+ Responder ao Tópico



  1. #1

    Padrão Ataque na Cloud Core Router - Mikrotik

    Olá colegas

    Ontem a noite, no provedor que trabalho, notamos que o tráfego subiu demais na ether que recebo o link porém não havia consumo na rede interna, todos os meus clientes apesar de autenticados não conseguiam navegar. Desabilitei o PPPoE Server para eliminar a possibilidade do problema partir da rede interna e o problema ainda persistiu, troquei o link para outra ether e o problema ainda persistia. Um colega da área nos disse que estavamos sendo atacados e que a solução imediata seria desabilitar a rota do link, assim fizemos, esperamos um tempo e habilitamos novamente, a rede foi normalizada e pude reabilitar o PPPoE Server. A dúvida é, que espécie de ataque seria esse e como se defender de um ataque assim? Basicamente "desligamos" a rota e ligamos novamente, então seria possível a recorrencia deste ataque. Alguém ja passou por algo parecido?

    Att
    Pedro Henrique

  2. #2

    Ingresso
    Oct 2014
    Localização
    MS
    Posts
    697
    Posts de Blog
    1

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Você tem que ver o tipo de ataque que está sofrendo e bloquear, você tem que ver a origem do ataque a qual serviço está direcionado e tal, algumas vezes dependendo do ataque, se for link dedicado, você pode ligar na operadora e pedir para bloquear, a origem do ataque, mas o correto é você bloquear a porta que estão te atacando, pois se a operadora bloquear o IP o atacante simplesmente vai mudar de endereço rsrs

  3. #3

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Provavelmente ataque de DNS na porta 53, o meu tava upando 25 megas no link da Livetim sem uso de cliente, coloquei aquela regra de dropar o DNS e resolveu na hora. Faça um teste no openresolver.com, coloque o ip público e se aparecer uma mensagem vermelha implemente a regra urgente.

  4. #4

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Tenho uma regra de drop na porta 53 para protocolo UDP, quando fiz reduzi drasticamente a latencia dos clientes, mas nesse caso eu teria que bloquear também as requisições em TCP? Isso não afetaria meus clientes de forma negativa?

  5. #5

    Ingresso
    Oct 2014
    Localização
    MS
    Posts
    697
    Posts de Blog
    1

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Oque o @denilsoncosta sugeriu foi bloquear as requisições de DNS que vêem de fora de sua rede, bloqueia na Chaim input o protocolo TCP e UDP a porta 53, isso não afetara seus clientes porque eles estão dentro da rede.

  6. #6

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Citação Postado originalmente por berghetti Ver Post
    Oque o @denilsoncosta sugeriu foi bloquear as requisições de DNS que vêem de fora de sua rede, bloqueia na Chaim input o protocolo TCP e UDP a porta 53, isso não afetara seus clientes porque eles estão dentro da rede.
    Isso que fiz e nunca mais tive problema. Fez o teste no openresolver.com?

  7. #7

    Ingresso
    Oct 2014
    Localização
    MS
    Posts
    697
    Posts de Blog
    1

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    A esqueci, coloca a interface do seu link como interface de entrada na regra.

  8. #8

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Use esta regra:

    /ip firewall filter add chain=input in-interface=LINK dst-port=53 protocol=udp action=drop

    OBS.: Não esquece de alterar a interface do LINK para a sua ether.

    Qualquer dúvida pode consultar o tópico:

    https://under-linux.org/showthread.php?t=180472

  9. #9

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    veja os videos abaixo que vc vai ter uma ideia do ataque




  10. #10

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Caro, ja tive esse problemas, assim como os colegas acima descreveram o ataque é via porta 53 provenientes em sua maioria da china, país esse onde o acesso é controlado pelo governo, sendo assim eles usam redes sem proteção para navegarem em sites bloqueado pelo governo deles.
    Basta seguir a recomendações acima "dropando" essa porta. Cuidado para não fechar totalmente ou vai derrubar a resolução DNS e seus clientes não vou conseguir resolver os sites vai apenas "pingar". Pesquise um pouco como fazer tem aqui no forum. Boa sorte.

  11. #11

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Citação Postado originalmente por denilsoncosta Ver Post
    Use esta regra:

    /ip firewall filter add chain=input in-interface=LINK dst-port=53 protocol=udp action=drop

    OBS.: Não esquece de alterar a interface do LINK para a sua ether.

    Qualquer dúvida pode consultar o tópico:

    https://under-linux.org/showthread.php?t=180472

    Efetuei a regra acima, mas fiz o teste no http://openresolver.com/ e continuo em vermelho. oque pode ser ?

  12. #12

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Amigo, pelo que paraece é DNS mesmo. Muito comum isso.

    Escrevi um texto sobre isso. Clique aqui ou aqui
    Veja se ajuda!
    Abraço
    Fabricio

  13. #13

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Amigo, e regra estava certa, eu só tive que colocar ela em primeiro e daí funcionou !
    Muito obrigado!

  14. #14

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Amigos, fiz conforme recomendaram e o problema foi solucionado, fiquei impressionado com a quantidade de informação que a regra tem descartado. Muito obrigado a todos pelas sugestões.

    Agora passo por um outro problema, alguns clientes que alugam IP público estão sofrendo um ataque, no domingo um cliente estava recebendo muita informação mesmo com toda a rede interna dele desativada, tivemos que trocar o IP dele, só assim ele pode voltar pro ar. Não faço a menor ideia do que possa ser.

  15. #15

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Citação Postado originalmente por pedrohafe Ver Post
    Amigos, fiz conforme recomendaram e o problema foi solucionado, fiquei impressionado com a quantidade de informação que a regra tem descartado. Muito obrigado a todos pelas sugestões.

    Agora passo por um outro problema, alguns clientes que alugam IP público estão sofrendo um ataque, no domingo um cliente estava recebendo muita informação mesmo com toda a rede interna dele desativada, tivemos que trocar o IP dele, só assim ele pode voltar pro ar. Não faço a menor ideia do que possa ser.

    cara pode ser alguém dentro da sua rede com vírus, habilita o ip dele e quando acontecer da um torch na interface e ve se esta vindo de outro ip interno. testa e nos diz como ficou.

  16. #16

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Citação Postado originalmente por agatangelos Ver Post
    cara pode ser alguém dentro da sua rede com vírus, habilita o ip dele e quando acontecer da um torch na interface e ve se esta vindo de outro ip interno. testa e nos diz como ficou.
    Fiz como você sugeriu, todos os ips atacam necessariamente a porta 53, udp, e são todos ips externos.

  17. #17

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    A ideia é a mesma para qualquer ip publico.

  18. #18

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Citação Postado originalmente por FabricioViana Ver Post
    Amigo, pelo que paraece é DNS mesmo. Muito comum isso.

    Escrevi um texto sobre isso. Clique aqui ou aqui
    Veja se ajuda!
    Abraço
    Fabricio
    Conforme o colega citou acima nos links que ele postou, fiz como recomendado e o problema foi sanado completamente. Muito obrigado a todos pelas sugestões.

  19. #19

    Padrão Re: Ataque na Cloud Core Router - Mikrotik

    Uma boa medida preventiva a muitos problemas seria implementar política de Drop para os Port Scanners.

    Aqui no Forum ou na Wiki Mikrotik você pode encontra muito material sobre o assunto.

    https://under-linux.org/showthread.php?t=138189

    http://wiki.mikrotik.com/wiki/Drop_port_scanners