+ Responder ao Tópico



  1. #1

    Padrão Ataque de DNS externo, o que fazer?

    Boa tarde
    Verificando estes dias alguns travamentos verifiquei que uma regra de drop do filters estava com trafego bem alto então coloquei para gerar um log .
    Aparentemente é um ataque de dns externo em um dos meus links, o que devo fazer ? Alguem esta passando por isso também ?
    Qual versão do MK estão usando e sera que a versão infuencia .
    Obrigado desde ja pela atenção de todos .

    Segue print

    Clique na imagem para uma versão maior

Nome:	         ataque dns.jpg
Visualizações:	317
Tamanho: 	961,8 KB
ID:      	59506

  2. #2

    Padrão Re: Ataque de DNS externo, o que fazer?

    Cara se já está dropando a porta 53 do que é vindo pela porta externa já tá ok, agora desativa a exibição do log pra não encher a memória RAM da Rb



  3. #3

    Padrão Re: Ataque de DNS externo, o que fazer?

    Poderia também fazer uma Black list adicionando que está atacando pra já bloquear o acesso de imediato sem tantos drops aumentando o uso da memória RAM da RB TAMBÉM

  4. #4

    Padrão Re: Ataque de DNS externo, o que fazer?

    Queria agradecer ao franciskv a ao Arthur Bernardes que dispuseram do seu tempo para responder ao tópico , quanto a regra de drop do dns externo eu já tinha ele rodando o que achei muito estranho foi o tráfego gerado por ela, como proposto vou configurar uma blacklist também . Agradeço novamente pela atenção .

    Só uma outra pergunta devo configurar esta mesma regra nos outros concentradores ou só no loadbalance ?



  5. #5

    Padrão

    Ok ideal é configurar essa regra em qualquer roteador que trabalhe com IP público ou tenha comunicação com outra operadora mais principalmente onde se utiliza IP público

  6. #6
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Ataque de DNS externo, o que fazer?

    Bom dia,

    Para tráfego UDP, mesmo que você crie a regra de DROP, ele vai chegar até você, consumindo a banda do seu link. Se você tivesse um ASN, poderia bloquear o tráfego para esse IP específico usando BGP, mas vejo que não é o seu caso.

    Abraço



  7. #7

    Padrão Re: Ataque de DNS externo, o que fazer?

    Conforme o amigo franciskv sugeriu eu fiz uma blacklist para o mk dropar porem para minha surpresa ja tenho nesta lista 287949 ips vou ter que deixar só a regra de drop mesmo .

    Segue imagem para apreciação .
    Clique na imagem para uma versão maior

Nome:	         ataque dns2.jpg
Visualizações:	134
Tamanho: 	545,6 KB
ID:      	59586

  8. #8

    Padrão Re: Ataque de DNS externo, o que fazer?

    Cara posta suas regras de drop porque das duas uma ou muitos hosts já estavam utilizando seu dns ou essa regra está errada



  9. #9

    Padrão Re: Ataque de DNS externo, o que fazer?

    segue meu filters

    /ip firewall filter
    add chain=forward dst-port=8090 protocol=tcp
    add chain=input comment="Allow Established connections" connection-state=\
    established
    add chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m \
    protocol=tcp
    add chain=icmp comment="##### Permite todos needed icmp codes in icmp chain:" \
    icmp-options=0:0 protocol=icmp
    add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
    add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
    add chain=icmp comment="host unreachable fragmentation required" icmp-options=\
    3:4 protocol=icmp
    add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
    add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
    add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
    add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
    add chain=input comment="Allow ICMP" protocol=icmp
    add action=add-src-to-address-list address-list="ataque dns " \
    address-list-timeout=4w2d chain=input comment="BLOQUEIO - DNS EXTERNO" \
    disabled=yes dst-port=53 in-interface=" PPPOE - link2 - gvt masterinfo" \
    protocol=udp
    add action=add-src-to-address-list address-list="ataque dns " \
    address-list-timeout=4w2d chain=input disabled=yes dst-port=53 \
    in-interface=" PPPOE - link3 - gvt masterinfo" protocol=udp
    add action=drop chain=input comment="BLOQUEIO - DNS EXTERNO" dst-port=53 \
    in-interface=" PPPOE - link2 - gvt masterinfo" log-prefix="DNS EXTERNO" \
    protocol=udp
    add action=drop chain=input dst-port=53 in-interface=\
    " PPPOE - link3 - gvt masterinfo" log-prefix="DROP - DNS EXTERNO" protocol=\
    udp
    add action=drop chain=input log-prefix="DNS EXTERNO" src-address-list=\
    "ataque dns "
    add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid
    add action=drop chain=forward comment=\
    "##### Bloqueio de \"Bogon IP Addresses\"" src-address=0.0.0.0/8
    add action=drop chain=forward dst-address=0.0.0.0/8
    add action=drop chain=forward src-address=127.0.0.0/8
    add action=drop chain=forward dst-address=127.0.0.0/8
    add action=drop chain=forward src-address=224.0.0.0/3
    add action=drop chain=forward dst-address=224.0.0.0/3
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment=\
    "##### Protege o Router para portas scanners" protocol=tcp psd=21,3s,3,1
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp \
    tcp-flags=fin,psh,urg,!syn,!rst,!ack
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
    add action=drop chain=input comment="dropping port scanners" src-address-list=\
    "port scanners"
    add action=drop chain=input comment="##### Somente 10 FTP login incorrect" \
    dst-port=21 protocol=tcp src-address-list=ftp_blacklist

  10. #10

    Padrão Re: Ataque de DNS externo, o que fazer?

    Verifiquei que alguns IP são originários da França e China te recomendaria a manter a Black-list para evitar futuros processamentos para dropar esses pacotes de novo



  11. #11

    Padrão Re: Ataque de DNS externo, o que fazer?

    Segue sá as regras de drop do dns extrerno

    add action=drop chain=input comment="BLOQUEIO - DNS EXTERNO" dst-port=53 \
    in-interface=" PPPOE - link2 - gvt masterinfo" log-prefix="DNS EXTERNO" \
    protocol=udp
    add action=drop chain=input dst-port=53 in-interface=\
    " PPPOE - link3 - gvt masterinfo" log-prefix="DROP - DNS EXTERNO" protocol=\
    udp
    add action=drop chain=input log-prefix="DNS EXTERNO" src-address-list=\
    "ataque dns "

  12. #12

    Padrão Re: Ataque de DNS externo, o que fazer?

    Ok vou manter a blacklist e vou informando para os amigos do forum o que esta ocorrendo obrigado pela ajuda franciskv



  13. #13