Então amigo aki tambem começou assim , mas ontem ficou uns 5minutos , ative que desativar minha porta wan deixar uns 2 minutos desativa e ativar de novo, pq não parava!seu link é fibra? Voce tem roteador se sim qual marca?
Versão Imprimível
Então amigo aki tambem começou assim , mas ontem ficou uns 5minutos , ative que desativar minha porta wan deixar uns 2 minutos desativa e ativar de novo, pq não parava!seu link é fibra? Voce tem roteador se sim qual marca?
Amigo tambem estou com esse problema.
Tem um host internacional 199.48.62.162 cosumindo 500-600k de banda com tentativas nas porta 5060(udp), o filtro ja esta chegando a 47GB!!!!!
Entrei em contato com a embratel e eles me inormaram que o bloqueio deve ser feito por mim, "A Embratel não faz filtros".
Não seu o que fazer! Mudar de Operadora??
Bom, passei por esse mesmo problema a uns dias atras, gerando um trafego intenso o dia todo, coisa de 10...20 mb de trafego sem parar, pesquisei , me mandaram fazer um filtro com tarpit, não funcionou, fiz um bloqueio da range de ips, no meu caso era ataque DDoS mesmo, ate que numa conversa com um amigo de uma Telecom que vende link dedicado com rádios de frequência fechada, me passou algumas dicas, consegui chegar a uma regra de firewall que resolveu meu problema, estou usando essa regra a alguns meses... vamos lá:
/ip firewall filter
add action=drop chain=forward comment="Bloqueio DDoS" disabled=no dst-port=161 protocol=udp
Por favor, se lhe foi útil, poste os resultados e clique na estrelinha :)
Sofri dias atras o mesmo ataque segue a img, um determinado IP me mando varias solicitações de UDP com isso congestionando meu link, fiz diversas regras e mesmo assim não bloqueava, liguei na ctbc onde pego o link, ( não possuo AS e nem BGP) e pedi para bloquear esse ip e estou esperando a resposta dele..
Anexo 46593
segue img abaixo varias conexões do mesmo ip da porta que ele esta atacando.
Anexo 46594
Segue abaixo uma das regras que fiz.
Fiz regra de Reject e drop mesmo assim o ataque continuava.
Fiz regra para bloquear conexão invalidas e nd.
Fiz de tudo mesmo.
Src-Address - Ip do atacante
Dst-Address - Ip que esta recebendo o ataque, coloquei também meu bloco inteiro.
Protocol - 17 UDP
Src-Port - Porta que esta mandando o ataque.
Dst-Port - coloquei todas as portas. pois são varias que ele atacava.
In. Interface - Interface onde recebe o link da operado.
Action - coloquei drop depois mudei para reject.
Anexo 46595
Podemos verificar img abaixo que mesmo assim consumia o link.
Bloqueei UDP dele fiz de tudo, mesmo assim ele consumia meu link.
Unica solução que achei cabível, ligar onde contratei o link e informa a eles se é possível fazer algo ou bloquear, esperei o telefonema de retorno e ainda nd e o ataque parou hoje.
Alguém com experiencia tem alguma ipo tese no que posso fazer..
Anexo 46596
So para ficar melhor o intendimento, contratei 50mbs da CTBC e com isso fiz as devidas configurações na minha RB 1100 Ahx2.
Ether 1 configurei o ip wan que eles deram / 30.
Eles redirecionaram um /25 para mim de ips públicos e tive que fazer RIP em cima deles .
Criei uma bridge coloquei o bloco / 25 em cima da bridge
Percebi que o ataque ia para um ip do meu bloco /25 com isso desative esse bloco o ataque parou, problema que tenho serviços em cima desse bloco etcc..
Ativava o bloco o ataque voltava.
Outra informação, eu quebrei meu bloco em um / 30 para um serviço meu e com isso fico exemplo RB1100 Ahx2 187.x.x.1/30 e meu serviço 187.x.x.2 /30 e ele atacava minha rb no caso esse ip 187.x.x.1, eu fiz o seguinte desativei esse ip, mesmo desativado ele consegui chega em mim. Unica opção foi desativa o bloco inteira e o RIP ae o ataque parou e meus serviços também, pois dependo do ip publico.
boa noite amigos, estou passando pelo mesmo problema de ataque, alguém pode me dar uma dica de como resolver....
criei uma regra em filter rules - chain:forward - SRC Address: Bloco do IP do Ataque - Action: drop.
A regra contabiliza, porem não elimina o ataque!
Veja a imagem de um torch na interface.
Anexo 61620