❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Hack mikrotiku ?
Re: Hack mikrotiku ?
Jsou ještě nějaké porty co má Mikrotik povolen ? Blahově jsem si myslel, že když je zapnut v Services jenom Winbox tak ostatní jsou Dropnuté.
0 x
Warcz píše:[Ok ale když to vypnu tak přestane DNS fungovat uplně(
Popravdě, ten DNS forwarder je tak debilní, že lepší je ho vůbec nepoužívat pro koncové počítače.
V DHCP serveru si nastavit, ať se klientům předá odkaz na nějaký normální rekurzivní resolver.Jakmile povolíš, že má odpovídat na vzdálené dotazy, tak musíš bloknout firewallem dotazy z WAN strany, jinak se z toho udělá za chvíli holubník. Zvláště, pokud máš router z Internetu dostupný.
Warcz píše:Tak jsem přidal DROP na firewallu a asi vyřešeno.
Je třeba dropovat z WAN strany pokusy o spojení na prot 53 pomocí UDP i TCP.
Rudolf Dvořák píše:Jenom me napada, neni to nejaky bot, ktery hleda cracknute mikrotiky?
Může to být cokoliv - ať hledání craclých MK, zapojení do DNS route sítě (ale to by viděl hodně podivných DNS dotazů v cache), pokus o využití v DDOS sítí pro útok proti jiným DNS serverům, ....
0 x
ted nedávno jsem taky něco zaznamenal v noci na jednom MK jelo 6Mbit a 3500pps tam i zpět cpu 100% a vše jelo dotazy na MK a DHCP port 53 Ip sem si nezapisoval a bylo jích dost ale většina myslím začínala 179 nebo 197
takže od hakovani FTP je asi mnohem lukrativnější když vám někdo hekne MK a v DNS vám statikou nasměruje třeba banky na svuj servr a vašich x tisíc klientu ma hesla k bance v prd...
takže od hakovani FTP je asi mnohem lukrativnější když vám někdo hekne MK a v DNS vám statikou nasměruje třeba banky na svuj servr a vašich x tisíc klientu ma hesla k bance v prd...
0 x
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 13 years ago
Rudolf Dvořák píše:Jenom me napada, neni to nejaky bot, ktery hleda cracknute mikrotiky?
kolik asi tak bude cracknutych verzi MT ? Vyplati se nekomu kvuli tomu budovat scanner? A co by tim ziskal? Nic.
Jedna se IMHO o obycejny scan na rekurzivni DNS servery zneuzitelne k DNS amplifacation utoku. Kdyby warcz udelal to, co jsem po nem hned na zacatku vlakna chtel (sniffer), vedel by to uz davno.
0 x
Ani to využití pro DNS DDoS není úplně ideální díky debilitě toho default DNS forwarderu. Ale nemá smysl řešit. Zkrátka to DNS má být dostupné jen pro ty, koho jsem určil a ne pro všechny=jakmile povolím remote request, tka firewallem blokuji TCP+UDP port 53 z venku.
Hledání craclých MK je málo pravděpodobné, autor vylepšené verze má implementován bonzáka domů a "normální člověk" si koupí přístup za pár drobných na vhodné burze (i když s kurzem ~200 USD za 1 BTC to už taková pusa není).
Hledání craclých MK je málo pravděpodobné, autor vylepšené verze má implementován bonzáka domů a "normální člověk" si koupí přístup za pár drobných na vhodné burze (i když s kurzem ~200 USD za 1 BTC to už taková pusa není).
0 x
jen takovy malý info
Za 24hodin mám 160Mb dotazu na zakazanej port 53
ale nevim proč zakazuješ tcp tam nikdy nic nepřišlo
Za 24hodin mám 160Mb dotazu na zakazanej port 53
ale nevim proč zakazuješ tcp tam nikdy nic nepřišlo
0 x
No, když na sebe už navlékám neprůstřelnou vestu (firewall na Mikrotika), tak si ji vezmu celou a ne jen půlku.
DNS dotazy se mohou klást po UDP i TCP. Kostelní pořádek je, že se ptá přes UDP a když se odpověď do UDP paketu nevejde, server ji zkrátí a klient se ptá automaticky znova přes TCP. Ale klient se může klidně ptát rovnou přes TCP spojení... Takže blokujeme i TCP.
DNS dotazy se mohou klást po UDP i TCP. Kostelní pořádek je, že se ptá přes UDP a když se odpověď do UDP paketu nevejde, server ji zkrátí a klient se ptá automaticky znova přes TCP. Ale klient se může klidně ptát rovnou přes TCP spojení... Takže blokujeme i TCP.
0 x
OK takže až někdo zjistíte co tím DNS utokem zamýšlí dejte vědět
Jestli někdo hekne DNS tak je po internetu
Jestli někdo hekne DNS tak je po internetu
0 x