IIchan Archives — Электроника и ПО

Файл: 6a107e76dad660eeabbce252be5963b7.png -(181 KB, 484x403, 6a107e76dad660eeabbce252be5963b7.png)

Как отбиваться от врагов? Чии Пн 28 сентября 2015 23:10:51 No.173650

Mikrotik RB951Ui-2HnD
Не загрузилась страничка со странной проблемой, пошел смотреть на роутер.
1) В логах массовый брутфорс по ssh - отключил неиспользуемые службы, оставил возможность логина только из внутренней сети по ввв+винбокс.
2) Процессор загружен на 100, жрет служба днс. Оказывается, ей пользуются извне, разные айпи, массово. Типа, какая-то ботсеть пытается меня в генг-рейп по днс, но зачем? И как с этим бороться?
Типа так:
а)

>/ip firewall filter
>add action=add-src-to-address-list address-list="SUKA_FLOODYR" \ address-list-timeout=2h chain=input dst-port=53 in-interface=ether1 \ protocol=udp
>add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp \ src-address-list="SUKA_FLOODYR"

Чии Пн 28 сентября 2015 23:25:22 No.173651

б) или так?

/ip firewall address-list
add address=10.0.0.0/8 list=DNS_Norm
add address=172.16.0.0/12 list=DNS_Norm
add address=192.168.0.0/16 list=DNS_Norm
add address=8.8.8.8/32 list=DNS_Norm
add address=8.8.4.4/32 list=DNS_Norm

/ip firewall filter
add action=jump chain=input disabled=no jump-target=DNS_DDoS_Suka
add action=accept chain=DNS_DDoS_Suka disabled=no port=53 protocol=tcp src-address-list=DNS_Norm
add action=accept chain=DNS_DDoS_Suka disabled=no dst-address-list=DNS_Norm port=53 protocol=tcp
add action=accept chain=DNS_DDoS_Suka disabled=no port=53 protocol=udp src-address-list=DNS_Norm
add action=accept chain=DNS_DDoS_Suka disabled=no dst-address-list=DNS_Norm port=53 protocol=udp
add action=add-src-to-address-list address-list=DNS_DDoS_Suka address-list-timeout=0s chain=DNS_DDoS_Suka comment="Zabanit suku!" disabled=no port=53 protocol=tcp src-address-list=!DNS_Norm
add action=add-src-to-address-list address-list=DNS_DDoS_Suka address-list-timeout=0s chain=DNS_DDoS_Suka comment="Zabanit suku!" disabled=no port=53 protocol=udp src-address-list=!DNS_Norm
add action=drop chain=DNS_DDoS_Suka comment="Drop dns ddos suku" disabled=no src-address-list=DNS_DDoS_Suka
add action=return chain=DNS_DDoS_Suka disabled=no
/

>>	Чии Пн 28 сентября 2015 23:59:20 No.173652 Меня, после покупки этого микротика, тоже китайцы стали брутить и что-то там ещё. Забил.

Лэйн Вт 29 сентября 2015 06:26:32 No.173655
Файл: shot_[FFF] Non Non Biyori - 10 [7E063C82(...).png -(547 KB, 1280x720, shot_[FFF] Non Non Biyori - 10 [7E063C82(...).png)

>>173650
Делал примерно как в ОП-посте. Только я помечал пакеты в mangle (chain=prerouting), а не в самом фильтре. Загрузка проца упала до 1..2%.
Погугли про атаку dns amplification что-то там. У микротика не вики где-то была страничка с рецептом.

Чии Вт 29 сентября 2015 07:12:25 No.173657
Файл: [Lazy Lily] Yuru Yuri Nachuyachumi!+ 01 (...).jpg -(79 KB, 1280x720, [Lazy Lily] Yuru Yuri Nachuyachumi!+ 01 (...).jpg)

Нет чтобы превентивно забанить фаерволом все входящие соединения с внешнего интерфейса, так он лучше чего-то там изобретать будет.

>>	Чии Вт 29 сентября 2015 11:30:28 No.173662 Как вообще по-умному настроить dns-компоненту в mikrotik, чтобы без хитрожопых правил для файрфола обходиться во время dns amp атак?

>>	Чии Вт 29 сентября 2015 14:01:14 No.173663 >>173662 Создать единственное запрещающее правило в фаерволе не так уж сложно же. >>173657

>>	Чии Вт 29 сентября 2015 14:37:11 No.173665 >>173657 Может, ему нужен доступ к этому сервису или девайсу вообще. Правда, можно доступ по белому списку давать. Но, может, опять же это для него неприемлемо.

>>	Чии Вт 29 сентября 2015 16:51:53 No.173682 >>173657 Угу, а если ты не хикки, и входящие соединения таки нужны?

>>	Чии Вт 29 сентября 2015 17:13:54 No.173684 >>173682 Сделай сначала deny from all, а потом разреши только нужное, очевидно же. При чём тут хикки, совсем бака штоле?

Чии Вт 29 сентября 2015 17:14:28 No.173685

>>173657
Больше того, в любом нормальном файерволе, включая микротиковский, это правило есть по дефолту.

>>173682
Во-первых:
 1    ;;; default configuration
      chain=input action=accept connection-state=established log=no log-prefix="" 
 2    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""
Во-вторых, смотришь, что там принимает входящие, и ручками, ручками.

4 ;;; Skype
  chain=input action=accept protocol=tcp in-interface=InetPPTP dst-port=50955 log=no log-prefix="" 
 5    ;;; Skype
      chain=input action=accept protocol=udp in-interface=InetPPTP dst-port=50955 log=no log-prefix=""

>>	Чии Ср 30 сентября 2015 10:34:45 No.173700 >>173685 > и ручками, ручками А что, эти ваши микротики не умеют в UPNP?

>>	Чии Ср 30 сентября 2015 11:13:15 No.173702 >>173700 Умеют. Это я бака, что не настроил нормально UPnP на нём. >>173685

>>	Чии Ср 30 сентября 2015 12:03:34 No.173704 >>173662 Не выставлять DNS слушать внешний интерфейс. А также перевесить ssh на нестандартный порт.

>>	Чии Пн 25 апреля 2016 22:42:59 No.180558 Чии, задача. Хочу фильтровать UDP и TCP по содержимому. Хочу, чтобы пакеты, содержащие заданные строки, не доходили. Как это делается на Windows 7?

>>	Чии Пн 25 апреля 2016 23:01:07 No.180559 Олсо: чем сканировать открытые порты?

>>	Чии Вт 26 апреля 2016 07:01:47 No.180563 >>180558 iptables -hex-string >>180559 nmap

>>	Чии Вт 26 апреля 2016 14:04:13 No.180566 >>180563 Windows 7, Чии.

>>	Чии Вт 26 апреля 2016 15:13:24 No.180567 Файл: cffc7372d1eb59fbbcc8e9979531e3f9.jpg -(46 KB, 461x461, cffc7372d1eb59fbbcc8e9979531e3f9.jpg) >>180566 Виртуальная машина с линуксом, Чии. Ну или иди купи какой-нибудь могущий в такие фокусы виндовый фаервол.

>>	Чии Вт 26 апреля 2016 16:30:01 No.180568 >>180566 Роутер с линуксом.