#  > Geral >  > Segurança >  >  Ataque na Cloud Core Router - Mikrotik

## pedrohafe

Olá colegas

Ontem a noite, no provedor que trabalho, notamos que o tráfego subiu demais na ether que recebo o link porém não havia consumo na rede interna, todos os meus clientes apesar de autenticados não conseguiam navegar. Desabilitei o PPPoE Server para eliminar a possibilidade do problema partir da rede interna e o problema ainda persistiu, troquei o link para outra ether e o problema ainda persistia. Um colega da área nos disse que estavamos sendo atacados e que a solução imediata seria desabilitar a rota do link, assim fizemos, esperamos um tempo e habilitamos novamente, a rede foi normalizada e pude reabilitar o PPPoE Server. A dúvida é, que espécie de ataque seria esse e como se defender de um ataque assim? Basicamente "desligamos" a rota e ligamos novamente, então seria possível a recorrencia deste ataque. Alguém ja passou por algo parecido?

Att
Pedro Henrique

----------


## berghetti

Você tem que ver o tipo de ataque que está sofrendo e bloquear, você tem que ver a origem do ataque a qual serviço está direcionado e tal, algumas vezes dependendo do ataque, se for link dedicado, você pode ligar na operadora e pedir para bloquear, a origem do ataque, mas o correto é você bloquear a porta que estão te atacando, pois se a operadora bloquear o IP o atacante simplesmente vai mudar de endereço rsrs

----------


## denilsoncosta

Provavelmente ataque de DNS na porta 53, o meu tava upando 25 megas no link da Livetim sem uso de cliente, coloquei aquela regra de dropar o DNS e resolveu na hora. Faça um teste no openresolver.com, coloque o ip público e se aparecer uma mensagem vermelha implemente a regra urgente.

----------


## pedrohafe

Tenho uma regra de drop na porta 53 para protocolo UDP, quando fiz reduzi drasticamente a latencia dos clientes, mas nesse caso eu teria que bloquear também as requisições em TCP? Isso não afetaria meus clientes de forma negativa?

----------


## berghetti

Oque o @*denilsoncosta* sugeriu foi bloquear as requisições de DNS que vêem de fora de sua rede, bloqueia na Chaim input o protocolo TCP e UDP a porta 53, isso não afetara seus clientes porque eles estão dentro da rede.

----------


## denilsoncosta

> Oque o @*denilsoncosta* sugeriu foi bloquear as requisições de DNS que vêem de fora de sua rede, bloqueia na Chaim input o protocolo TCP e UDP a porta 53, isso não afetara seus clientes porque eles estão dentro da rede.


Isso que fiz e nunca mais tive problema. Fez o teste no openresolver.com?

----------


## berghetti

A esqueci, coloca a interface do seu link como interface de entrada na regra.  :Wink:

----------


## denilsoncosta

Use esta regra: 

/ip firewall filter add chain=input in-interface=LINK dst-port=53 protocol=udp action=drop

OBS.: Não esquece de alterar a interface do LINK para a sua ether.

Qualquer dúvida pode consultar o tópico:

https://under-linux.org/showthread.php?t=180472

----------


## deson00

veja os videos abaixo que vc vai ter uma ideia do ataque

----------


## Conectiva

Caro, ja tive esse problemas, assim como os colegas acima descreveram o ataque é via porta 53 provenientes em sua maioria da china, país esse onde o acesso é controlado pelo governo, sendo assim eles usam redes sem proteção para navegarem em sites bloqueado pelo governo deles. 
Basta seguir a recomendações acima "dropando" essa porta. Cuidado para não fechar totalmente ou vai derrubar a resolução DNS e seus clientes não vou conseguir resolver os sites vai apenas "pingar". Pesquise um pouco como fazer tem aqui no forum. Boa sorte.

----------


## oestecom

> Use esta regra: 
> 
> /ip firewall filter add chain=input in-interface=LINK dst-port=53 protocol=udp action=drop
> 
> OBS.: Não esquece de alterar a interface do LINK para a sua ether.
> 
> Qualquer dúvida pode consultar o tópico:
> 
> https://under-linux.org/showthread.php?t=180472



Efetuei a regra acima, mas fiz o teste no http://openresolver.com/ e continuo em vermelho. oque pode ser ?

----------


## FabricioViana

Amigo, pelo que paraece é DNS mesmo. Muito comum isso.

Escrevi um texto sobre isso. Clique aqui ou aqui
Veja se ajuda!
Abraço
Fabricio

----------


## oestecom

Amigo, e regra estava certa, eu só tive que colocar ela em primeiro e daí funcionou !
Muito obrigado!

----------


## pedrohafe

Amigos, fiz conforme recomendaram e o problema foi solucionado, fiquei impressionado com a quantidade de informação que a regra tem descartado. Muito obrigado a todos pelas sugestões.

Agora passo por um outro problema, alguns clientes que alugam IP público estão sofrendo um ataque, no domingo um cliente estava recebendo muita informação mesmo com toda a rede interna dele desativada, tivemos que trocar o IP dele, só assim ele pode voltar pro ar. Não faço a menor ideia do que possa ser.

----------


## agatangelos

> Amigos, fiz conforme recomendaram e o problema foi solucionado, fiquei impressionado com a quantidade de informação que a regra tem descartado. Muito obrigado a todos pelas sugestões.
> 
> Agora passo por um outro problema, alguns clientes que alugam IP público estão sofrendo um ataque, no domingo um cliente estava recebendo muita informação mesmo com toda a rede interna dele desativada, tivemos que trocar o IP dele, só assim ele pode voltar pro ar. Não faço a menor ideia do que possa ser.



cara pode ser alguém dentro da sua rede com vírus, habilita o ip dele e quando acontecer da um torch na interface e ve se esta vindo de outro ip interno. testa e nos diz como ficou.

----------


## pedrohafe

> cara pode ser alguém dentro da sua rede com vírus, habilita o ip dele e quando acontecer da um torch na interface e ve se esta vindo de outro ip interno. testa e nos diz como ficou.


Fiz como você sugeriu, todos os ips atacam necessariamente a porta 53, udp, e são todos ips externos.

----------


## deson00

A ideia é a mesma para qualquer ip publico.

----------


## pedrohafe

> Amigo, pelo que paraece é DNS mesmo. Muito comum isso.
> 
> Escrevi um texto sobre isso. Clique aqui ou aqui
> Veja se ajuda!
> Abraço
> Fabricio


Conforme o colega citou acima nos links que ele postou, fiz como recomendado e o problema foi sanado completamente. Muito obrigado a todos pelas sugestões.

----------


## Dimas

Uma boa medida preventiva a muitos problemas seria implementar política de Drop para os Port Scanners.

Aqui no Forum ou na Wiki Mikrotik você pode encontra muito material sobre o assunto.

https://under-linux.org/showthread.php?t=138189

http://wiki.mikrotik.com/wiki/Drop_port_scanners

----------

