Ataque na Cloud Core Router - Mikrotik
Olá colegas
Ontem a noite, no provedor que trabalho, notamos que o tráfego subiu demais na ether que recebo o link porém não havia consumo na rede interna, todos os meus clientes apesar de autenticados não conseguiam navegar. Desabilitei o PPPoE Server para eliminar a possibilidade do problema partir da rede interna e o problema ainda persistiu, troquei o link para outra ether e o problema ainda persistia. Um colega da área nos disse que estavamos sendo atacados e que a solução imediata seria desabilitar a rota do link, assim fizemos, esperamos um tempo e habilitamos novamente, a rede foi normalizada e pude reabilitar o PPPoE Server. A dúvida é, que espécie de ataque seria esse e como se defender de um ataque assim? Basicamente "desligamos" a rota e ligamos novamente, então seria possível a recorrencia deste ataque. Alguém ja passou por algo parecido?
Att
Pedro Henrique
Re: Ataque na Cloud Core Router - Mikrotik
Você tem que ver o tipo de ataque que está sofrendo e bloquear, você tem que ver a origem do ataque a qual serviço está direcionado e tal, algumas vezes dependendo do ataque, se for link dedicado, você pode ligar na operadora e pedir para bloquear, a origem do ataque, mas o correto é você bloquear a porta que estão te atacando, pois se a operadora bloquear o IP o atacante simplesmente vai mudar de endereço rsrs
Re: Ataque na Cloud Core Router - Mikrotik
Provavelmente ataque de DNS na porta 53, o meu tava upando 25 megas no link da Livetim sem uso de cliente, coloquei aquela regra de dropar o DNS e resolveu na hora. Faça um teste no openresolver.com, coloque o ip público e se aparecer uma mensagem vermelha implemente a regra urgente.
Re: Ataque na Cloud Core Router - Mikrotik
Tenho uma regra de drop na porta 53 para protocolo UDP, quando fiz reduzi drasticamente a latencia dos clientes, mas nesse caso eu teria que bloquear também as requisições em TCP? Isso não afetaria meus clientes de forma negativa?
Re: Ataque na Cloud Core Router - Mikrotik
Oque o @denilsoncosta sugeriu foi bloquear as requisições de DNS que vêem de fora de sua rede, bloqueia na Chaim input o protocolo TCP e UDP a porta 53, isso não afetara seus clientes porque eles estão dentro da rede.
Re: Ataque na Cloud Core Router - Mikrotik
Citação:
Postado originalmente por
berghetti
Oque o @
denilsoncosta sugeriu foi bloquear as requisições de DNS que vêem de fora de sua rede, bloqueia na Chaim input o protocolo TCP e UDP a porta 53, isso não afetara seus clientes porque eles estão dentro da rede.
Isso que fiz e nunca mais tive problema. Fez o teste no openresolver.com?
Re: Ataque na Cloud Core Router - Mikrotik
A esqueci, coloca a interface do seu link como interface de entrada na regra. ;)
Re: Ataque na Cloud Core Router - Mikrotik
Use esta regra:
/ip firewall filter add chain=input in-interface=LINK dst-port=53 protocol=udp action=drop
OBS.: Não esquece de alterar a interface do LINK para a sua ether.
Qualquer dúvida pode consultar o tópico:
https://under-linux.org/showthread.php?t=180472
Re: Ataque na Cloud Core Router - Mikrotik
Re: Ataque na Cloud Core Router - Mikrotik
Caro, ja tive esse problemas, assim como os colegas acima descreveram o ataque é via porta 53 provenientes em sua maioria da china, país esse onde o acesso é controlado pelo governo, sendo assim eles usam redes sem proteção para navegarem em sites bloqueado pelo governo deles.
Basta seguir a recomendações acima "dropando" essa porta. Cuidado para não fechar totalmente ou vai derrubar a resolução DNS e seus clientes não vou conseguir resolver os sites vai apenas "pingar". Pesquise um pouco como fazer tem aqui no forum. Boa sorte.
Re: Ataque na Cloud Core Router - Mikrotik
Citação:
Postado originalmente por
denilsoncosta
Use esta regra:
/ip firewall filter add chain=input in-interface=LINK dst-port=53 protocol=udp action=drop
OBS.: Não esquece de alterar a interface do LINK para a sua ether.
Qualquer dúvida pode consultar o tópico:
https://under-linux.org/showthread.php?t=180472
Efetuei a regra acima, mas fiz o teste no http://openresolver.com/ e continuo em vermelho. oque pode ser ?
Re: Ataque na Cloud Core Router - Mikrotik
Amigo, pelo que paraece é DNS mesmo. Muito comum isso.
Escrevi um texto sobre isso. Clique aqui ou aqui
Veja se ajuda!
Abraço
Fabricio
Re: Ataque na Cloud Core Router - Mikrotik
Amigo, e regra estava certa, eu só tive que colocar ela em primeiro e daí funcionou !
Muito obrigado!
Re: Ataque na Cloud Core Router - Mikrotik
Amigos, fiz conforme recomendaram e o problema foi solucionado, fiquei impressionado com a quantidade de informação que a regra tem descartado. Muito obrigado a todos pelas sugestões.
Agora passo por um outro problema, alguns clientes que alugam IP público estão sofrendo um ataque, no domingo um cliente estava recebendo muita informação mesmo com toda a rede interna dele desativada, tivemos que trocar o IP dele, só assim ele pode voltar pro ar. Não faço a menor ideia do que possa ser.
Re: Ataque na Cloud Core Router - Mikrotik
Citação:
Postado originalmente por
pedrohafe
Amigos, fiz conforme recomendaram e o problema foi solucionado, fiquei impressionado com a quantidade de informação que a regra tem descartado. Muito obrigado a todos pelas sugestões.
Agora passo por um outro problema, alguns clientes que alugam IP público estão sofrendo um ataque, no domingo um cliente estava recebendo muita informação mesmo com toda a rede interna dele desativada, tivemos que trocar o IP dele, só assim ele pode voltar pro ar. Não faço a menor ideia do que possa ser.
cara pode ser alguém dentro da sua rede com vírus, habilita o ip dele e quando acontecer da um torch na interface e ve se esta vindo de outro ip interno. testa e nos diz como ficou.
Re: Ataque na Cloud Core Router - Mikrotik
Citação:
Postado originalmente por
agatangelos
cara pode ser alguém dentro da sua rede com vírus, habilita o ip dele e quando acontecer da um torch na interface e ve se esta vindo de outro ip interno. testa e nos diz como ficou.
Fiz como você sugeriu, todos os ips atacam necessariamente a porta 53, udp, e são todos ips externos.
Re: Ataque na Cloud Core Router - Mikrotik
A ideia é a mesma para qualquer ip publico.
Re: Ataque na Cloud Core Router - Mikrotik
Citação:
Postado originalmente por
FabricioViana
Amigo, pelo que paraece é DNS mesmo. Muito comum isso.
Escrevi um texto sobre isso. Clique aqui ou aqui
Veja se ajuda!
Abraço
Fabricio
Conforme o colega citou acima nos links que ele postou, fiz como recomendado e o problema foi sanado completamente. Muito obrigado a todos pelas sugestões.
Re: Ataque na Cloud Core Router - Mikrotik
Uma boa medida preventiva a muitos problemas seria implementar política de Drop para os Port Scanners.
Aqui no Forum ou na Wiki Mikrotik você pode encontra muito material sobre o assunto.
https://under-linux.org/showthread.php?t=138189
http://wiki.mikrotik.com/wiki/Drop_port_scanners