mikrotik DNS ddos

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
mikrotik DNS ddos
Помогите решить проблему у меня на внешнем интерфейсе появляется большой трафик и забивает весь канал при этом на внутреннем интерфейсе данного трафика нет.
Как решить проблему и понять что это такое ?
Я немного скорректировал ваша название темы, т.к уже не первый раз сталкиваюсь с этой проблемой и уверен что тут речь про DNS DDOS, как это понять:
Встаете на интерфейсе и смотрите торч, и видете что куча запросов на 53 порт с нескольких ИП
данная проблема связанна с "Allow Remote Requests" (ip - dns)
Решения просто прикрываем запросы к внешнему интерфейсу на 53 порт.
ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop
Слишком брутально! Изящнее коллеги, изящнее!
/ip firewall filter
add action=add-src-to-address-list address-list="dns flood" \
   address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 \
   protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp \
   src-address-list="dns flood"
Цитата
Guest пишет:
Слишком брутально! Изящнее коллеги, изящнее!

/ip firewall filter

add action=add-src-to-address-list address-list="dns flood" \

   address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 \

   protocol=udp

add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp \

   src-address-list="dns flood"

В чем изящнее? Забивать память зачем-то и каждый раз делать проверку по списку? Смысл?
Цитата
Guest пишет:
Слишком брутально! Изящнее коллеги, изящнее!

/ip firewall filter

add action=add-src-to-address-list address-list="dns flood" \

address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 \

protocol=udp

add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp \

src-address-list="dns flood"

Полная бессмыслица! Закидывать каждого обратившегося на DNS на 1 час в черный список. И постоянно проверять списки. Можно было бы хотя бы сделать количество обращений в секунду. Но это все от лукавого!
Самый правильный метод предложил admin:

Цитата
admin пишет:
Решения просто прикрываем запросы к внешнему интерфейсу на 53 порт.

ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop

Ну или просто снять галочку в IP - DNS "Allow Remote Requests"
Страницы: 1
Ответить
Форма ответов
Текст сообщения*
:) ;) :D 8) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.