Скажите что творится на mikrotik?

Question

[Евгений]

Подскажите что творится на моем микротике и в какую сторону смотреть? По WAN порту скорость зашкаливает а по лану нету. При всем при этом у меня отваливается интернет. Это бывает переодически раз в 2-3 месяца. От 20-ти минут до часа, потом отпускает и опять все работает ровно.

Comments

[korsar182]

Выполните команду
export compact hide-sensitive file=file
И покажите содержимое файла file.

[Viktor]

В dns наверно галочка стоит - доступен
надо 2 input правила создать UDP 53 DROP и TCP 53 DROP с внешнего интерфейса

Answer 1

[aeroseo]

Обновить прошивку до актуальной.
Блокировать входящие на 53-м порту по UDP из WAN

Answer 2

[Александр Карабанов]

Как вариант можете почерпнуть идеи отсюда https://www.youtube.com/watch?v=wGDTWaDL8jc

Answer 3

[Drno]

Покажите firewall - очень похоже на ДДос на ДНС порт (53), как собственно выше и пишут)

Comments

[Евгений]

Спасибо, порт 53 уже закрыл с наружи. Буду ждать следующей атаки.

Answer 4

[Станислав Валсинатс]

Ddos-ят

Answer 5

[Евгений]

Защиты от этого нет? Что делать в таких случаях?

Comments

[Igor Tkhorik]

почему нет, почитайте защиту mikrotika от ddos, ну если не хотите настраивать сами тогда выходите через ребят которые предоставляют защиту от ddos атак.

[nApoBo3]

Нет, защиты нет( если не подключать внешние ресурсы ), канал все равно забьют. Только сомнительно, что это ddos, посмотрите что это за трафик.

Answer 6

[gav_cat]

В конекшен трекере можно увидеть куда цепляются.
В фаерволе есть экшен тарпит. Именно он хорошо спасает от ддос. Он вешает атакующего.
Так же обычный дроп в раве по списку
Нагрузка упадет, через несколько дней закончится

Comments

[kprohorow]

Для tarpit нужно устройство с хорошим процессором. Лучше использовать таблицу RAW с экшоном "drop"

[gav_cat]

kprohorow, я дропал с неделю. Трафик не уменьшался.
Как включил тарпит, так атаки стали снижаться.
У меня rb3011

Answer 7

[Алексей]

53 порт закройте. А лучше дефолтный файрвол натяните. Там все закрыто.

Answer 8

[Nitaslav]

Поставьте хотя бы стоковые настройки фаервола(не панацея)

В рав зарежте трафик на входящем интерфейсе по 53 порту.

Дальше, используя торч с галками на протокол и порт, смотрите кто срет в сеть по интерфейса. И либо блокируйте трафик, либо ищите того кто гадит в сеть и на нем ликвидируйте по что гадит.

А Вобще корректно настроенный фаервол нужно. Желательно закрытый, то есть запрещено все, что не разрешено.