galera me ajuda, estou sofrendo vários dias com net lenta, pesquisei na internet sobre o tema ataque ddos então achei uma regra pra bloquear coloquei porem na muito eficaz alguém poderia me ajuda !
galera me ajuda, estou sofrendo vários dias com net lenta, pesquisei na internet sobre o tema ataque ddos então achei uma regra pra bloquear coloquei porem na muito eficaz alguém poderia me ajuda !
Bloqueio ataque ssh
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
dst-port=22-23 protocol=tcp
Esta ai uso essa regra ai e é 100% funcional. verifica ai no log do seu servidor microtik quais portas esta sobre ataque..
1 - Se for realmente ataque DDOS, não existe regra que vc possa criar que irá parar o ataque.
2 - Agora, se for tentativa de acesso a alguma porta/serviço especifico, ai você tem que descobrir qual é essa porta/serviço e a bloquear no firewall...
/ip firewall filter
add action=add-src-to-address-list address-list="flood blockeado" address-list-timeout=2d chain=input comment="*****PROTE\C7\C3O DOS/*******" connection-limit=26,32 \
protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list="flood blockeado"
add action=jump chain=forward comment="SYN Flood protect" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new limit=400,5: packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
/ip settings set tcp-syncookies=yes
proteção DDOS
daniel coloquei essa regra aq só que de o um problemas, uns sites parava de fusionar é demorava muito para abri videos tenho uma rb 1036 com 400 clientes tinha um cara pra fazer isso pra min porem o cara foi pra RJ fazer curso nao tenho mas contatos se poderme ajuda agradeço!
pelo log só ta dizendo que tem um usuario tentando se conectar,mas não está conseguindo
acho que essa regra que esse cara mando ta pegando melhorou muito aq a net vou deixa no teste ate amanha !
desde já, agradeço a todos por me ajuda !
blz . se pegou é pq devia estar tendo ataque nas portas 21,22,23 se vc não utilizar essas portas vc pode desabilitar em ip services ou trocar a porta
ja que vc botou a regra deixa aee .
boa noite
Me desculpe mas nessa imagem postada nada mais significa que um cliente esta tentando conectar via Pppoe porém está dando nome de usuário e senha invalida.
Não tem nada de ataque e DDOS.
Vamos aprender a analisar as coisas antes de sair falando qualquer coisa pessoal.
o que deve ter acontecido, é que acidentalmente você ou alguém apagou esses usuários lá em secrets e eles estão discando sem sucesso.
E ainda tem 400 clientes.
Ele que mandou que tem uma CCR 1036 com 400 clientes.