Jump to content
  • 0

DDoS Detection and Blocking - Help


xrouted

Въпрос

Здравейте колеги,

от няколко дни съпорта на ISP-то, което ползвам вкъщи ми звъни и ми обяснява, че има голям UDP трафик към мойто IP. Викам айде.. щом втори път звънят ще влезна да проверя. Та какво да видя...

 

/ip firewall connection print                             

Flags: E - expected, S - seen-reply, A - assured, C - confirmed, 

D - dying, F - fasttrack, s - srcnat, d - dstnat 

 #          PR.. SRC-ADDRESS           DST-ADDRESS           TCP-STATE  

 0  SAC     udp  195.29.228.25:23648   X.X.X.X:53    

 1  SAC     udp  220.166.59.235:28055  X.X.X.X:53    

 2  SAC     udp  198.44.251.195:25405  X.X.X.X:53    

 3  SAC     udp  195.29.228.25:6502    X.X.X.X:53    

 4  SAC     udp  220.166.59.235:30119  X.X.X.X:53    

 5  SAC     udp  188.75.90.104:43692   X.X.X.X:53    

 6  SAC     udp  198.44.251.195:44254  X.X.X.X:53    

 7  SAC     udp  120.25.65.55:1726     X.X.X.X:53    

 8  SAC     udp  72.130.72.31:39948    X.X.X.X:53    

 9  SAC     udp  64.237.35.99:46991    X.X.X.X:53    

10  SAC     udp  62.193.15.145:48508   X.X.X.X:53    

11  SAC  s  tcp  192.168.88.230:51866  191.232.139.253:443   established

12  SAC     udp  220.166.59.235:41407  X.X.X.X:53    

13  SAC     udp  195.29.228.25:55449   X.X.X.X:53    

14  SAC     udp  184.189.253.120:23615 X.X.X.X:53    

15  SAC     udp  123.57.8.102:22127    X.X.X.X:53    

16  SAC     udp  47.90.2.91:107        X.X.X.X:53    

17  SAC     udp  188.75.90.104:43990   X.X.X.X:53    

18  SAC     udp  139.129.144.147:9443  X.X.X.X:53    

19  SAC     udp  195.29.228.25:13126   X.X.X.X:53    

20  SAC     udp  195.29.228.25:7616    X.X.X.X:53    

21  SAC     udp  24.66.28.164:61111    X.X.X.X:53    

22  SAC     udp  115.230.124.22:6902   X.X.X.X:53    

23  SAC     udp  220.166.59.235:33113  X.X.X.X:53    

24  SAC     udp  188.75.90.104:54163   X.X.X.X:53    

25  SAC     udp  103.202.227.8:970     X.X.X.X:53    

26  SAC     udp  195.29.228.25:62366   X.X.X.X:53    

27  SAC     udp  220.166.59.235:35561  X.X.X.X:53    

28  SAC     udp  64.237.35.99:6499     X.X.X.X:53    

29  SAC     udp  103.202.227.8:40833   X.X.X.X:53    

30  SAC     udp  62.193.15.145:58128   X.X.X.X:53    

31  SAC     udp  64.237.35.99:48570    X.X.X.X:53    

32  SAC     udp  220.166.59.235:8320   X.X.X.X:53    

33  SAC     udp  139.129.144.147:16378 X.X.X.X:53    

34  SAC     udp  220.166.59.235:39904  X.X.X.X:53    

35  SAC     udp  72.130.72.31:14134    X.X.X.X:53    

36  SAC     udp  64.237.35.99:25145    X.X.X.X:53    

37  SAC     udp  47.90.2.91:50761      X.X.X.X:53    

38  SAC     udp  198.44.251.195:64779  X.X.X.X:53  

X.X.X.X - е моя външен IP адрес.

Става въпрос за 2000-3000 UDP Конекции/

Натоварването на CPU-то е :

system resource monitor 

          cpu-used: 77%

  cpu-used-per-cpu: 77%

       free-memory: 99716KiB

 

Това, което направих е :
- блокирах UDP протокола към дадения интерфейс през 53-ти порт, без гугълските DNS.
- Използвах и препоръките от сайта на микротик за DDoS Detection and Blocking. (http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking)
- Блокирах всички вътрешни мрежи, освен тези които не използвам.
- Ъпгрейднал съм до OS 6.34.3
- Всички сървиси са спрени през изходящите интерфейси.

Общо взето каквито и правила да слагам, единствено натоварвам повече RouterBord-a, но атаките не спират. Нямам публикувани услуги през дивайса. Прави ми впечатление, че има и SIP конекции, май си ме използват за стабилен рилей.

Ясно ми е, че доставчика на интернет услугата е най-добре да ме протектне, но честно казано за 30-те лв. на месец, които получават от мен за 100 Mbps, на дали и пръста ще си мръднат.

Ще бъда благодарен за още идеи :)

Поздрави!

Редактирано от xrouted
Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор
Преди 1 час, xrouted написа:

- блокирах UDP протокола към дадения интерфейс през 53-ти порт, без гугълските DNS.

когато ти идва днс от вътрешна заявка не минава през "инпут"

използвай стандартните firewall настройки

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Basic_examples

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 1 час, 111111 написа:

когато ти идва днс от вътрешна заявка не минава през "инпут"

използвай стандартните firewall настройки

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Basic_examples

Прав си да!

 

За момента овладях положението, да видим до кога!

Ето как:

 

############################################################################################################################
#### Remove any private subnets that you are not using.                                                                   ##
############################################################################################################################
/ip firewall address-list
add address=10.0.0.0/8 list=DNS_Accept
add address=172.16.0.0/12 list=DNS_Accept
add address=192.168.0.0/16 list=DNS_Accept

############################################################################################################################
#### Add your DNS servers to the DNS_Accept list. Remove and DNS servers you are not using for your router.               ##
############################################################################################################################

add address=8.8.8.8/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=8.8.4.4/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=4.2.2.1/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=4.2.2.2/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"


/ip firewall filter
add action=jump chain=input comment="Jump to DNS_DDoS Chain" disabled=no jump-target=DNS_DDoS
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no port=53 protocol=tcp src-address-list=DNS_Accept
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no dst-address-list=DNS_Accept port=53 protocol=tcp
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no port=53 protocol=udp src-address-list=DNS_Accept
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no dst-address-list=DNS_Accept port=53 protocol=udp
add action=add-src-to-address-list address-list=DNS_DDoS address-list-timeout=0s chain=DNS_DDoS comment="Add DNS_DDoS Offenders to Blacklist" disabled=no port=53 protocol=tcp src-address-list=!DNS_Accept
add action=add-src-to-address-list address-list=DNS_DDoS address-list-timeout=0s chain=DNS_DDoS comment="Add DNS_DDoS Offenders to Blacklist" disabled=no port=53 protocol=udp src-address-list=!DNS_Accept
add action=drop chain=DNS_DDoS comment="Drop DNS_DDoS Offenders" disabled=no src-address-list=DNS_DDoS
add action=return chain=DNS_DDoS comment="Return from DNS_DDoS Chain" disabled=no
/

 

BTW - ип-то ми беше блеклистнато! Което ме наведе на мисълта да се обадя на доставчика за да ми дадат ново IP, докато ми приемат рекуеста и ме изкарат от блеклиста.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

това е безмислено

/ip firewall address-list
add address=10.0.0.0/8 list=DNS_Accept
add address=172.16.0.0/12 list=DNS_Accept
add address=192.168.0.0/16 list=DNS_Accept

просто добавяш 
при инпут на ВАН интерфейса дроп правило
без да оказваш нищо друго, като над него описваш кое ти трябва като протокол:порт

/ip fi fi

add chain=input in-interface=WAN action=drop comment="Drop everything on WAN" 

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

:)  Отново отворен за DNS рекурсия Mikrotik :)  Ограничи си кои може да  те "пита" за всичко. И разкарай отметката "Allow Remote Requests"

Адрес на коментара
Сподели в други сайтове

  • 0

Не е от това. Както споменах, нямам нонстоп работещи машини... опобено през деня докато няма никой вкъщи.

Ако махна " Allow Remote Requests ", трябва да набия статички ДНС и няма как да го ползвам борда...

 

преди 7 минути, stanstanyov написа:

Провери какво правят машините от вътрешната мрежа. Много често такъв трафик е предизвикан от някой вътрешен "заразен" компютър.

---

 

Mihail Peltekov, ако махне "Allow Remote Requests" , как ще полза борда за днс-сървър на вътрешната си мрежа?



 

Адрес на коментара
Сподели в други сайтове

  • 0

Не колега, главоболие не се лекува с рязане на главата. Съветът ти "разкарай отметката "Allow Remote Requests" звучи точно така. Може би човекът иска да си ползва микротика като ДНС-сървър на мрежата, не мислиш ли? И да, такива ДНС-флудове много често започват от някакви вътрешни заявки от мрежата, случвало ми се е многократно.

Проблемът се решава лесно с прост филтър, между впрочем, но нали е добре да се разбере какво го е предизвикало все пак? Адресите по-горе са китайски естествено, може да се направи и динамична блок адрес-листа, ако пък някой много държи да му е отворен днс-а и навън.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 19 часа, Mihail Peltekov написа:

Какви заразени компютри какво чудо... Написах горе от какво се е получило. Нищо не му пречи да си ползва DNS-сите на доставчика и тях да ги раздава по DHCP ;)

хем съгласен хем не

има доставчици с невероятно стари записи по скоро гугъл и опен днс да се ползват 

Цитат

 

8,8,8,8 и 8,8,4,4

208.67.222.222
208.67.220.220

 

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Горе долу преди година се сблъсках с една атака  http://sheki.zlatograd.com/blog/how-to-drop-outside-dns-requests-on-mikrotik-router/

Не отговарям на постове написани с шльокавица!

Адрес на коментара
Сподели в други сайтове

  • 0

Отново ме налазиха с UDP .... трябваше им само ден-два да ме открият с новия адрес. Явно рестрикциите не вършат работа!

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 5 часа, xrouted написа:

Отново ме налазиха с UDP .... трябваше им само ден-два да ме открият с новия адрес. Явно рестрикциите не вършат работа!

Аз ти казвам, че вътрешен компютър го прави това... Провери ли с Torch какво имаш на интерфейсите, както ти казах?

Адрес на коментара
Сподели в други сайтове

  • -1

Провери какво правят машините от вътрешната мрежа. Много често такъв трафик е предизвикан от някой вътрешен "заразен" компютър.

---

 

Mihail Peltekov, ако махне "Allow Remote Requests" , как ще полза борда за днс-сървър на вътрешната си мрежа?

Адрес на коментара
Сподели в други сайтове

  • -1

Какви заразени компютри какво чудо... Написах горе от какво се е получило. Нищо не му пречи да си ползва DNS-сите на доставчика и тях да ги раздава по DHCP ;)

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.