+ Responder ao Tópico



  1. #1

    Padrão Será ataque ao MK?

    Bem galera seguinte: tenho 3 MK, só que um estava exelente ae do nada começou a cair o adsl que usava em bridge, pensei ser o modem 3com dae mudei ele para o huawey, continua a mesma, ae coloquei o modem roteado, sendo a mesma coisa caindo! Apliquei algumas regras no firewall tipo bloqueio de brute force e tal, percebi q parou de cair, más o log do MK ficou aparecendo algo q não aparecia antes, drop do firewall e com o mac do modem, e ainda consegue derrubar o modeme não sei como resolver o problema,e queria saber se alguém já passou por este problema e como resolver.
    grato a todos que puder me ajudar, abraços...

    http://d.imagehost.org/0138/drop.jpg

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Caro multlink, se você por acaso tivesse descrito os serviços que utiliza no seu sistema, como estão as configurações, o que fez exatamente quando comenta que construi filtros no firewall, acredita que seria mais fácil lhe ajudar??

    Pense nisso... não custa elaborar uma questão. Acredito que se parar e pensar antes de escrever, talvez até encontre a resposta. O nosso problema é simplesmente ditar o problema e não pensamos/elaboramos a questão.

    Como alguém poderá ajudar sem detalhes? Na base da adivinhação e palpite, que é o que mais vemos atualmente?

    Seu problema, pelo que é exibido no log, está relacionado ao web-proxy. Construa um filtro que proteja a porta do mesmo para INPUT na interface externa (Internet) e coloque-o nas primeiras posições do firewall.

    Caso não seja isso, deverá identificar, no momento que ocorre o problema, quais clientes estão conectados e analisar (troch e packet sniffer) o tráfego referente ao web-proxy.

  3. #3

    Padrão

    opa sergio, bem não uso web proxy mas ae vai minhas config de firewall:

    0 ;;; BLOQUEIO DO
    ;;; P2P
    chain=forward p2p=all-p2p src-address-list=p2p-sem-bloqueio action=drop
    1 ;;; BLOQUEIO DE DNS REVERSO
    chain=input protocol=tcp dst-port=!8291 content=user.veloxzone.com.br
    action=drop
    2 ;;; BRUTE FORCE
    chain=input protocol=tcp dst-port=8291 connection-limit=2,32
    connection-state=established action=add-src-to-address-list
    address-list=drop winbox address-list-timeout=12h
    3 chain=input protocol=tcp dst-port=80 connection-limit=2,32
    connection-state=established action=add-src-to-address-list
    address-list=drop winbox address-list-timeout=12h
    4 chain=input src-address-list=drop winbox action=drop
    5 ;;; BLOQUEIO SPAMMERS
    chain=forward protocol=tcp dst-port=25 src-address-list=spammer
    action=drop
    6 chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5
    src-address-list=!spammer action=add-src-to-address-list
    -- [Q quit|D dump|up|down]

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    o que é a interface squid3com ?

  5. #5

    Padrão

    bem sergio, obrigado pelas infos, as assim, não uso web proxy, a interface é squid_3con pq ainda vou colocar o debian em paraleno, mas no momento não mexi em nada de web-proxy, e as minhas regras do firewall são essas:

    0 ;;; BLOQUEIO DO
    ;;; P2P
    chain=forward p2p=all-p2p src-address-list=p2p-sem-bloqueio action=drop
    1 ;;; BLOQUEIO DE DNS REVERSO
    chain=input protocol=tcp dst-port=!8291 content=user.veloxzone.com.br
    action=drop
    2 ;;; BRUTE FORCE
    chain=input protocol=tcp dst-port=8291 connection-limit=2,32
    connection-state=established action=add-src-to-address-list
    address-list=drop winbox address-list-timeout=12h
    3 chain=input protocol=tcp dst-port=80 connection-limit=2,32
    connection-state=established action=add-src-to-address-list
    address-list=drop winbox address-list-timeout=12h
    4 chain=input src-address-list=drop winbox action=drop
    5 ;;; BLOQUEIO SPAMMERS
    chain=forward protocol=tcp dst-port=25 src-address-list=spammer
    action=drop
    6 chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5
    src-address-list=!spammer action=add-src-to-address-list
    -- [Q quit|D dump|up|down]

    tinha mais regras mas tirei todas deixando somente essas para saber se era elas ou não.

    Coloquei agora o modem em bridge e continua do mesmo jeito, parece um scan n sei ao certo mas vai fuçando até derrubar o MK, detalhe, dou um reboot no MK e volta normal a net continuando os ataques, e a internet não quai do modem sendo roteado, so reniciando o MK volta a net ae agora coloquei em bridge sendo mk discando e estou ak monitorando, ae vai a imagem de quando caiu a net do mk em vermelho, interessante que aparece esteas iniciais proto TCP (ACK, RST) (SYN)e quando caiu apareceu (ACK,PIN e PSH), isso em modo roteado, neste momento esta em bridge taiu neste momento, e o interessante que ontem foi a mesma coisa até da um certo horário e para. caiu agora o PPPoE e da a seginte mensagem:
    terminating: peer is not responding, disconect..

  6. #6
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Se for um portscan coloque regras para estas flags de TCP, fazendo o bloqueio. Tem uns modelos aqui mesmo que voce bloqueio portscan.

    Não adianta eu ver suas regras, pois elas não representam o problema. Você tem que monitorar e descobrir de onde vem as conexões. Use o torch e o packet snifer.

  7. #7

    Padrão

    obrigado pela resposta sergio, agorinha achei interessante q deu o IP da oi com a porta 8080, como se fosse um programinha de dns como no-ip, mas ae desabilitei as regras e parou os ataques, outra coisa não sei como usar estes itens que falaste ae para mim usar, teria como me dar uma mini aula para como usar eles?

  8. #8

    Padrão

    bem, resolvi o problema, tinha ativado ddns do changeip, ele muito com por conta do acesso remoto mas infelismente ele derruba o MK, a não ser que coloque regras boas, sendo que ao 1 ou 2 dias ele consegue derrubar, então desativei ele e reinstalei o MK do zero ae normalizou.
    Para quem estiver com este problema ae a solução. abraços..

  9. #9

    Padrão ATACANDO MIKROTIK SERVIDOR

    COMO SE DEFENDER DO ATAQUE NO MEU SERVIDOR MIKROTIK, ESTOU SENDO ATACADO NO MEU LOAD BALANCE, ESTIVE OBSERVANDO ESTAVA PINGANDO DO MEU SERVIDOR MIKROTIK PARA MYAUTH QUE FICA AO LADO ESTAVA FALHANDO O PING E PERDENO PACOTE , PENSEI QUE ERA PLACA DE REDE MAIS FIZ UM TESTE MUDEI O IP DO MEU SERVIDOR PARA OUTRO AI TUDO NORMALIZAOU. O DEVO FAZER NO MEU FIREWALL