Versão Imprimível
Boa tarde
Verificando estes dias alguns travamentos verifiquei que uma regra de drop do filters estava com trafego bem alto então coloquei para gerar um log .
Aparentemente é um ataque de dns externo em um dos meus links, o que devo fazer ? Alguem esta passando por isso também ?
Qual versão do MK estão usando e sera que a versão infuencia .
Obrigado desde ja pela atenção de todos .
Segue print
Anexo 59506
Cara se já está dropando a porta 53 do que é vindo pela porta externa já tá ok, agora desativa a exibição do log pra não encher a memória RAM da Rb
Poderia também fazer uma Black list adicionando que está atacando pra já bloquear o acesso de imediato sem tantos drops aumentando o uso da memória RAM da RB TAMBÉM
Queria agradecer ao franciskv a ao Arthur Bernardes que dispuseram do seu tempo para responder ao tópico , quanto a regra de drop do dns externo eu já tinha ele rodando o que achei muito estranho foi o tráfego gerado por ela, como proposto vou configurar uma blacklist também . Agradeço novamente pela atenção .
Só uma outra pergunta devo configurar esta mesma regra nos outros concentradores ou só no loadbalance ?
Ok ideal é configurar essa regra em qualquer roteador que trabalhe com IP público ou tenha comunicação com outra operadora mais principalmente onde se utiliza IP público
Bom dia,
Para tráfego UDP, mesmo que você crie a regra de DROP, ele vai chegar até você, consumindo a banda do seu link. Se você tivesse um ASN, poderia bloquear o tráfego para esse IP específico usando BGP, mas vejo que não é o seu caso.
Abraço
Conforme o amigo franciskv sugeriu eu fiz uma blacklist para o mk dropar porem para minha surpresa ja tenho nesta lista 287949 ips vou ter que deixar só a regra de drop mesmo .
Segue imagem para apreciação .
Anexo 59586
Cara posta suas regras de drop porque das duas uma ou muitos hosts já estavam utilizando seu dns ou essa regra está errada
segue meu filters
/ip firewall filter
add chain=forward dst-port=8090 protocol=tcp
add chain=input comment="Allow Established connections" connection-state=\
established
add chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m \
protocol=tcp
add chain=icmp comment="##### Permite todos needed icmp codes in icmp chain:" \
icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fragmentation required" icmp-options=\
3:4 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add chain=input comment="Allow ICMP" protocol=icmp
add action=add-src-to-address-list address-list="ataque dns " \
address-list-timeout=4w2d chain=input comment="BLOQUEIO - DNS EXTERNO" \
disabled=yes dst-port=53 in-interface=" PPPOE - link2 - gvt masterinfo" \
protocol=udp
add action=add-src-to-address-list address-list="ataque dns " \
address-list-timeout=4w2d chain=input disabled=yes dst-port=53 \
in-interface=" PPPOE - link3 - gvt masterinfo" protocol=udp
add action=drop chain=input comment="BLOQUEIO - DNS EXTERNO" dst-port=53 \
in-interface=" PPPOE - link2 - gvt masterinfo" log-prefix="DNS EXTERNO" \
protocol=udp
add action=drop chain=input dst-port=53 in-interface=\
" PPPOE - link3 - gvt masterinfo" log-prefix="DROP - DNS EXTERNO" protocol=\
udp
add action=drop chain=input log-prefix="DNS EXTERNO" src-address-list=\
"ataque dns "
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add action=drop chain=forward comment=\
"##### Bloqueio de \"Bogon IP Addresses\"" src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment=\
"##### Protege o Router para portas scanners" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp \
tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" src-address-list=\
"port scanners"
add action=drop chain=input comment="##### Somente 10 FTP login incorrect" \
dst-port=21 protocol=tcp src-address-list=ftp_blacklist
Verifiquei que alguns IP são originários da França e China te recomendaria a manter a Black-list para evitar futuros processamentos para dropar esses pacotes de novo
Segue sá as regras de drop do dns extrerno
add action=drop chain=input comment="BLOQUEIO - DNS EXTERNO" dst-port=53 \
in-interface=" PPPOE - link2 - gvt masterinfo" log-prefix="DNS EXTERNO" \
protocol=udp
add action=drop chain=input dst-port=53 in-interface=\
" PPPOE - link3 - gvt masterinfo" log-prefix="DROP - DNS EXTERNO" protocol=\
udp
add action=drop chain=input log-prefix="DNS EXTERNO" src-address-list=\
"ataque dns "
Ok vou manter a blacklist e vou informando para os amigos do forum o que esta ocorrendo obrigado pela ajuda franciskv
Bacana