Vitokhv Опубликовано 21 ноября, 2014 (изменено) · Жалоба Возможно это другой вид атаки, трафик на TX (синий цвет) со вчерашнего дня не падал ниже моего тарифа 5 Мбит, подключение по L2TP Проверял отдельно с планшета, трафик приходит только на роутер. Интернет из за этого подлагивает на отдачу трафика. Добавлял такие правила DDOS защиты (но в списке IP не появлялось): /ip firewall filter add chain=forward connection-state=new action=jump jump-target=block-ddos add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m Подскажите за заблокировать атаку с IP 186.2.166.150 Изменено 21 ноября, 2014 пользователем Vitokhv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danila Опубликовано 21 ноября, 2014 · Жалоба Возможно это другой вид атаки, трафик на TX (синий цвет) со вчерашнего дня не падал ниже моего тарифа 5 Мбит, подключение по L2TP Проверял отдельно с планшета, трафик приходит только на роутер. Интернет из за этого подлагивает на отдачу трафика. Добавлял такие правила DDOS защиты (но в списке IP не появлялось): /ip firewall filter add chain=forward connection-state=new action=jump jump-target=block-ddos add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m Подскажите за заблокировать атаку с IP 186.2.166.150 Цепочка forward в таблице filter отвечает за транзитный трафика, а блокировать тебе надо входящий. /ip firewall filter add chain=input src-address=186.2.166.150 action=drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vitokhv Опубликовано 21 ноября, 2014 (изменено) · Жалоба Спасибо, стали добавляться адреса досеров, но главный IP почему-то не заходит в список... 186.2.166.150 Изменено 21 ноября, 2014 пользователем Vitokhv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saiko Опубликовано 22 ноября, 2014 · Жалоба Спасибо, стали добавляться адреса досеров, но главный IP почему-то не заходит в список... 186.2.166.150 Так добавьте его руками ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 22 ноября, 2014 · Жалоба не предлагайте ТС ересь, от ддос 2 типа защиты 1 это широкий канал и мощный роутер и тогда можно лочить локально 2 это банить трафик на уровне вышестоящего прова все остальное глупости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danila Опубликовано 22 ноября, 2014 · Жалоба не предлагайте ТС ересь, от ддос 2 типа защиты 1 это широкий канал и мощный роутер и тогда можно лочить локально 2 это банить трафик на уровне вышестоящего прова все остальное глупости. TC задал вопрос: Подскажите за заблокировать атаку с IP 186.2.166.150 И спрашивает почему не попадают пакеты в цепочку forward. Про то, что это мертвому припарка вопрос не задавался. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vitokhv Опубликовано 22 ноября, 2014 (изменено) · Жалоба Такое ощущение, что роутер взломали и сидят на нем через какой-то тунель гоняют свой трафик. Я уже IP поменял который не светил, и все равно нашли... 162.222.215.25 Изменено 22 ноября, 2014 пользователем Vitokhv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 22 ноября, 2014 · Жалоба Такая же фигня была и на этот же ип. Простой днс ддос, лечится закрытием днса напужу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LazyFao Опубликовано 24 ноября, 2014 · Жалоба Скорее, не ддос это все же, а просто днс обрабатывает все подряд входящие запросы. покурил гугл, лекарство вроде как такое: ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop отпишитесь, плз, о результатах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 ноября, 2014 · Жалоба ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop Вместо in-interface можно dst.address использовать, если введен постоянный белые адрес вручную. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vitokhv Опубликовано 26 ноября, 2014 (изменено) · Жалоба Спасибо! Помогло, еще нашел этот фильтр и описание проблемы, с предположениями о самом DDOS на маршрутизаторе из вне вообще всё закрыто, кроме порта доступа к самому маршрутизатору, но для udp 53 специально сделано правило drop на input (для отслеживания количества пакетов. Пакеты приходят только из внешки, отключение нат и интерфейсов смотрящих в локальную сеть картинка не меняется сурс адреса толшько внешние, то есть сам маршрутизатор пакеты вообще никуда не отправляет, кроме как на партнёров по vpn, отключение vpn делал. Оставляю маршрутизатор в вакууме, без локалки и vpn, пакеты всеравно приходят с разных адресов на udp 53, моё мнение, что это бот нет атакует мой маршрутизатор, всё бы ни чего и плевать я хотел бы еслиб не одно обстоятельство: пакетов этих очень много и биллинг их засчитывает как уже пришедшие на адрес клитента и соответсвенно выставляется не маленький счёт... вот настройки фильтра: /ip firewall filter add action=drop chain=input comment=drop_DNS dst-port=53 in-interface=pppoe-out1 protocol=udp add action=drop chain=input comment=drop_8291 dst-port=8291 in-interface=pppoe-out1 protocol=tcp add action=drop chain=input comment=drop_IGMP protocol=igmp add action=drop chain=forward comment=pay_STK src-address-list=pay_STK add action=drop chain=input comment=pay_STK src-address-list=pay_STK add action=drop chain=output comment=pay_STK src-address-list=pay_STK add chain=input comment="Bandwidth Test" disabled=yes dst-port=2000 protocol=tcp src-address-list=stk-bbn add chain=input dst-port=8291,1106 protocol=tcp src-address-list=stk-bbn add chain=input comment=ping protocol=icmp src-address-list=stk-bbn add chain=input comment=established connection-state=established src-address-list=stk-bbn add chain=input comment=related connection-state=related src-address-list=stk-bbn add action=drop chain=input comment=block in-interface=pppoe-out1 add action=drop chain=input comment=block in-interface=ether1 Взято >тут< Изменено 26 ноября, 2014 пользователем Vitokhv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 26 ноября, 2014 · Жалоба Вы бы конфиг показали сначала. На аплинках, который смотрят в Internet лучше последним правилом все дропать. Проанализировали бы пакеты, определи протокол и порты, и, как посоветовал Constantin, обратились в ТП прова с запросом, повесить ACL на ваш L3 интерфейс. Так для себя определил правила при настройке RB (это выдержки, сформированные моим личным опытом "общения" с Mikrotik и применяются они в каждой ситуации индивидуально, а не все подряд): Обновляем до stable Ставим все пакеты, задействуем только необходимые Закрываем IP SERVICES кроме TELNET, SSH Удаляем (деактивируем) пользователя по умолчанию Добавляем ключи для авторизации Поднимаем L2TP IPSec VPN сервер (ip pool ranges задаем руками, НЕ подсетью, т.к. может выдаваться адрес самого RB) Отключаем MAC-SERVER на лишних интерфейсах (желательно на всех) Вешаем ACL на управу либо выносим техническую сетку в отдельный VRF Отключаем NEIGHBOUR DISCOVERY на лишних интерфейсах Отключаем UPnP если включено Firewall блочим на аплинках все, кроме управы и VPN доступа Приватные сети в blackhole Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...