DDoS Detection and Blocking - Help

[xrouted]

Здравейте колеги,

от няколко дни съпорта на ISP-то, което ползвам вкъщи ми звъни и ми обяснява, че има голям UDP трафик към мойто IP. Викам айде.. щом втори път звънят ще влезна да проверя. Та какво да видя...

 

/ip firewall connection print                             

Flags: E - expected, S - seen-reply, A - assured, C - confirmed, 

D - dying, F - fasttrack, s - srcnat, d - dstnat 

 #          PR.. SRC-ADDRESS           DST-ADDRESS           TCP-STATE  

 0  SAC     udp  195.29.228.25:23648   X.X.X.X:53    

 1  SAC     udp  220.166.59.235:28055  X.X.X.X:53    

 2  SAC     udp  198.44.251.195:25405  X.X.X.X:53    

 3  SAC     udp  195.29.228.25:6502    X.X.X.X:53    

 4  SAC     udp  220.166.59.235:30119  X.X.X.X:53    

 5  SAC     udp  188.75.90.104:43692   X.X.X.X:53    

 6  SAC     udp  198.44.251.195:44254  X.X.X.X:53    

 7  SAC     udp  120.25.65.55:1726     X.X.X.X:53    

 8  SAC     udp  72.130.72.31:39948    X.X.X.X:53    

 9  SAC     udp  64.237.35.99:46991    X.X.X.X:53    

10  SAC     udp  62.193.15.145:48508   X.X.X.X:53    

11  SAC  s  tcp  192.168.88.230:51866  191.232.139.253:443   established

12  SAC     udp  220.166.59.235:41407  X.X.X.X:53    

13  SAC     udp  195.29.228.25:55449   X.X.X.X:53    

14  SAC     udp  184.189.253.120:23615 X.X.X.X:53    

15  SAC     udp  123.57.8.102:22127    X.X.X.X:53    

16  SAC     udp  47.90.2.91:107        X.X.X.X:53    

17  SAC     udp  188.75.90.104:43990   X.X.X.X:53    

18  SAC     udp  139.129.144.147:9443  X.X.X.X:53    

19  SAC     udp  195.29.228.25:13126   X.X.X.X:53    

20  SAC     udp  195.29.228.25:7616    X.X.X.X:53    

21  SAC     udp  24.66.28.164:61111    X.X.X.X:53    

22  SAC     udp  115.230.124.22:6902   X.X.X.X:53    

23  SAC     udp  220.166.59.235:33113  X.X.X.X:53    

24  SAC     udp  188.75.90.104:54163   X.X.X.X:53    

25  SAC     udp  103.202.227.8:970     X.X.X.X:53    

26  SAC     udp  195.29.228.25:62366   X.X.X.X:53    

27  SAC     udp  220.166.59.235:35561  X.X.X.X:53    

28  SAC     udp  64.237.35.99:6499     X.X.X.X:53    

29  SAC     udp  103.202.227.8:40833   X.X.X.X:53    

30  SAC     udp  62.193.15.145:58128   X.X.X.X:53    

31  SAC     udp  64.237.35.99:48570    X.X.X.X:53    

32  SAC     udp  220.166.59.235:8320   X.X.X.X:53    

33  SAC     udp  139.129.144.147:16378 X.X.X.X:53    

34  SAC     udp  220.166.59.235:39904  X.X.X.X:53    

35  SAC     udp  72.130.72.31:14134    X.X.X.X:53    

36  SAC     udp  64.237.35.99:25145    X.X.X.X:53    

37  SAC     udp  47.90.2.91:50761      X.X.X.X:53    

38  SAC     udp  198.44.251.195:64779  X.X.X.X:53  

X.X.X.X - е моя външен IP адрес.

Става въпрос за 2000-3000 UDP Конекции/

Натоварването на CPU-то е :

system resource monitor 

          cpu-used: 77%

  cpu-used-per-cpu: 77%

       free-memory: 99716KiB

 

Това, което направих е :
- блокирах UDP протокола към дадения интерфейс през 53-ти порт, без гугълските DNS.
- Използвах и препоръките от сайта на микротик за DDoS Detection and Blocking. (http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking)
- Блокирах всички вътрешни мрежи, освен тези които не използвам.
- Ъпгрейднал съм до OS 6.34.3
- Всички сървиси са спрени през изходящите интерфейси.

Общо взето каквито и правила да слагам, единствено натоварвам повече RouterBord-a, но атаките не спират. Нямам публикувани услуги през дивайса. Прави ми впечатление, че има и SIP конекции, май си ме използват за стабилен рилей.

Ясно ми е, че доставчика на интернет услугата е най-добре да ме протектне, но честно казано за 30-те лв. на месец, които получават от мен за 100 Mbps, на дали и пръста ще си мръднат.

Ще бъда благодарен за още идеи

Поздрави!

Редактирано 9 Май, 2016 от xrouted

[JohnTRIVOLTA]

Да добавя и към тях /google dns , open dns/ и L3 DNS  4.2.2.1/2/3/4

Редактирано 11 Май, 2016 от JohnTRIVOLTA