Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Vírus ou ataque na rede

    Olá Srs.

    Preciso de um help.

    Tenho uma rede em bridge (como é o caso da maioria dos provedores) mas breve pretendo roteá-la, com 4 repetidoras mistas 2.4 e 5.8 (linha M5), utilizo hotspot nas 2.4 e PPPoE nas 5.8.

    O problema éo seguinte: Todos os dias em horários alternados a rede fica lenta e com latência alta, após algumas investigações notei que sobe os PP/S na interface que serve a rede do servidor mikrotik, ou seja, ele escuta esses pacotes de algum lugar de dentro da rede, e para ajudar esses pacotes correm por toda a rede as bridges os APs(M5), com isso provocando toda essa lentidão. Não estou conseguindo identificar de onde vem esses pacotes.
    Rodei o Torch e o Packet Sniffer do Mikrotik, segue em anexo.

    Nas bridges RB 433 uso filtro de bridge das interfaces e bloqueio de netbios e default foward desmarcado, nas bases e ptp 5.8(M) cliente isolation marcado. No server principal mikrotik possuo um firewall (regular) que bloqueia algumas portas de vírus, ip bogons, conexões inválidas, etc.

    Pode ser vírus ou algum ataque?

    Alguem já passou por esse problema?

    Qual seria a melhor maneira de eliminar esses pacotes indesejáveis?

    Conto com a ajuda dos amigos.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         rede server escutando pacotes.jpg
Visualizações:	1205
Tamanho: 	66,4 KB
ID:      	37148   Clique na imagem para uma versão maior

Nome:	         packet sniiffer interface rede.jpg
Visualizações:	774
Tamanho: 	61,7 KB
ID:      	37149  


  2. #2

    Padrão Re: Vírus ou ataque na rede

    dando Uma fuçada na nert encontrei est post http://mk-auth.com.br/forum/topics/s...-e-importantes, tem um lugar com mac ff:ff:ff:ff:ff:ff, da uma olhada



  3. #3

    Padrão Re: Vírus ou ataque na rede

    Citação Postado originalmente por JhoniVaz Ver Post
    dando Uma fuçada na nert encontrei est post http://mk-auth.com.br/forum/topics/s...-e-importantes, tem um lugar com mac ff:ff:ff:ff:ff:ff, da uma olhada

    pode cre irmao da hora esse link q vc arrumou ae

  4. #4

    Padrão Re: Vírus ou ataque na rede

    JhoniVaz.

    Jà havia dado uma olhada lá, porém dei uma pesquisada no mac ff:ff:ff:ff:ff:ff éo MAC de broadcast, vou ver se consigo implementar uma regra aqui no firewall filter do server, e depois nas filter bridge. Mas to ficando de cabelo em pé, rs.

    Abç



  5. #5

    Padrão Re: Vírus ou ataque na rede

    Irmão pensar em ja implementar OSPF vai ser melhor do que tentar arrumar uma solução paliativa para Broadcast.

    Para configurar OSPF é simples, basta criar uma Area, Publicar em Network a Rede e os ajustes finos tem detalhes na Wiki

  6. #6

    Padrão Re: Vírus ou ataque na rede

    Citação Postado originalmente por bennthiago Ver Post
    Olá Srs.

    Preciso de um help.

    Tenho uma rede em bridge (como é o caso da maioria dos provedores) mas breve pretendo roteá-la, com 4 repetidoras mistas 2.4 e 5.8 (linha M5), utilizo hotspot nas 2.4 e PPPoE nas 5.8.

    O problema éo seguinte: Todos os dias em horários alternados a rede fica lenta e com latência alta, após algumas investigações notei que sobe os PP/S na interface que serve a rede do servidor mikrotik, ou seja, ele escuta esses pacotes de algum lugar de dentro da rede, e para ajudar esses pacotes correm por toda a rede as bridges os APs(M5), com isso provocando toda essa lentidão. Não estou conseguindo identificar de onde vem esses pacotes.
    Rodei o Torch e o Packet Sniffer do Mikrotik, segue em anexo.

    Nas bridges RB 433 uso filtro de bridge das interfaces e bloqueio de netbios e default foward desmarcado, nas bases e ptp 5.8(M) cliente isolation marcado. No server principal mikrotik possuo um firewall (regular) que bloqueia algumas portas de vírus, ip bogons, conexões inválidas, etc.

    Pode ser vírus ou algum ataque?

    Alguem já passou por esse problema?

    Qual seria a melhor maneira de eliminar esses pacotes indesejáveis?

    Conto com a ajuda dos amigos.
    É um ataque do tipo ARP.
    Pode ser o proprio firmware de algum equipamento que esta gerando esse problema ou algum cliente brincando de envio de pacotes tipo injeção de ARP.
    Se sua rede esta em Bridge utilize essa regra pelo MK.

    /interface bridge filter

    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward
    \
    comment="Bloqueia Ataque do Tipo ARP " disabled=no mac-protocol=arp


    add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=no \
    dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF