Olá amigos do Under, estou eu aqui mais uma vez com um pequeno problema em minha rede, recentemente comprei uma RB1016 para repor no lugar de uma RB1009 por questões de licenciamento por parte da Anatel, até ai ok, agora vem a duvida/problema, no dia que implantei a RB1016, percebi que a taxa de download de todas as portas estava demasiada grande, mesmo sem utilização por parte dos clientes, uma porta que consumia 15MB estava consumindo 50MB+ no momento, na hora pensei que era algum BUG do MK/Winbox, passou um tempo (coisa de 6 horas) começo a receber reclamações vindas dos clientes, dizendo que estava lento, verifiquei o MK e percebi que o possivel bug continuava ocorrendo, tinha poucos usuarios conectados no momento e o ping para estes estava muito alto, tentei descobrir de onde vinha tal trafego (isso é em todas as portas com exceção da WAN que aparentava estar normal), não era de nenhum usuario, seja PPPOE ou HOTSPOT, ai foi a hora que me lembrei da ferramente TORCH, assim que coloquei para dar um TORCH na porta, o trafego estranho parou, o ping para as pessoas voltaram ao normal, e as pessoas voltaram a conectar. Até agora, percebi que, se eu deixar sem o torch, o trafego retorna de forma misteriosa, mas se eu ativo o mesmo em qualquer umas das portas que estão sendo utilizadas, ele cessa. Seria isto algum bug da versão do MK que veio (6.29.1) ou algum problema fisico na RB?
Recentemente, creio eu, que tenha sofrido um ataque, pois, o que era só o download, partiu para o UPLOAD e o TORCH não resolveu, dei o TORCH, apareceu como se um NOTEBOOK meu, que tem acesso à rede por meio do IP BINDING do HOTSPOT tivesse ocasionando tal trafego enorme de upload sendo que ele estava desativado, retirei a regra do BINDING e o trafego parou.
Pontos interessantes:
- Na outra RB (1009 com o RouterOS 6.35) tal coisa não acontece, já coloquei meus clientes nela e eles se mantiveram normal por diversas horas, tambem testei em uma RB1100AHX2 com o RouterOS 6.24 que possuo aqui e não ocorreu nada anormal. Todas com as mesmas configurações sem diferença alguma aparentemente.
- Seja em PPPOE ou HOTSPOT, nenhum usuario está possibilitado a consumir tanto (com exceção de mim, o ADM).
- O trafego para assim que o TORCH inicia, não me possibilitando ver de onde ele está vindo.
- Isto é nas portas dos clientes, a WAN continua normal, por exemplo, nas portas o pessoal aparece consumindo teoricamente 150MB porém na WAN não estão passando de 60MB.
- É como se o trafego de uma porta passasse para outra e por ai vai, ele meio que clona a velocidade da outra porta.
- Utilizo uma bridge, mas creio que isto não tenha nada haver, pois nas outras RB's eu faço a mesma coisa e para elas funciona normalmente.
Creio eu que caso seja alguem querendo fazer algo com minha rede, ele não identificaria eu dando TORCH pois não é possivel ele saber qual é a hora exata que coloco o TORCH para rodar, pois creio eu que ele não faz nada, não abre ip ou algo do tipo.
Imagem do problema:
Imagem da tentativa de invasão e aparentemente DDOS na rede pois o trafego de UPLOAD subiu consideravelmente: