Ataque Possivelmente por ddos.. alguém pode ajudar

[RicardoMoura]

De um mês para ca verifiquei em minha rede que o trafego de dados estava acima do normal, a rb951 trabalhando a 100% o dia todo. alterei o firewall para bloquear ultrasurf, TOR, bogons e outros... por alguns dias resolveu mas ontem o problema voltou chegando a quase travar a rede.. causando lentidão.. tenho dois links de 10MB ele chega ate a 6MB de carga sem nenhum cliente conectado.

Verifiquei o excesso de uso UDP.. sem clintes conectados... se alguém puder ajudar.. estou no aguardo.

[mauriciojmjr]

Amigo exatamente hoje aconteceu o mesmo comigo.

Este ip 5.254.103.113 estava usando conexão udp na porta 53

Como tenho dois links eu fiz uma regra para cada interface de link.

add action=drop chain=input comment="bloqueio dns externo" dst-port=53 \
in-interface=ether1 protocol=udp
add action=drop chain=input comment="bloqueio dns externo" dst-port=53 \
in-interface=ether2 protocol=udp

Não sei lhe dizer se esta foi a melhor atitude a se tomar, mas aqui resolveu.

[RicardoMoura]

aqui são vários ips, tenho uma rb750 reserva coloquei ela para funcionar chega 600 conexoes..sem nenhum cliente conectado.
186.113.193.146
175.38.210.86
82.242.188.133
192.184.10.11
187.166.159.123
218.145.64.222
186.113.193.146 todos udp
entre outros geram varias conexões sem clientes conectados... chega a 600 conexões as vezes..

[RicardoMoura]

tabela ARP aparentemente normal.

[4networks]

Vá em Tools > Profile, tire um printscreen e poste aqui no FORUM.

Após identificar quem está consumindo muita CPU.

execute um torch na interface que está com alto consumo de trafego.

[olivionet]

Passei pelo mesmo problema..

Bloqueava no meu borda destruía meu PTP que na época era limitado, bloqueava na operadora destruía o processamento do router da operadora. O cara tinha contratado um servidor americano com conexão GB.

A solução foi identificar a empresa, ligar para os gringos e falar com eles que alguém tinha contratado um servidor deles para me atacar, passei o IP de origem e destino e o técnico da empresa identificou o ataque (devido ao grande número de pacotes destinados ao meu ip) dai ele bloqueou o servidor que tinha sido contratado.

Resolvido... mas foram 2 dias de muita raiva...

Depois, mandei uma solicitação de informação dos dados do cliente que contratou o plano, a empresa me passou e depois até descobri que tinha sido o meu concorrente, juntei as provas e registrei um boletim de ocorrência, to esperando um segundo ataque para entrar com um processo, conforme recomendações de um amigo delegado e de um advogado.

Se tem outra solução quero saber.......

[RicardoMoura]

agora próximo das 7 da manha ainda ta tranquilo o consumo esta baixo.. apenas 2 megas.. no decorrer do dia chega a 6...as vezes 7 megas sem nenhum cliente

segue em anexo... imagens.

[Djaldair]

Esses dias minha rb750g tava quase parando, verificando os logs tudo vermelho, descobri q era um ataque, um amigo usuário aqui do fórum JonasMT, me passou algumas regras que bloqueiam e registra os ips que atacaram na adress list, mas com algumas modificações que foram feitas na rb essas regras não estão mais funcionando, já coloquei elas novamente, mas não deu certo, de vez enquanto ainda sofro ataques.
Vejam as regras:

/ip firewall filter

add action=drop chain=input comment="Barrar brute forca para ftp" disabled=no \
dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" disabled=no \
dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
disabled=no protocol=tcp
add action=drop chain=input comment="barrar brute force para ssh" disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=no
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=3365 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input connection-state=new disabled=no \
dst-port=3365 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=3365 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=3365 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=3365-3366 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 3365-3366" disabled=\
no dst-port=3365-3366 protocol=tcp


Se alguém tentar e conseguir posta ai os resultados.
Os créditos são para o Jonas MT, pois foi ele que me enviou.

[marcosnf2008]

Passei pelo mesmo problema..

Bloqueava no meu borda destruía meu PTP que na época era limitado, bloqueava na operadora destruía o processamento do router da operadora. O cara tinha contratado um servidor americano com conexão GB.

A solução foi identificar a empresa, ligar para os gringos e falar com eles que alguém tinha contratado um servidor deles para me atacar, passei o IP de origem e destino e o técnico da empresa identificou o ataque (devido ao grande número de pacotes destinados ao meu ip) dai ele bloqueou o servidor que tinha sido contratado.

Resolvido... mas foram 2 dias de muita raiva...

Depois, mandei uma solicitação de informação dos dados do cliente que contratou o plano, a empresa me passou e depois até descobri que tinha sido o meu concorrente, juntei as provas e registrei um boletim de ocorrência, to esperando um segundo ataque para entrar com um processo, conforme recomendações de um amigo delegado e de um advogado.

Se tem outra solução quero saber.......

Para ataques deste tipo realmente não tem outra, o firewall não consegue resolver sozinho o problema, pois é como mencionou se bloqueia na borda, para a operadora e por ai vai, sua solução foi a mais profissional possível, muitos hoje em dia não se atentam a estes detalhes e perdem link. Jogo sujo um concorrente fazer isso e merece ser punido mesmo.

[heliobmjunior]

Boa tarde Galera, estou passando pelo mesmo problema no meu servidor CCR 1036 4S, resolvi da seguinte forma.

Em cima da porta do seu link, da um Torch, e vai verificar um ip consumindo grande banda de TX.

vai até o firewall e da um drop na entrada desse ip, pois o mesmo esta tentando um ataque de DNS, ja tenho uma lista com quase 50 ips, outra alternativa é bloquear a entrada da porta que esta sendo usada por esses ips.

minha RB nao trava mais fico com lentidão em meu link.

[mauriciojmjr]

Tentei até dropar por ip, mas foi gerando muitas regras e tem que ficar verificando o tempo todo.

Depois que dropei geral a porta 53/UDP acabou meu problema, mas também senti lentidão no link.