Флуд від роутерів тотолінк

[Ромка 568]

4 минуты назад, a_n_h сказал:

саме так, тому зробив для них:

 

 

Ты вообще вкурсе как DOH работает?) Причем там 53 порт?)

[a_n_h 606]

Только что, Ромка сказав:

Ты вообще вкурсе как DOH работает?) Причем там 53 порт?)

  Я записав дамп, ці роутери лізуть напряму через 8.8.8.8:53,  1.1.1.1:53 і ще пара китайських ДНС а далі вже починається сам "флуд".  В мене вийшло йх заткнути, тепер вже можу потихеньку перешивати...

[Tarik89 0]

Як знизити навантаження від них на мікротіку? Бо вже блокував їм порти вихідні, і зменшував кількість з"єднань, не допомагає

[Airos 19]

Странно что только создали эту тему. На своем опыте скажу что единственное решение в нашем случае (где этих роутеров не одна тысяча) была изолировать зараженных на отдельный bras/nas (после чего прекратилось влияние на сеть в целом) после чего блокировать клиентам в небольших количествах интернет и тем кто обратился загонять их в отдельный vlan который проброшен к удаленной машине на винде, просить переключить кабель в LAN порт и прошивать их программой которая есть на сайте Ромсата.

P.S. всякие блокировки 53го порта до одного места, в нашем случае легче не стало, т.к заразившихся роутеров больше 500 шт как оказалось. Сейчас продолжаем периодически сканировать брасы на предмет кол-ва поднятых сессий, чтобы оперативно изолировать на прокаженный брас и в дальнейшем разбираться.

[v68 7]

Если роутеры стоят за OLT, то лучший рецепт - зарезать исходящую скорость на OLT.
Кстати, и детектировать можно по аномальному соотношению входящего/исходящего трафика

[CoUL 30]

Поборов 1 правилом. Цікаво хто перший здогадається

Відредаговано 2025-09-17 13:36:26 CoUL

[CoUL 30]

В 16.09.2025 в 01:49, Airos сказав:

Странно что только создали эту тему. На своем опыте скажу что единственное решение в нашем случае (где этих роутеров не одна тысяча) была изолировать зараженных на отдельный bras/nas (после чего прекратилось влияние на сеть в целом) после чего блокировать клиентам в небольших количествах интернет и тем кто обратился загонять их в отдельный vlan который проброшен к удаленной машине на винде, просить переключить кабель в LAN порт и прошивать их программой которая есть на сайте Ромсата.

P.S. всякие блокировки 53го порта до одного места, в нашем случае легче не стало, т.к заразившихся роутеров больше 500 шт как оказалось. Сейчас продолжаем периодически сканировать брасы на предмет кол-ва поднятых сессий, чтобы оперативно изолировать на прокаженный брас и в дальнейшем разбираться.

Дійсно дивно це вже 2 хвиля. Перша була у квітні. А друга розпочалась 24.08.2025 і йде досі.

Якщо треба допомога, щоб подолати цю проблему пишіть в приватні повідомлення проконсультую.

Є 100% ліки.

[BUM 249]

В 18.09.2025 в 01:41, CoUL сказав:

Є 100% ліки.

не використовувати тотолінки?

[nvr 68]

2 минуты назад, BUM сказал:

не використовувати тотолінки?

Використовувати mikrotik 💪

[Baneff 167]

В 17.09.2025 в 16:36, CoUL сказав:

Поборов 1 правилом. Цікаво хто перший здогадається

Ніхто не здогадався, кажіть вже.

[nvr 68]

В 21.09.2025 в 14:23, Baneff сказал:

Ніхто не здогадався, кажіть вже.

Правило номер раз: клієнт завжди правий.

[Baneff 167]

18 часов назад, nvr сказав:

Правило номер раз: клієнт завжди правий.

По перше - це неправда. А по друге - тут взагалі мови про клієнтів тут не було.

[vaz02 505]

 

В 25.09.2025 в 21:23, nvr сказав:

Правило номер раз: клієнт завжди правий.

Ви не все цитуєте, там не крапка а кома а далі " поки в офіс ( чи магазин) не зайшов ГОСПОДАР" . Ось так виглядає фраза в повному вигляді.

[Andriydjv 10]

В 17.09.2025 в 16:36, CoUL сказав:

Поборов 1 правилом. Цікаво хто перший здогадається

Поділіться ж як побороли? 

[Andriydjv 10]

В 17.09.2025 в 16:36, CoUL сказав:

Поборов 1 правилом. Цікаво хто перший здогадається

Поділіться ж як побороли? 

[Andriydjv 10]

В 13.09.2025 в 13:09, krim852 сказав:

Добрий день, може хто знає як побороти флуд від роутерів тотолінк N350R?

Схоже інфіковані різні моделі тотолінк, і 702 і 3002, чи ви знайшли рішення як лікувати? Чи хтось може підказати?

[CoUL 30]

!

Відредаговано 2025-10-20 04:03:32 CoUL

[www.хомнет.укр 68]

Тут можна знайти те що вам необхідно... 

https://itorakul.com.ua/ddos-mikrotik/

[gelmas_x 12]

Попали і ми на цю проблему. У клієнта TOTOLINK N350RT як другий роутер за основним. Знайшли його через нетиповий трафік (вихідний в рази перевищував вхідний) - сегмент мережі вмирав. Забрав потестить і це жесть. Після включення така кількість конекшенів .... . Версія V9.3.5u.6389. Перепрошив на V9.3.5u.6468_84ad6c0_B20250827_TMP (перехідна) далі V9.3.5u.6466_B20250825_ALL. Тепер все ОК. Посилання на інструкцію та самі прошивки -> https://www.totolink.net/data/upload/20250828/862d220a156cfaa9716367ff5a2a12c8.zip

Відредаговано 2025-10-22 16:47:02 gelmas_x
добавив посилання на архів з прошивками

[Diter_ua 98]

5 минут назад, gelmas_x сказал:

Попали і ми на цю проблему. У клієнта TOTOLINK N350RT як другий роутер за основним. Знайшли його через нетиповий трафік (вихідний в рази перевищував вхідний) - сегмент мережі вмирав. Забрав потестить і це жесть. Після включення така кількість конекшенів .... . Версія V9.3.5u.6389. Перепрошив на V9.3.5u.6468_84ad6c0_B20250827_TMP (перехідна) далі V9.3.5u.6466_B20250825_ALL. Тепер все ОК. Якщо комусь буде потрібно прошивки - кидайте mail, viber в особисті повідомлення - поділюсь.

и сколько такой роутер может генерировать выходного трафика?

[gelmas_x 12]

1 minute ago, Diter_ua said:

и сколько такой роутер может генерировать выходного трафика?

Я включал через микрот - даже не смог глянуть. Он реально его повесил

[a_n_h 606]

2 часа назад, Diter_ua сказав:

и сколько такой роутер может генерировать выходного трафика?

сколько "разрешишь" - до 100 МБит...

[muff 117]

В 22.10.2025 в 19:47, Diter_ua сказал:

и сколько такой роутер может генерировать выходного трафика?

Фіксував в одній із мереж 500+ Mbps (300k+ pps)

[a_n_h 606]

В 24.10.2025 в 00:16, muff сказав:

Фіксував в одній із мереж 500+ Mbps (300k+ pps)

один, чи всі? в мене флудило порядка 50-ти роутерів, трафіку дабавило порядка 5 ГБт... 

[muff 117]

Це показники від одного роутера.