IP поменял который не светил, и все равно нашли... 162.222.215.25 Edited November 22, 2014 by Vitokhv Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dIMbI4 Posted November 22, 2014 · Report post Такая же фигня была и на этот же ип. Простой днс ддос, лечится закрытием днса напужу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LazyFao Posted November 24, 2014 · Report post Скорее, не ддос это все же, а просто днс обрабатывает все подряд входящие запросы. покурил гугл, лекарство вроде как такое: ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop отпишитесь, плз, о результатах Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 24, 2014 · Report post ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop Вместо in-interface можно dst.address использовать, если введен постоянный белые адрес вручную. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vitokhv Posted November 26, 2014 (edited) · Report post Спасибо! Помогло, еще нашел этот фильтр и описание проблемы, с предположениями о самом DDOS на маршрутизаторе из вне вообще всё закрыто, кроме порта доступа к самому маршрутизатору, но для udp 53 специально сделано правило drop на input (для отслеживания количества пакетов. Пакеты приходят только из внешки, отключение нат и интерфейсов смотрящих в локальную сеть картинка не меняется сурс адреса толшько внешние, то есть сам маршрутизатор пакеты вообще никуда не отправляет, кроме как на партнёров по vpn, отключение vpn делал. Оставляю маршрутизатор в вакууме, без локалки и vpn, пакеты всеравно приходят с разных адресов на udp 53, моё мнение, что это бот нет атакует мой маршрутизатор, всё бы ни чего и плевать я хотел бы еслиб не одно обстоятельство: пакетов этих очень много и биллинг их засчитывает как уже пришедшие на адрес клитента и соответсвенно выставляется не маленький счёт... вот настройки фильтра: /ip firewall filter add action=drop chain=input comment=drop_DNS dst-port=53 in-interface=pppoe-out1 protocol=udp add action=drop chain=input comment=drop_8291 dst-port=8291 in-interface=pppoe-out1 protocol=tcp add action=drop chain=input comment=drop_IGMP protocol=igmp add action=drop chain=forward comment=pay_STK src-address-list=pay_STK add action=drop chain=input comment=pay_STK src-address-list=pay_STK add action=drop chain=output comment=pay_STK src-address-list=pay_STK add chain=input comment="Bandwidth Test" disabled=yes dst-port=2000 protocol=tcp src-address-list=stk-bbn add chain=input dst-port=8291,1106 protocol=tcp src-address-list=stk-bbn add chain=input comment=ping protocol=icmp src-address-list=stk-bbn add chain=input comment=established connection-state=established src-address-list=stk-bbn add chain=input comment=related connection-state=related src-address-list=stk-bbn add action=drop chain=input comment=block in-interface=pppoe-out1 add action=drop chain=input comment=block in-interface=ether1 Взято >тут< Edited November 26, 2014 by Vitokhv Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
a-zazell Posted November 26, 2014 · Report post Вы бы конфиг показали сначала. На аплинках, который смотрят в Internet лучше последним правилом все дропать. Проанализировали бы пакеты, определи протокол и порты, и, как посоветовал Constantin, обратились в ТП прова с запросом, повесить ACL на ваш L3 интерфейс. Так для себя определил правила при настройке RB (это выдержки, сформированные моим личным опытом "общения" с Mikrotik и применяются они в каждой ситуации индивидуально, а не все подряд): Обновляем до stable Ставим все пакеты, задействуем только необходимые Закрываем IP SERVICES кроме TELNET, SSH Удаляем (деактивируем) пользователя по умолчанию Добавляем ключи для авторизации Поднимаем L2TP IPSec VPN сервер (ip pool ranges задаем руками, НЕ подсетью, т.к. может выдаваться адрес самого RB) Отключаем MAC-SERVER на лишних интерфейсах (желательно на всех) Вешаем ACL на управу либо выносим техническую сетку в отдельный VRF Отключаем NEIGHBOUR DISCOVERY на лишних интерфейсах Отключаем UPnP если включено Firewall блочим на аплинках все, кроме управы и VPN доступа Приватные сети в blackhole Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...