Jak zablokovat slowloris a dos na specifickou službu
Napsal: 14 Apr 2015 20:41
Zdravím,
používám RB2011UiAS-2HnD s Router OS ver. 6.15 jako SOHO router a potřeboval bych vyřešit dva problémy pramenící z útoků na mou IP adresu vůči službám, které za tímto Mikrotikem běží.
V první řadě na mě čas od času útočí dvěma typy útoků:
- slowloris
- vytvořením řádově 1k požadavků o připojení na specifický port 25565 (Minecraft server, konkrétně proxy nazývaná Bungeecord)
Vím o tom, že existují moduly do Apache, které mají tuto zranitelnost potlačit popř. použití ngixu by také první problém vyřešilo, přesto bych byl raději, kdyby danou věc odchytával Mikrotik.
Apache
- Použitím slowlorisu vytvoří xxx připojení a logicky zahltí danou mašinu
- Existuje nějaká automatika za pomocí filter a access listu, která by tento způsob útoku zablokovala? Nebo musím danou IP vždy ručně blokovat?
Minecraft
- Pomocí prográmku Death Bot, který vytvoří více než 1k připojení najednou a tím pádem server musí zpracovat 1k nových hráčů > KO
- Fungovala by zde opět nějaká obrana pomocí firewallu v rámci filter a access listu?
Wikinu jsem projížděl, scripty zkoušel, ale nic z toho rozumně nefungovalo.
Otázku jsem položil i v eng verzi zde: http://forum.mikrotik.com/viewtopic.php?f=2&t=95814
Děkuji za odpověď!
používám RB2011UiAS-2HnD s Router OS ver. 6.15 jako SOHO router a potřeboval bych vyřešit dva problémy pramenící z útoků na mou IP adresu vůči službám, které za tímto Mikrotikem běží.
V první řadě na mě čas od času útočí dvěma typy útoků:
- slowloris
- vytvořením řádově 1k požadavků o připojení na specifický port 25565 (Minecraft server, konkrétně proxy nazývaná Bungeecord)
Vím o tom, že existují moduly do Apache, které mají tuto zranitelnost potlačit popř. použití ngixu by také první problém vyřešilo, přesto bych byl raději, kdyby danou věc odchytával Mikrotik.
Apache
- Použitím slowlorisu vytvoří xxx připojení a logicky zahltí danou mašinu
- Existuje nějaká automatika za pomocí filter a access listu, která by tento způsob útoku zablokovala? Nebo musím danou IP vždy ručně blokovat?
Kód: Vybrat vše
0 ;;; HTTP attack
chain=forward action=reject reject-with=icmp-network-unreachable
protocol=tcp dst-address=89.36.234.120 port=80 Minecraft
- Pomocí prográmku Death Bot, který vytvoří více než 1k připojení najednou a tím pádem server musí zpracovat 1k nových hráčů > KO
- Fungovala by zde opět nějaká obrana pomocí firewallu v rámci filter a access listu?
Wikinu jsem projížděl, scripty zkoušel, ale nic z toho rozumně nefungovalo.
Otázku jsem položil i v eng verzi zde: http://forum.mikrotik.com/viewtopic.php?f=2&t=95814
Děkuji za odpověď!