Peguei esse Ip hoje passando mais de 40M de link, entre o Mikrotik e o IP, a origem da conexão é do Ip válido do Mikrotik para esse ip, vejam ai se não estão passando pela mesma situação.
IP: 81.177.33.246
Peguei esse Ip hoje passando mais de 40M de link, entre o Mikrotik e o IP, a origem da conexão é do Ip válido do Mikrotik para esse ip, vejam ai se não estão passando pela mesma situação.
IP: 81.177.33.246
A conexão é no protocolo UDP porta 53.
Obs: Não bloqueiem essa porta!
Hehehehehe, você entendeu minha mensagem, tenho certeza !! Aqui já está bloqueado.
aconteceu a mesma coisa comigo so que com outro ip (china Mobile)
Uso isto
Código :/ip firewall filter add action=drop chain=input comment="Bloqueia Acesso Externo ao DNS" disabled=no dst-port=53 in-interface=ENTRADA DE LINK protocol=udp
Neste caso, DNS Reverso ou Authoritative DNS (seu dns exerce autoridade sobre um domínio da internet hospedado na sua rede) acho mais interessante utilizar o recurso de Views (pelo menos no Bind faço mais ou menos assim).
Artigo sobre o assunto: http://www.vivaolinux.com.br/artigo/...-Views-no-Bind
O ip que voces bloquearam eh a vitima.
O que vc relatou se trata de um ataque ddos para tornar o ip 81.xxx indisponível.
Algum mal intencionado se aproveitou da sua porta aberta para fazer um DNS reflection attacks.
Para resolver feche a porta 53 no fw ou desabilite o allow remote request no ip/dns do seu mikrotik
amigo, tenho a seguinte regra no meu mikrotik da borda (balance):
/ip firewall filter
add action=drop chain=input comment="BLOQUEIO DNS EXTERNO" dst-port=53 \
in-interface=!ether6 protocol=udp
Pelo o que pesquisei na época que coloquei essa regra, ela bloqueia qualquer coisa na porta 53 UDP. E a interface no meu caso tive que colocar todas exceto a ether6 que é a saida do meu balance p/ o concentrador mikrotik. Pode ver na regra que está selecionado !ether6 (todas exceto a ether6).
E nesse meu mikrotik da borda, a allows remote request já está desmarcado. Portanto te pergunto, dessa forma estou livre desse tipo de ataque ?
Abraço.
Sim, este roteador esta protegido, e os outros?
Insira uma regra com tcp porta 53 tambem.
- - - Atualizado - - -
Na verdade o ideal eh o padrao drop all, insira o que eh permitido de input, depois faca uma regra drop geral.
Legal, tem um monte de gente que sabe das coisas aqui!!!!
Dá uma pesquisada com esse ip no Google e veja quem é a vitima...
Abri o tópico para alertar os ''colegas'' que tem menos experiencia, não estava pedindo um ''help'' estava tentando ajudar, quanto mais simples for a linguagem no tópico mais fácil a compreensão para quem está no início das atividades.
Mas tá valendo...Obrigado.
Olá lcmm84, obrigado por responder. Bom, no caso do drop all, é um mais avançado e eu não tenho o conhecimento necessário p/ implementar sem erros o drop all. Até já tem, mas removi tudo pois alguma coisa não ficou certa e deu problemas.
Se você puder postar algumas dicas, vou correr atrás e tentar implementar novamente.
Já a questão do roteador, só tenho uma RB na borda. Preciso proteger as RBs que estão depois da borda, tipo o concentrador mikrotik ?
Abraço.