Passando banda além da queue Mikrotik

[BrunoOliveira]

Olá pessoal, estou com um problema e se alguém puder ajudar eu agradeço.

Há pouco tempo atrás mudei minha rede de bridge para roteada com autenticação pppoe utilizando freeradius+mikrotik. Meus clientes navegam normalmente, a queue de cada cliente é criada corretamente e tudo, porém na semana passada e nesta semana, ocorreram dois casos de clientes que tem uma queue de 1024k por exemplo, mas que estavam trafegando 19Mb, 20Mb. Após "matar" a conexão do cliente varias vezes e reconectar, voltou ao normal.
No último evento, percebi que o cliente fazia uma comunicação udp, dai a minha dúvida é, a queue simple do mirkotik não limita a banda de outros protocolos além do tcp ? Já aconteceu isso com alguém além de mim?

[Conectiva]

Mês passado um de nossos clientes com link dedicado foi atacado, em nossa analise, os IPs proveniente da várias partes do mundo. O trafego foi tão violente que chegou a gerar 30M de Upload, acredito que não passou mais devido a capacidade do rádio. Só conseguimos resolver ao fazer um filtro para os IPs do ataque. cheguei a bloquear um /20 inteiro da china. Ate agora não consegui entender como passou isso pelas queue. Estou pesquisando até um outra solução, no momento me resta monitorar a rede com frequência.

[BrunoOliveira]

Aqui o problema foi bem parecido, acho que só não passou mais por conta do enlace ser via rádio. Eu atualizei meu concentrador após isso as conexões se fecharam e não voltou a subir a banda, mas eu acredito que vai voltar, vou deixar algumas regras preparadas para isso.

[SuporteClinitec]

Bom, aqui tivemos um ataque semelhante, hoje possuirmos AS com /21, tinha um cliente especifico, que estava gerando 60Mbps, com 40k de pps, porém analisando a rede, percebi que esse tráfego não chegava até o pppoe do cliente, até porque o cliente tem 512k de up, percebi que se referia a um ataque ddos com spoofing, onde o atacante estava requisitado vários pacotes para um servidor da amazon e estava utilizando nosso ip como origem no cabeçalho tcp, devido a fragilidade do protocolo BGP e do firewall, o único jeito para resolver este caso foi parar o anuncio de uma rede /24 onde estava o ip deste cliente para a internet, durante 24h ate o atacante desistir, depois ativei e voltou ao normal, eu digo fragilidade porque, pois mesmo bloquando o ip origem tanto como o destino no firewall, ele vai entrar na minha borda (BGP) e vai gerar trafego e depois ser negada no firewall, e devido a quantidade excessiva de pacotes o trafego era alto chegando até 60mbps, pode não ser o seu caso, mais já digo isso para nossos amigos do fórum ficarem cientes a este tipo de ataque.

[AndrioPJ]

Bom, aqui tivemos um ataque semelhante, hoje possuirmos AS com /21, tinha um cliente especifico, que estava gerando 60Mbps, com 40k de pps, porém analisando a rede, percebi que esse tráfego não chegava até o pppoe do cliente, até porque o cliente tem 512k de up, percebi que se referia a um ataque ddos com spoofing, onde o atacante estava requisitado vários pacotes para um servidor da amazon e estava utilizando nosso ip como origem no cabeçalho tcp, devido a fragilidade do protocolo BGP e do firewall, o único jeito para resolver este caso foi parar o anuncio de uma rede /24 onde estava o ip deste cliente para a internet, durante 24h ate o atacante desistir, depois ativei e voltou ao normal, eu digo fragilidade porque, pois mesmo bloquando o ip origem tanto como o destino no firewall, ele vai entrar na minha borda (BGP) e vai gerar trafego e depois ser negada no firewall, e devido a quantidade excessiva de pacotes o trafego era alto chegando até 60mbps, pode não ser o seu caso, mais já digo isso para nossos amigos do fórum ficarem cientes a este tipo de ataque.

aqui ativamos firewall no proprio BGP.
para planos residencial, bloqueamos todas as portas abaixo de 1024

[SuporteClinitec]

Sim, aqui também temos firewall na borda, porém o firewall estava dropando os pacotes, mas devido ao grande numero de pacotes sendo negados o trafego ficou alto e o processamento do router também