Resultados da Enquete: O que poderia estar causando tal trafego?

Votantes
2. Você não pode votar nesta enquete
  • Bug do MK/RouterOS

    2 100,00%
  • Routerboad com defeito

    0 0%
+ Responder ao Tópico



  1. #1

    Exclamation Mikrotik com TRAFEGO FANTASMA

    Olá amigos do Under, estou eu aqui mais uma vez com um pequeno problema em minha rede, recentemente comprei uma RB1016 para repor no lugar de uma RB1009 por questões de licenciamento por parte da Anatel, até ai ok, agora vem a duvida/problema, no dia que implantei a RB1016, percebi que a taxa de download de todas as portas estava demasiada grande, mesmo sem utilização por parte dos clientes, uma porta que consumia 15MB estava consumindo 50MB+ no momento, na hora pensei que era algum BUG do MK/Winbox, passou um tempo (coisa de 6 horas) começo a receber reclamações vindas dos clientes, dizendo que estava lento, verifiquei o MK e percebi que o possivel bug continuava ocorrendo, tinha poucos usuarios conectados no momento e o ping para estes estava muito alto, tentei descobrir de onde vinha tal trafego (isso é em todas as portas com exceção da WAN que aparentava estar normal), não era de nenhum usuario, seja PPPOE ou HOTSPOT, ai foi a hora que me lembrei da ferramente TORCH, assim que coloquei para dar um TORCH na porta, o trafego estranho parou, o ping para as pessoas voltaram ao normal, e as pessoas voltaram a conectar. Até agora, percebi que, se eu deixar sem o torch, o trafego retorna de forma misteriosa, mas se eu ativo o mesmo em qualquer umas das portas que estão sendo utilizadas, ele cessa. Seria isto algum bug da versão do MK que veio (6.29.1) ou algum problema fisico na RB?

    Recentemente, creio eu, que tenha sofrido um ataque, pois, o que era só o download, partiu para o UPLOAD e o TORCH não resolveu, dei o TORCH, apareceu como se um NOTEBOOK meu, que tem acesso à rede por meio do IP BINDING do HOTSPOT tivesse ocasionando tal trafego enorme de upload sendo que ele estava desativado, retirei a regra do BINDING e o trafego parou.

    Pontos interessantes:
    - Na outra RB (1009 com o RouterOS 6.35) tal coisa não acontece, já coloquei meus clientes nela e eles se mantiveram normal por diversas horas, tambem testei em uma RB1100AHX2 com o RouterOS 6.24 que possuo aqui e não ocorreu nada anormal. Todas com as mesmas configurações sem diferença alguma aparentemente.

    - Seja em PPPOE ou HOTSPOT, nenhum usuario está possibilitado a consumir tanto (com exceção de mim, o ADM).

    - O trafego para assim que o TORCH inicia, não me possibilitando ver de onde ele está vindo.

    - Isto é nas portas dos clientes, a WAN continua normal, por exemplo, nas portas o pessoal aparece consumindo teoricamente 150MB porém na WAN não estão passando de 60MB.

    - É como se o trafego de uma porta passasse para outra e por ai vai, ele meio que clona a velocidade da outra porta.

    - Utilizo uma bridge, mas creio que isto não tenha nada haver, pois nas outras RB's eu faço a mesma coisa e para elas funciona normalmente.

    Creio eu que caso seja alguem querendo fazer algo com minha rede, ele não identificaria eu dando TORCH pois não é possivel ele saber qual é a hora exata que coloco o TORCH para rodar, pois creio eu que ele não faz nada, não abre ip ou algo do tipo.

    Imagem do problema:
    Clique na imagem para uma versão maior

Nome:	         IMG-20160805-WA0006.jpg
Visualizações:	643
Tamanho: 	281,8 KB
ID:      	64601

    Imagem da tentativa de invasão e aparentemente DDOS na rede pois o trafego de UPLOAD subiu consideravelmente:
    Clique na imagem para uma versão maior

Nome:	         IMG-20160805-WA0007.jpg
Visualizações:	618
Tamanho: 	204,9 KB
ID:      	64602

  2. #2

    Padrão Re: Mikrotik com TRAFEGO FANTASMA

    Oii boa noite, seria legal vc colocar o ntopng para monitorar ai vc vai saber exatamente onde ta gerando esse trafego. Pesquisa no sobre o ntopng é bem simples de configurar mas se precisar de ajuda me da um toque no particular

    Enviado via LG-V490 usando UnderLinux App

  3. #3

    Padrão Re: Mikrotik com TRAFEGO FANTASMA

    ja tive problema igual com essa versão 6.29.1, atualize para a mais nova.

  4. #4

    Padrão Re: Mikrotik com TRAFEGO FANTASMA

    Amigo vai em ip, dns, e desmarca a opção allow remote requests.

    Enviado via D2114 usando UnderLinux App

  5. #5

    Padrão Re: Mikrotik com TRAFEGO FANTASMA

    Já tive esse problema, tem regras pra bloquear dns de entrada ??? e outras portas não usadas ? tem como tirar um print / ip / firewall / connections quando estiver ocorrendo

  6. #6

    Padrão Re: Mikrotik com TRAFEGO FANTASMA

    Bem, atualizei a versão, para a 6.36 e tal problema parou, o ALLOW REMOTE REQUESTS estava desligado, coloquei regras para bloquear o dns no meu balance, e nesta também, no balance ocorreu dele pegar alguns pacotes. E Magno, irei dar uma olhada nesta ferramenta. Agradeço a todos os amigos, em relação ao ataque, onde o UPLOAD e DOWNLOAD de todas as portas ficou alto, resolvi o mesmo retirando as regras do bypassed do HOTSPOT ... vejamos o que vai ocorrer de hoje em diante ...