Ataque na Cloud Core Router - Mikrotik
Olá colegas
Ontem a noite, no provedor que trabalho, notamos que o tráfego subiu demais na ether que recebo o link porém não havia consumo na rede interna, todos os meus clientes apesar de autenticados não conseguiam navegar. Desabilitei o PPPoE Server para eliminar a possibilidade do problema partir da rede interna e o problema ainda persistiu, troquei o link para outra ether e o problema ainda persistia. Um colega da área nos disse que estavamos sendo atacados e que a solução imediata seria desabilitar a rota do link, assim fizemos, esperamos um tempo e habilitamos novamente, a rede foi normalizada e pude reabilitar o PPPoE Server. A dúvida é, que espécie de ataque seria esse e como se defender de um ataque assim? Basicamente "desligamos" a rota e ligamos novamente, então seria possível a recorrencia deste ataque. Alguém ja passou por algo parecido?
Att
Pedro Henrique
Re: Ataque na Cloud Core Router - Mikrotik
Você tem que ver o tipo de ataque que está sofrendo e bloquear, você tem que ver a origem do ataque a qual serviço está direcionado e tal, algumas vezes dependendo do ataque, se for link dedicado, você pode ligar na operadora e pedir para bloquear, a origem do ataque, mas o correto é você bloquear a porta que estão te atacando, pois se a operadora bloquear o IP o atacante simplesmente vai mudar de endereço rsrs
Re: Ataque na Cloud Core Router - Mikrotik
Provavelmente ataque de DNS na porta 53, o meu tava upando 25 megas no link da Livetim sem uso de cliente, coloquei aquela regra de dropar o DNS e resolveu na hora. Faça um teste no openresolver.com, coloque o ip público e se aparecer uma mensagem vermelha implemente a regra urgente.
Re: Ataque na Cloud Core Router - Mikrotik
Tenho uma regra de drop na porta 53 para protocolo UDP, quando fiz reduzi drasticamente a latencia dos clientes, mas nesse caso eu teria que bloquear também as requisições em TCP? Isso não afetaria meus clientes de forma negativa?
Re: Ataque na Cloud Core Router - Mikrotik
Oque o @denilsoncosta sugeriu foi bloquear as requisições de DNS que vêem de fora de sua rede, bloqueia na Chaim input o protocolo TCP e UDP a porta 53, isso não afetara seus clientes porque eles estão dentro da rede.