Как вылечить Mikrotik от DDOSa?

Question

[madeofsun666]

Все началось с того, что перестали открываться некоторые сайты (например exist.ru)
Спросил у провайдера, в чем причина, он ответил следующее.



провайдер дает нам 2 ip адреса, один заканчивается на 228, второй на 229.
В письме указано что проблема с 229 ip. Этот айпи идет к нашим соседям. Мы же используем 228. (что мне непонятно, к примеру, у них сайт exist открывается)
Погуглил, что делать если микротик стал частью ддос ботнета, после прочтения нескольких статей, не нашел признаков того, что мой микротик заражен.
Полез искать что происходит внутри сети, откуда идет ддос(додумался посмотреть через торч, не знаю как еще). Внутри сети не нашел ни чего интересного, но когда зашел на подключение резервного провайдера увидел следующее (через него экзист открывается)


А вот ниже к примеру торч основного провайдера через которого Не работает экзист(письмо которого выше)


Не понимаю, почему провайдер указывает на 229 адрес, хотя у нас 228. И вообще почему у резервного провайдера, 700 подключений активных. Притом через него сайты работают нормально.
Помогите пожалуйста понять и разобраться в чем причина. И как исправить эту ситуацию.

а еще вчера ночью гуглил способы решения этой проблемы, появилось такое сообщение

Answer 1

[Gansterito]

На адресе 62.176.27.229 (который "идет к соседям") работает открытый DNS.
Соответственно, он DDoS-ит через DNS amplification.

> server 62.176.27.229
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ яю єьюыўрэш■: [62.176.27.229]
Address: 62.176.27.229

> ya.ru
╤хЁтхЁ: [62.176.27.229]
Address: 62.176.27.229

Не заслуживающий доверия ответ:
╚ь : ya.ru
Addresses: 2a02:6b8::2:242
77.88.55.242
5.255.255.242
77.88.44.242

>

Возможно, вас по соседству заблокировали.
Почему не заблокировали соседей? А при такой развитой сетевой инфраструктуре у них точно нет другого провайдера?

Comments

[madeofsun666]

Я вот тоже подозревал, что мы просто в одной подсети состоим и нас задело как-то.
Вот почему их не заблокировали, вопрос который мне не понятен.
Нет, их сетевое оборудование находится в моей сереной, там только 1 провод от провайдера.

[madeofsun666]

как Вы ip узнали? я же стер его везде :)

[madeofsun666]

В общем да, был включен там allow remote request.
Отключил. nslookup перестал там отзываться. Спасибо, посмотрю что из этого выйдет.

[Gansterito]

madeofsun666, из HEX-дампа.
Знаете, народ очень сильно боится, что их вычислят по IP, или деанонимизируют (и будут насмехаться, ага). Всё фигня, главное не показывать листинги, где могут быть логины/пароли/токены/сессии/приватные ключи/участки чувствительного кода. А у вас только сетевой дамп)

[madeofsun666]

[Egor Sofronov]

DNS allow remote request можно оставить включенным, иначе ваша сеть, использующая mikrotik как DNS останется без DNS.

Вопрос решается через firewall,
input udp 53 только из локалки.

И раз у Вас уже возникла подобная проблема, очевидно Вам стоит тщательно пересмотреть все правила в firewall.

[madeofsun666]

Gansterito, ну меня и так "ддосили" не хотел облегчать кому-то задачу :)

[madeofsun666]

Egor Sofronov, в моей сети днсом выступает dns от микрософта.
А с соседями надо уточнить, спасибо за замечание.

[Fullspb]

Мне тут пару недель назад позвонил провайдер. Что то пробубнил про флуд и ддос а потом спросил "а у вас микротик?". Я пошевелил мозгом, точно, да он(у жены отдельный провод интернета и нас нем Я кинул года три наза микротик и забыл как говорится) кратко пояснили что на 53 или 58 (я уже запамятовал какой точно)порт идёт какой то запрос к микротик и он отвечает на него каким то недоразумением. Попросили прикрыть порт в файрволе. Жалобы от жены тоже были. Я был в отъезде, кое как сыну объяснил как подкинуть другой роутер и забыл про это дело.

Answer 2

[Юрий MikroTik]

1. Netinstall
2. Настройка заново
3. Просить сменить IP

Comments

[madeofsun666]

это 3 решения, или одно?

[madeofsun666]

Зачем нетистал? хотите сказать что злоумышленик перепрошил мой микротик?

[Вадим]

Два )

[Юрий MikroTik]

madeofsun666, может быть всё что угодно.
По этому лучше не гадать, а сделать 1 и 2 пункты, если не поможет - сделать 3 пункт

Либо начать с 3 пункта (как самый простой), и если проблема повторится - сделать первые 2

[madeofsun666]

Юрий MikroTik, тогда, у какого провайдера просить смены ip ?

[Юрий MikroTik]

madeofsun666, через которого проблема

[madeofsun666]

Юрий MikroTik, судя по письму, доступам к сайту, тому сообщение о ботнете, проблема у риалкома, а судя по торчу проблема на цифре, я этого и не понимаю, как такое может быть.
почему на цифре все работает хорошо, но там 700 подключений?

[Юрий MikroTik]

madeofsun666, я не знаю как у вас настроен 2WAN и firewall
Возможно брутфорсят адрес

Answer 3

[Пума Тайланд]

А вы не пробовали спросить провайдера какого хрена не вам прислал ответ на левый айпи который вам не принадлежит? И какого хрена он вам блокирует exist
Ну и ддос чтобы посмотреть достаточно на микротике посмотреть активность сетевую, думаю уж ддосную от обычной вы отличите

Comments

[madeofsun666]

оба этих ip куплены нами (договор заключен на нас)
увидеть то я ее увидел(на скрине с 7 сотнями активных подключений), а вот что с ней делать, не знал.