galera me ajuda, estou sofrendo vários dias com net lenta, pesquisei na internet sobre o tema ataque ddos então achei uma regra pra bloquear coloquei porem na muito eficaz alguém poderia me ajuda !
Versão Imprimível
galera me ajuda, estou sofrendo vários dias com net lenta, pesquisei na internet sobre o tema ataque ddos então achei uma regra pra bloquear coloquei porem na muito eficaz alguém poderia me ajuda !
Bloqueio ataque sshCitação:
Postado originalmente por str182
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
dst-port=22-23 protocol=tcp
Esta ai uso essa regra ai e é 100% funcional. verifica ai no log do seu servidor microtik quais portas esta sobre ataque..
o cpu da Rb está alto?
não mostra porta !
1 - Se for realmente ataque DDOS, não existe regra que vc possa criar que irá parar o ataque.
2 - Agora, se for tentativa de acesso a alguma porta/serviço especifico, ai você tem que descobrir qual é essa porta/serviço e a bloquear no firewall...
/ip firewall filter
add action=add-src-to-address-list address-list="flood blockeado" address-list-timeout=2d chain=input comment="*****PROTE\C7\C3O DOS/*******" connection-limit=26,32 \
protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list="flood blockeado"
add action=jump chain=forward comment="SYN Flood protect" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new limit=400,5: packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
/ip settings set tcp-syncookies=yes
proteção DDOS
o cpu ta normal !
aparece algo no log?
daniel coloquei essa regra aq só que de o um problemas, uns sites parava de fusionar é demorava muito para abri videos tenho uma rb 1036 com 400 clientes tinha um cara pra fazer isso pra min porem o cara foi pra RJ fazer curso nao tenho mas contatos se poderme ajuda agradeço!
pelo log só ta dizendo que tem um usuario tentando se conectar,mas não está conseguindo
só isso que aparece?
acho que essa regra que esse cara mando ta pegando melhorou muito aq a net vou deixa no teste ate amanha !
desde já, agradeço a todos por me ajuda !
blz . se pegou é pq devia estar tendo ataque nas portas 21,22,23 se vc não utilizar essas portas vc pode desabilitar em ip services ou trocar a porta
ja que vc botou a regra deixa aee .
boa noite
Me desculpe mas nessa imagem postada nada mais significa que um cliente esta tentando conectar via Pppoe porém está dando nome de usuário e senha invalida.
Não tem nada de ataque e DDOS.
Vamos aprender a analisar as coisas antes de sair falando qualquer coisa pessoal.
Analisei o log dele e em 2 segundos já vi o erro, é sim usuários tentanto de conectar e o erro está na autenticação provavelmente usuário e/ou senha incorreta. já não tinha respondido isso antes porque sou novo aqui.Citação:
Postado originalmente por rimaraujo
o que deve ter acontecido, é que acidentalmente você ou alguém apagou esses usuários lá em secrets e eles estão discando sem sucesso.
E ainda tem 400 clientes.
Não entendi a postagem.Citação:
Postado originalmente por DjeiBoy
De no de tirou esses números?
Ele que mandou que tem uma CCR 1036 com 400 clientes.
Citação:
Postado originalmente por rimaraujo
verdade só diz isso. vi isso também só um pequeno erro.
Aadilsoncamargo Muito obrigado sua regra me ajudou muito os clientes disseram que ta normal !!
Muito interessante! :)
Se quiser posso te passa algimas regras que aprendir no curso bato foto das regra que veio na monha apostila ai voce aplica no seu servidor nao tive nenhumnproblema te hoje! Meu email [email protected]
Me da um alo se precisa que eu te passo !
interessante se vc quiser me enviar também .Citação:
Postado originalmente por raphaelcosta
meu e-mail
[email protected]
Pessoal estou tendo problemas aqui também, mas aqui é de verdade kkkk ... ão consigo identificar i cliente que esta sendo atacado, alguém poderia me dar uma dica de como identificar o cliente que esta sendo usado para o ataque e o ip de quem esta atacando??
Como chegou a essa conclusão, manda prints, logs e mais detalhes pq só com base em oque você disse não dá pra ajudar não
Pessoal ataque de DDos é isso aqui!
Bgp recebendo ataque que nem a operado não sabe o que fazer se alguém ai tiver alguma solução pode mandar estamos recebendo toda ajuda possível obrigado.