+ Responder ao Tópico



  1. #1

    Padrão Ataque Possivelmente por ddos.. alguém pode ajudar

    De um mês para ca verifiquei em minha rede que o trafego de dados estava acima do normal, a rb951 trabalhando a 100% o dia todo. alterei o firewall para bloquear ultrasurf, TOR, bogons e outros... por alguns dias resolveu mas ontem o problema voltou chegando a quase travar a rede.. causando lentidão.. tenho dois links de 10MB ele chega ate a 6MB de carga sem nenhum cliente conectado.

    Verifiquei o excesso de uso UDP.. sem clintes conectados... se alguém puder ajudar.. estou no aguardo.

  2. #2

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    Amigo exatamente hoje aconteceu o mesmo comigo.

    Este ip 5.254.103.113 estava usando conexão udp na porta 53

    Como tenho dois links eu fiz uma regra para cada interface de link.

    add action=drop chain=input comment="bloqueio dns externo" dst-port=53 \
    in-interface=ether1 protocol=udp
    add action=drop chain=input comment="bloqueio dns externo" dst-port=53 \
    in-interface=ether2 protocol=udp

    Não sei lhe dizer se esta foi a melhor atitude a se tomar, mas aqui resolveu.



  3. #3

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    aqui são vários ips, tenho uma rb750 reserva coloquei ela para funcionar chega 600 conexoes..sem nenhum cliente conectado.
    186.113.193.146
    175.38.210.86
    82.242.188.133
    192.184.10.11
    187.166.159.123
    218.145.64.222
    186.113.193.146 todos udp
    entre outros geram varias conexões sem clientes conectados... chega a 600 conexões as vezes..

  4. #4

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    tabela ARP aparentemente normal.



  5. #5

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    Vá em Tools > Profile, tire um printscreen e poste aqui no FORUM.

    Após identificar quem está consumindo muita CPU.

    execute um torch na interface que está com alto consumo de trafego.

  6. #6

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    Passei pelo mesmo problema..

    Bloqueava no meu borda destruía meu PTP que na época era limitado, bloqueava na operadora destruía o processamento do router da operadora. O cara tinha contratado um servidor americano com conexão GB.

    A solução foi identificar a empresa, ligar para os gringos e falar com eles que alguém tinha contratado um servidor deles para me atacar, passei o IP de origem e destino e o técnico da empresa identificou o ataque (devido ao grande número de pacotes destinados ao meu ip) dai ele bloqueou o servidor que tinha sido contratado.

    Resolvido... mas foram 2 dias de muita raiva...

    Depois, mandei uma solicitação de informação dos dados do cliente que contratou o plano, a empresa me passou e depois até descobri que tinha sido o meu concorrente, juntei as provas e registrei um boletim de ocorrência, to esperando um segundo ataque para entrar com um processo, conforme recomendações de um amigo delegado e de um advogado.

    Se tem outra solução quero saber.......



  7. #7

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    agora próximo das 7 da manha ainda ta tranquilo o consumo esta baixo.. apenas 2 megas.. no decorrer do dia chega a 6...as vezes 7 megas sem nenhum cliente

    segue em anexo... imagens.
    Clique na imagem para uma versão maior

Nome:	         consumo.jpg
Visualizações:	73
Tamanho: 	106,9 KB
ID:      	49133Clique na imagem para uma versão maior

Nome:	         torch.jpg
Visualizações:	73
Tamanho: 	178,9 KB
ID:      	49134

  8. #8
    Avatar de Djaldair
    Ingresso
    Mar 2012
    Localização
    Matupá - MT
    Posts
    637
    Posts de Blog
    2

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    Esses dias minha rb750g tava quase parando, verificando os logs tudo vermelho, descobri q era um ataque, um amigo usuário aqui do fórum JonasMT, me passou algumas regras que bloqueiam e registra os ips que atacaram na adress list, mas com algumas modificações que foram feitas na rb essas regras não estão mais funcionando, já coloquei elas novamente, mas não deu certo, de vez enquanto ainda sofro ataques.
    Vejam as regras:

    /ip firewall filter

    add action=drop chain=input comment="Barrar brute forca para ftp" disabled=no \
    dst-port=21 protocol=tcp src-address-list=ftp_blacklist
    add action=accept chain=output content="530 Login incorrect" disabled=no \
    dst-limit=1/1m,9,dst-address/1m protocol=tcp
    add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    disabled=no protocol=tcp
    add action=drop chain=input comment="barrar brute force para ssh" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp
    add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=no
    add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
    disabled=no dst-port=3365 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=4w2d chain=input connection-state=new disabled=no \
    dst-port=3365 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=3365 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=3365 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=3365-3366 protocol=tcp
    add action=drop chain=input comment="BLOQUEIO SSH - PORT 3365-3366" disabled=\
    no dst-port=3365-3366 protocol=tcp


    Se alguém tentar e conseguir posta ai os resultados.
    Os créditos são para o Jonas MT, pois foi ele que me enviou.



  9. #9

    Thumbs up Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    Citação Postado originalmente por olivionet Ver Post
    Passei pelo mesmo problema..

    Bloqueava no meu borda destruía meu PTP que na época era limitado, bloqueava na operadora destruía o processamento do router da operadora. O cara tinha contratado um servidor americano com conexão GB.

    A solução foi identificar a empresa, ligar para os gringos e falar com eles que alguém tinha contratado um servidor deles para me atacar, passei o IP de origem e destino e o técnico da empresa identificou o ataque (devido ao grande número de pacotes destinados ao meu ip) dai ele bloqueou o servidor que tinha sido contratado.

    Resolvido... mas foram 2 dias de muita raiva...

    Depois, mandei uma solicitação de informação dos dados do cliente que contratou o plano, a empresa me passou e depois até descobri que tinha sido o meu concorrente, juntei as provas e registrei um boletim de ocorrência, to esperando um segundo ataque para entrar com um processo, conforme recomendações de um amigo delegado e de um advogado.

    Se tem outra solução quero saber.......
    Para ataques deste tipo realmente não tem outra, o firewall não consegue resolver sozinho o problema, pois é como mencionou se bloqueia na borda, para a operadora e por ai vai, sua solução foi a mais profissional possível, muitos hoje em dia não se atentam a estes detalhes e perdem link. Jogo sujo um concorrente fazer isso e merece ser punido mesmo.

  10. #10

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    Boa tarde Galera, estou passando pelo mesmo problema no meu servidor CCR 1036 4S, resolvi da seguinte forma.

    Em cima da porta do seu link, da um Torch, e vai verificar um ip consumindo grande banda de TX.

    vai até o firewall e da um drop na entrada desse ip, pois o mesmo esta tentando um ataque de DNS, ja tenho uma lista com quase 50 ips, outra alternativa é bloquear a entrada da porta que esta sendo usada por esses ips.

    minha RB nao trava mais fico com lentidão em meu link.



  11. #11

    Padrão Re: Ataque Possivelmente por ddos.. alguém pode ajudar

    Tentei até dropar por ip, mas foi gerando muitas regras e tem que ficar verificando o tempo todo.

    Depois que dropei geral a porta 53/UDP acabou meu problema, mas também senti lentidão no link.