Mikrotik Firewall - Blokování velkého množství DNS dotazů
Napsal: 05 Jun 2014 15:30
Dobrý den,
doufám, že jsem název tématu vystihl, to co bych potřeboval poradit. Potřeboval bych do firewall -> filter rules napsat pravidlo na blokování většího počtu DNS dotazů od nějaké IP adresy z vnitřní sítě. Uvedu příklad: jedna IP adresa má větší počet DNS dotazů za minutu než je normální (třeba 100). Potřeboval bych tuto adresu logovat, abych viděl o koho se jedná. Pak aby se tato adresa uložila do src-adres-listu např. z názvem drop_DNS_utok a tam setrvala třeba 24hodin. A na tento seznam bych si nastavil pravidlo na dropování.
Nastavil jsem si v mirotiku na logování tohle pravidlo:
chain=forward action=log protocol=udp dst-address=XXX.XXX.XXX.X dst-port=53 limit=100/1m,1 log-prefix=""
Kde XXX.XXX.XXX.X je adresa DNS serveru. Ale toto pravidlo nefunguje, protože se mi loguje každé spojení, takže kdybych nastavil dropování, nefungovalo by DNS. Nevíte jak na to?
doufám, že jsem název tématu vystihl, to co bych potřeboval poradit. Potřeboval bych do firewall -> filter rules napsat pravidlo na blokování většího počtu DNS dotazů od nějaké IP adresy z vnitřní sítě. Uvedu příklad: jedna IP adresa má větší počet DNS dotazů za minutu než je normální (třeba 100). Potřeboval bych tuto adresu logovat, abych viděl o koho se jedná. Pak aby se tato adresa uložila do src-adres-listu např. z názvem drop_DNS_utok a tam setrvala třeba 24hodin. A na tento seznam bych si nastavil pravidlo na dropování.
Nastavil jsem si v mirotiku na logování tohle pravidlo:
chain=forward action=log protocol=udp dst-address=XXX.XXX.XXX.X dst-port=53 limit=100/1m,1 log-prefix=""
Kde XXX.XXX.XXX.X je adresa DNS serveru. Ale toto pravidlo nefunguje, protože se mi loguje každé spojení, takže kdybych nastavil dropování, nefungovalo by DNS. Nevíte jak na to?