mozny utok na gw?

[losos]

snad to přichází ne? takže input. output je ti na MKčku tak trochu na nic.

vychadzal som z toho, ze na to aby vobec nieco stahoval, musi najskor niekam odosielat - neslo to do vnutra siete, tocilo sa to na uplinkovom interface. preto mi bolo divne, ze ak stopnem upload, tak stale vsetko bezalo.
kazdopadne dik, nahodil som si aj input pravidlo.

ne, vycházej z toho že než něco brána samovolně odešle, musí něco přijít. Ale připadá mi to podle toho obrázku že na ní někdo útočí a router odesílá nějaký statusový hlášky zpět přes icmp něco jako "stop, brzi, nestíhám" nebo něco podobnýho. No každopádně to chce zastavit input.

no vidis, nahodil tie dropy ako som pisal vyssie, a aj tak to bolo znovu vyhulene naplno. any other idea?

[hapi]

to bude při takovim útoku vyhulený vždy když je musí zahazovat.

[radek1]

@hapi: protože v původním obrázku je DST začerněný, tak se můžeme jen dohadovat co je skutečně cílem
@losos: 350Mb tok přes ICMP není podle mě normální

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

úplně dole je vzor ochrany. Záleží ale samozřejmě na zbytku Input praviel jak je máš poskládaný a jestli tam není díra.

[hapi]

jo pravda, je to začerněný takže to nemusí týct na ten router. Navíc nechápu jak někdo vyvolá v TCP 1000MBit na 2MBit. To bude pěkně modifikovanej hajzl a nebo fakt fůra spojení.

[radek1]

@losos
příklad zabezpečení INPUT:

INPUT (LAN) TCP 8291 ALLOW
INPUT (LAN) UDP 53 ALLOW
INPUT (LAN+WAN) DROP

[losos]

pomohlo by keby urobim screeny niecoho ineho pocas utoku? ze by vam to mozno v niecom mohlo napovedat? nejak sa mi nechce akceptovat ze utok/neutok stale mi pojde 900Mbit cez uplink a zakaznici budu cakat 5min kym to prestane. Dnes to uz bolo napriklad 2x, ocakavam este jeden okolo pol piatej ako vcera.

[radek1]

A proč máš za to, že se jedná o útok? Je cílem toho toku skutečně Mikrotik, resp. INPUT rules?

Buď udělej read only přístup do svojeho MK, nebo pro začátek pošli výpis firewall rules

[hapi]

sorry musim se rejpnout ale ty máš k dispozici 1Gbit konekt do netu a neumíš ovládat router?

[tom-tom]

[Rudolf Dvořák]

sorry musim se rejpnout ale ty máš k dispozici 1Gbit konekt do netu a neumíš ovládat router?

tak pokud ho ma nove, tak to se nedivim, me mikrotik prekvapuje stale a to uz s nima dobre 2-3 roky delam

ale dostal jsem se k nim u jednoho ISPpika v Praze co mi mikrotiky vysvetlil a od te doby uz akorat otravuju tady na foru

jinak ne ze mi hapi reknes ze jsem lama, ja to vim a u tebe vim ze jsi guru

[mato1]

ja som nieco podobne tuna rozoberal tiez predcasom... skusal som input, output, forward, prerouting, postrouting, obmedzovat to, limitovat to, dropovat to a nepomahalo nic...
skusali mi tuna radit nejaky borci, ale tiez nepomohlo nic z toho. proste to prestalo samo - staci sa silno moc modlit

tipujem to na samotny mikrotik, ze to z nejakeho dovodu nedokazal obmedzit, inak si to nedokazem predstavit, kedze som na tom presedel fakt kvantum casu

[hapi]

no, ono by asi bylo dobrý upozornit na to, že z daty která přicházejí se nedá nic dělat v tom smyslu že když už přijdou, tak prostě přijdou a nikdo je nezastaví. Zastavit se daji, tedy že se neroutnou dál přes forward nebo že nedojdou do inputu atd... přijatý data ethernetem jsou prostě přijatý a nic s nima nikdo neudělá. Na ethernetu budeš prostě mít RX 1000Mbit a můžeš si dělat dropy jak chceš.

[hapi]

mě by spíš zajímalo co je v paketech protože generovat TCP bez zpětných paketů je normálně nemožný. Nemůžeš dát po cestě nějakej mirror portu a odchytit nějakym snifferem data? nějakej wireshark nebo tak.

[ludvik]

Pravdu díš ... ale je trochu předpoklad, že pokud to zadropuješ, útočník se na to vykašle, když se mu nebude nic vracet.

Ale jediná možnost s tím něco udělat je kooperace s nadřízeným ISP, či poskytovatelem tranzitu. Pokud něco generuje tohle, nebude se to líbit určitě ani zdrojové síti.

Kód: Vybrat vše

OrgName:        BitGravity, Inc.
OrgId:          BITGR
Address:        700 Airport Blvd
Address:        Suite 100
City:           Burlingame
StateProv:      CA
PostalCode:     94010
Country:        US
RegDate:        2006-05-31
Updated:        2009-08-05
Ref:            http://whois.arin.net/rest/org/BITGR
OrgNOCPhone:  +1-650-262-0004
OrgNOCEmail:  hostmaster@bitgravity.com


no, ono by asi bylo dobrý upozornit na to, že z daty která přicházejí se nedá nic dělat v tom smyslu že když už přijdou, tak prostě přijdou a nikdo je nezastaví. Zastavit se daji, tedy že se neroutnou dál přes forward nebo že nedojdou do inputu atd... přijatý data ethernetem jsou prostě přijatý a nic s nima nikdo neudělá. Na ethernetu budeš prostě mít RX 1000Mbit a můžeš si dělat dropy jak chceš.

[losos]

A proč máš za to, že se jedná o útok? Je cílem toho toku skutečně Mikrotik, resp. INPUT rules?
Buď udělej read only přístup do svojeho MK, nebo pro začátek pošli výpis firewall rules

topic vlakna je otazka. NEVIEM o co sa jedna, iba tipujem. Samozrejme je mozne, ze som im nastreamoval 10GB animal porna lebo ho potrebovali v afghanistane a stacilo im - ziadny utok, cista jednorazovka.
pristup by ti bol k nicomu, pretoze cela "vec" trva 3-5min. A predpokladam ze zle nastavenym firewallom si nesposobim 1Gb traffic. A ak mi tam nieco chyba - povedz co, velmi rad sa poucim a dorobim pravidla, preto sem pisem.A prikladam filter rulez exportnuty, nech to mozte omrknut a nech dorobim co chyba.

sorry musim se rejpnout ale ty máš k dispozici 1Gbit konekt do netu a neumíš ovládat router?

Mam unlimited link(Gb porty na MK) a priznavam ze neviem vsetko. KAzdopadne, myslim si ze to nie je v dnesnej dobe problem - na sk urcite, v CR je to problem(s tou gigovou linkou)?
to s tym wiresharkom...hm...akurat tu nemam volnu masinu kam to mirrornut, je pravda ze to by bolo dobre odchytit.skusim nieco narychlo

Kód: Vybrat vše

/ip firewall filter
add action=drop chain=input disabled=no src-address=208.67.237.237
add action=drop chain=input disabled=no dst-address=208.67.237.237
add action=drop chain=output disabled=no src-address=208.67.237.237
add action=drop chain=output disabled=no dst-address=208.67.237.237
add action=accept chain=input comment="odtialto ide novo nahraty firewall" \
    disabled=no src-address-list=povoleny_monitoring
add action=add-src-to-address-list address-list=black_list \
    address-list-timeout=1d chain=input comment="detect DoS attack" \
    connection-limit=30,32 disabled=no protocol=tcp
add action=tarpit chain=input comment="suppres DoS attack" connection-limit=\
    3,32 disabled=no protocol=tcp src-address-list=black_list
add action=drop chain=input comment="drop ftp brute forcers" disabled=no \
    dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" disabled=no \
    dst-limit=1/1m,3,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    disabled=no protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=log chain=input connection-state=new disabled=no dst-port=22 \
    log-prefix="add addres ssh_blacklist" protocol=tcp src-address-list=\
    ssh_stage3
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp
add action=drop chain=forward disabled=no dst-port=22 protocol=tcp \
    src-address-list=ssh_blacklist