Zablokovanie ddos

[xtome1]

Dnes rano som som si vsimol ze mam problemy na hlavnej gw (supermicro + Router OS), packet loss vsade, spomaleny net, atd...

Po case som zistil, ze je to zrejme nejaky ddos utok. pretazovalo mi to konektivitu a cpu.. cez torch som zistil ze to ide z ip 78.45.53.245, na porte 18821 a jednym spojenim to na interface smerom k dodavatelovi generuje traffic 100 - 250Mbit/s upload aj download a smeruje na jednu z verejnych IP ktore mam pridelene od dodavatela konektu. Tu adresu nemam nikomu pridelenu ako verejnu cez dnat, cez tu adresu mi ide akurat tak cca 50userov cez snat. na odchadajucich interface sa traffic neobjavil.

Momentalne som vo firewall dropol forward na ip 78.45.53.245 a to pomohlo.

zaujimalo by ma ci sa da nejak nakonfigurovat aby mikrotik automaticky blokovalo takyto neziaduci traffic? alebo ako sa proti tomu branit?

Dakujem

[ludvik]

Paket, který ti přijde můžeš blokovat jak chceš, ale stejně přijde a stejně zabírá kapacitu.
Detekovat to automaticky je náročné a myslím, že jen mikrotikem nemáš šanci. A výsledek bys stejně musel poslal "někam vejš", aby se to seklo tam.

Pokud jsi měl ten provoz obousměrně, tak ten tvůj router odpovídal smysluplně. Normální je totiž na nevyžádaný traffic odpovídat jen ICMP paketem, malým. Případně neodpovídat vůbec.

Tipnu si: otevřený DNS server?

[xtome1]

Zabudol som dodat, ze GW nie je verejnych IP, na dodavatela mam prepojovaci rozsah na neverejnych IP.

ked v /ip dns odskrtnem "allow remote request" nepomoze

[xtome1]

Zle som pozrel generuje to traffic len jednym smerom

[ludvik]

Pokud to je na port 18821, tak to opravdu DNS nebude Jsou dva druhy lidí, kteří čtou "na portu" - jeden si online přeloží ten konec a má "na port", druhý si přeloží začátek a dostane "z portu". Já patřím k té druhé skupině, protože když se mluví o IP někde z internetu, tak i port považuji za zdrojový ...
On to nebude ani DDoS ...

Řekni nadřízenému, ať to sekne on. Případně vynadej rovnou UPC.

Je fuk, na jaké to máš IP. Někde nějaká NATka asi bude tak jako tak.

832 pravidel firewallu? Co tam proboha máš?

[xtome1]

Tak fasa...Moj dodavatel mi povedalk ze mam reklamovat u UPC, tak volam do upc cz a oni mi odporucili, ze to mam nahlasit na policiu, ze na mna niekto utoci...ma s tym niekto skusenosti?

[Dacesilian]

To jste volal na běžnou UPC linku (máte domácí připojení), nebo Vás takhle odbyli i s firemním připojením?

[xtome1]

nemam od upc nic, z ich siete ide na mna utok

[KoZLiCeK]

nemam od upc nic, z ich siete ide na mna utok

si mel volat svymu upstrem poskytovateli.

[ludvik]

A ten ho poslal k UPC U nás tomu říkáme čurákův mlejn.

nemam od upc nic, z ich siete ide na mna utok

si mel volat svymu upstrem poskytovateli.

[KoZLiCeK]

A ten ho poslal k UPC U nás tomu říkáme čurákův mlejn.

nemam od upc nic, z ich siete ide na mna utok

si mel volat svymu upstrem poskytovateli.

no pokud ma nejakyho "profi" upstream poskytovatele tak se ani nedivim ze ho poslal dale.

[hapi]

a proč by neposlal? co on s tim udělá? Jediný co může je že zablokuje danou ip což je pouze o tom s dodavatelem mluvit o řešení.

Pokud ale datovej tok nedosahuje kapacity linky tak prostě zadropovat a CPU se zklidní.

Problém bych spíš viděl na neochotě UPC něco s tim dělat což je naprosto typická věc a policie to řeší.

[xtome1]

A ten ho poslal k UPC U nás tomu říkáme čurákův mlejn.

si mel volat svymu upstrem poskytovateli.

no pokud ma nejakyho "profi" upstream poskytovatele tak se ani nedivim ze ho poslal dale.

Je to Telekom...

[xtome1]

Takze bol som na policii, a oni na mna cumeli, ze s takymto problemom sa stretavaju prvy raz, nemaju sa vraj coho chytit, potrebuju vediet hodnotu skody, atd. atd... Ani mi nespisali zapisnicu

[ludvik]

Jsem rád, že ještě někdo věří ve funkčnost státu Policie se především nemá čeho chytit, protože ať už vyčíslíš co chceš, pořád je to pro ně neuchopitelná virtuální věc. Musíš tu škodu vytáhnout buď hodně vysoko, nebo mít štěstí a z té IP musí být i jiný zločin (prodeje cihel na Aukru, nebo stalking).

Pokud ti nepomůže tvůj uplink ISP, tak doporučuji jeho změnu ... A u sebe to seknout v RAW tabulce, nic lepšího nedokážeš (pokud tam ještě před tím nemáš switch, jeho ACL by byl o něco lepší nápad).