Zablokovanie ddos

Návody a problémy s konfigurací.
xtome1
Příspěvky: 24
Registrován: 5 years ago

Zablokovanie ddos

Příspěvekod xtome1 » 4 months ago

Dnes rano som som si vsimol ze mam problemy na hlavnej gw (supermicro + Router OS), packet loss vsade, spomaleny net, atd...

Po case som zistil, ze je to zrejme nejaky ddos utok. pretazovalo mi to konektivitu a cpu.. cez torch som zistil ze to ide z ip 78.45.53.245, na porte 18821 a jednym spojenim to na interface smerom k dodavatelovi generuje traffic 100 - 250Mbit/s upload aj download a smeruje na jednu z verejnych IP ktore mam pridelene od dodavatela konektu. Tu adresu nemam nikomu pridelenu ako verejnu cez dnat, cez tu adresu mi ide akurat tak cca 50userov cez snat. na odchadajucich interface sa traffic neobjavil.

Momentalne som vo firewall dropol forward na ip 78.45.53.245 a to pomohlo.

zaujimalo by ma ci sa da nejak nakonfigurovat aby mikrotik automaticky blokovalo takyto neziaduci traffic? alebo ako sa proti tomu branit?

Dakujem
0 x

ludvik
Příspěvky: 3982
Registrován: 7 years ago

Příspěvekod ludvik » 4 months ago

Paket, který ti přijde můžeš blokovat jak chceš, ale stejně přijde a stejně zabírá kapacitu.
Detekovat to automaticky je náročné a myslím, že jen mikrotikem nemáš šanci. A výsledek bys stejně musel poslal "někam vejš", aby se to seklo tam.

Pokud jsi měl ten provoz obousměrně, tak ten tvůj router odpovídal smysluplně. Normální je totiž na nevyžádaný traffic odpovídat jen ICMP paketem, malým. Případně neodpovídat vůbec.

Tipnu si: otevřený DNS server?
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

xtome1
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod xtome1 » 4 months ago

Zabudol som dodat, ze GW nie je verejnych IP, na dodavatela mam prepojovaci rozsah na neverejnych IP.

ked v /ip dns odskrtnem "allow remote request" nepomoze
0 x

xtome1
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod xtome1 » 4 months ago

Zle som pozrel generuje to traffic len jednym smerom
Přílohy
torch.png
torch.png (172.26 KiB) Zobrazeno 835 x
0 x

ludvik
Příspěvky: 3982
Registrován: 7 years ago

Příspěvekod ludvik » 4 months ago

Pokud to je na port 18821, tak to opravdu DNS nebude :-) Jsou dva druhy lidí, kteří čtou "na portu" - jeden si online přeloží ten konec a má "na port", druhý si přeloží začátek a dostane "z portu". Já patřím k té druhé skupině, protože když se mluví o IP někde z internetu, tak i port považuji za zdrojový ...
On to nebude ani DDoS ...

Řekni nadřízenému, ať to sekne on. Případně vynadej rovnou UPC.

Je fuk, na jaké to máš IP. Někde nějaká NATka asi bude tak jako tak.

832 pravidel firewallu? Co tam proboha máš?
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

xtome1
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod xtome1 » 4 months ago

Tak fasa...Moj dodavatel mi povedalk ze mam reklamovat u UPC, tak volam do upc cz a oni mi odporucili, ze to mam nahlasit na policiu, ze na mna niekto utoci...ma s tym niekto skusenosti?
0 x

Dacesilian
Příspěvky: 43
Registrován: 2 years ago

Příspěvekod Dacesilian » 4 months ago

To jste volal na běžnou UPC linku (máte domácí připojení), nebo Vás takhle odbyli i s firemním připojením?
0 x

xtome1
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod xtome1 » 4 months ago

nemam od upc nic, z ich siete ide na mna utok
0 x

KoZLiCeK
Příspěvky: 1038
Registrován: 10 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 4 months ago

xtome1 píše:nemam od upc nic, z ich siete ide na mna utok

si mel volat svymu upstrem poskytovateli.
0 x

ludvik
Příspěvky: 3982
Registrován: 7 years ago

Příspěvekod ludvik » 4 months ago

A ten ho poslal k UPC :-) U nás tomu říkáme čurákův mlejn.
KoZLiCeK píše:
xtome1 píše:nemam od upc nic, z ich siete ide na mna utok

si mel volat svymu upstrem poskytovateli.
3 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

KoZLiCeK
Příspěvky: 1038
Registrován: 10 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 4 months ago

ludvik píše:A ten ho poslal k UPC :-) U nás tomu říkáme čurákův mlejn.
KoZLiCeK píše:
xtome1 píše:nemam od upc nic, z ich siete ide na mna utok

si mel volat svymu upstrem poskytovateli.

no pokud ma nejakyho "profi" upstream poskytovatele tak se ani nedivim ze ho poslal dale.
0 x

Uživatelský avatar
hapi
Příspěvky: 11669
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 4 months ago

a proč by neposlal? co on s tim udělá? Jediný co může je že zablokuje danou ip což je pouze o tom s dodavatelem mluvit o řešení.

Pokud ale datovej tok nedosahuje kapacity linky tak prostě zadropovat a CPU se zklidní.

Problém bych spíš viděl na neochotě UPC něco s tim dělat což je naprosto typická věc a policie to řeší.
0 x

xtome1
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod xtome1 » 4 months ago

KoZLiCeK píše:
ludvik píše:A ten ho poslal k UPC :-) U nás tomu říkáme čurákův mlejn.
KoZLiCeK píše: si mel volat svymu upstrem poskytovateli.

no pokud ma nejakyho "profi" upstream poskytovatele tak se ani nedivim ze ho poslal dale.

Je to Telekom...
0 x

xtome1
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod xtome1 » 4 months ago

Takze bol som na policii, a oni na mna cumeli, ze s takymto problemom sa stretavaju prvy raz, nemaju sa vraj coho chytit, potrebuju vediet hodnotu skody, atd. atd... Ani mi nespisali zapisnicu
0 x

ludvik
Příspěvky: 3982
Registrován: 7 years ago

Příspěvekod ludvik » 4 months ago

Jsem rád, že ještě někdo věří ve funkčnost státu :-) Policie se především nemá čeho chytit, protože ať už vyčíslíš co chceš, pořád je to pro ně neuchopitelná virtuální věc. Musíš tu škodu vytáhnout buď hodně vysoko, nebo mít štěstí a z té IP musí být i jiný zločin (prodeje cihel na Aukru, nebo stalking).

Pokud ti nepomůže tvůj uplink ISP, tak doporučuji jeho změnu ... A u sebe to seknout v RAW tabulce, nic lepšího nedokážeš (pokud tam ještě před tím nemáš switch, jeho ACL by byl o něco lepší nápad).
1 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Chilli, marvel a 5 hostů