Перейти до

Ограничение запросов к поисковикам в Mikrotik


SDE

Рекомендованные сообщения

Здравствуйте. За NATом 350 компьютеров. Роутер  Mikrotik x86. В последнее время набюдается паразитный траффик с IP на сервисы поисковиков Яндекса и Гугла. Подскажите пожалуйста как ограничить количество запросов на поисковики в определённый интервал времени? И если кто встречался с этой проблемой скажите - поможет это или нет?

 

PS: В ТП гугла и яндекса писал. Сказали, что запросы идут автоматические, сбросили логи. В сети по моей проблеме решения не нашёл.

Ссылка на сообщение
Поделиться на других сайтах

Вот пример.

 


 [18/Oct/2013:14:10:19 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:10:24 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=1 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:10:29 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=2 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:10:31 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=3 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:04 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=4 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:09 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=5 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:12 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=6 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:16 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=7 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:24 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=9 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:26 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=10 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:32 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=11 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:35 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=12 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:37 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=13 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:41 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=14 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:44 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=15 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:48 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=16 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:52 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=17 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:58 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=18 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:12:01 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=19 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0

Ссылка на сообщение
Поделиться на других сайтах

Вот сообщение котрое тебе поможет!!!

 

 

Опубликовано 22 Август 2013 - 20:06

Было у меня такое недавно. Началось с того что у юзеров на андроиде перестали отображаться картинки в плеймаркете.

Я как то сразу мол, хз, мы не виноваты, ниче не блочится. Хотя смотрю у самого ж тоже самое. Даже планшетник форматнул, не помогло, ну недельку потерпел, ситуация таже.

Далше гугль начал капчу спрашивать. В день раз 5-6 вводил, это только я. Все юзеры за натом, тоесть заблоканы мы по ИП. Тут как раз совпало, произошла смена аплинка, итог 2 часа после смены чудно работал и плей маркет и гугль, БАЦ! Опять тоже самое.

У меня тоже в ядре микротик, в файерволе настроено правило отлова и блокировки спамгадости:
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" disabled=no dst-port=25 protocol=tcp src-address-list=spammer


add action=add-src-to-address-list address-list=spammer address-list-timeout=1w chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 disabled=no dst-port=25 limit=10,5 protocol=tcp

И вот смотрю в адресл листе с пометкой "spammer" живет один айпишник, по нему вычислил юзера, позвонил, сказал либо проверить cureit либо чем угодно и избавиться от заразы.
Через два часа юзер позвонил, говорит я винду переустановил. - Ну и зашибись))) После этого через сутки попустило. И гугль успокоился и плеймаркет начал картинки и скриншоты показывать.
В свое время, когда бушевал так называемый вирус "kido", в фаере есть правила и для его отлова:
add action=tarpit chain=forward comment="BLOCK VIRUS KIDO USERS" disabled=no dst-port=445 protocol=tcp src-address-list=virusKIDO
add action=add-src-to-address-list address-list=virusKIDO address-list-timeout=1w chain=forward comment="Detect and add-list KIDO virus" connection-limit=10,32 disabled=no dst-port=445 limit=10,5 protocol=tcp
Они тоже отлично маяковали и указывали на инфицированных клиентов.

p.s: Скрипты любезно предоставлены товарищем rem_lex

 

 

взято с http://local.com.ua/forum/topic/44820-капча-при-пошуку-в-гугл/page-2 

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Вот сообщение котрое тебе поможет!!!

 

 

Опубликовано 22 Август 2013 - 20:06

 

Было у меня такое недавно. Началось с того что у юзеров на андроиде перестали отображаться картинки в плеймаркете.

 

Я как то сразу мол, хз, мы не виноваты, ниче не блочится. Хотя смотрю у самого ж тоже самое. Даже планшетник форматнул, не помогло, ну недельку потерпел, ситуация таже.

 

Далше гугль начал капчу спрашивать. В день раз 5-6 вводил, это только я. Все юзеры за натом, тоесть заблоканы мы по ИП. Тут как раз совпало, произошла смена аплинка, итог 2 часа после смены чудно работал и плей маркет и гугль, БАЦ! Опять тоже самое.

 

У меня тоже в ядре микротик, в файерволе настроено правило отлова и блокировки спамгадости:

add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" disabled=no dst-port=25 protocol=tcp src-address-list=spammer

 

 

add action=add-src-to-address-list address-list=spammer address-list-timeout=1w chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 disabled=no dst-port=25 limit=10,5 protocol=tcp

 

И вот смотрю в адресл листе с пометкой "spammer" живет один айпишник, по нему вычислил юзера, позвонил, сказал либо проверить cureit либо чем угодно и избавиться от заразы.

Через два часа юзер позвонил, говорит я винду переустановил. - Ну и зашибись))) После этого через сутки попустило. И гугль успокоился и плеймаркет начал картинки и скриншоты показывать.

В свое время, когда бушевал так называемый вирус "kido", в фаере есть правила и для его отлова:

add action=tarpit chain=forward comment="BLOCK VIRUS KIDO USERS" disabled=no dst-port=445 protocol=tcp src-address-list=virusKIDO

add action=add-src-to-address-list address-list=virusKIDO address-list-timeout=1w chain=forward comment="Detect and add-list KIDO virus" connection-limit=10,32 disabled=no dst-port=445 limit=10,5 protocol=tcp

Они тоже отлично маяковали и указывали на инфицированных клиентов.

 

p.s: Скрипты любезно предоставлены товарищем rem_lex

 

 

взято с http://local.com.ua/forum/topic/44820-капча-при-пошуку-в-гугл/page-2 

Я этот топик читал, пробывал разные правила с него, толку ноль. Как вычислить не подскажите?

 

ЗЫ: 25 порт уже закрыт наглухо. Проблема не уходит.

Відредаговано SDE
Ссылка на сообщение
Поделиться на других сайтах
10   chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25 

 

11   chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=30,32 limit=50,5

Ссылка на сообщение
Поделиться на других сайтах

 

10   chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25 
 
11   chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=30,32 limit=50,5

 

У меня и так  25 порт закрыт наглухо. Нужен скрипт ограничения запросов по 80 порту или по каким либо другим, если кто знает как этот вирус работает. 

Ссылка на сообщение
Поделиться на других сайтах

 

 

10   chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25 
 
11   chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=30,32 limit=50,5

 

У меня и так  25 порт закрыт наглухо. Нужен скрипт ограничения запросов по 80 порту или по каким либо другим, если кто знает как этот вирус работает. 

 

а в логах которые тебе скинули поисковики не написанно на какие порты идут атаки?

Ссылка на сообщение
Поделиться на других сайтах

была подобная хрень и у меня с гуглом/яндексом (за НАТом около 100 чел).... Заметил что в в ночное/утреннее время, когда пользователи мало потребляют траффика, на внешнем интерфейсе какие-то сильно большие цифры проходящего траффика...

создал правило фаирвола

add action=drop chain=input dst-address=мой_внешний_ИП dst-port=!80,443,8291 protocol=tcp

после этого траффик резко уменьшился и примерно через час гугл и яндекс заработали нормально, уже больше двух месяцев все ОК...

 

порты 80 и 443 разрешаю для внутреннего вэбсервера (если у вас его нет - удалите)

порт 8291 оставил для доступа винбоксом с мира...

Ссылка на сообщение
Поделиться на других сайтах

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

 

 

10   chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25 
 
11   chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=30,32 limit=50,5

 

У меня и так  25 порт закрыт наглухо. Нужен скрипт ограничения запросов по 80 порту или по каким либо другим, если кто знает как этот вирус работает. 

 

а в логах которые тебе скинули поисковики не написанно на какие порты идут атаки?

 

Не написано. Уточнил у Яндекса письмом сегодня сутра. Пишут что 80.

Відредаговано SDE
Ссылка на сообщение
Поделиться на других сайтах

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

Сегодня заказал ещё 1 Ip на аплинк. Отпишусь по результату.

Сниффером сегодня вечером повторно просканирую, но за неделю сканирования так и не смог выявить комп с вируснёй. Склоняюсь к тому, что всё таки, слишком много людей за НАТом.

Ссылка на сообщение
Поделиться на других сайтах

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

 

Кто знает, как в abills посадить 50 человек на 1 ІР?

точнее mikrotik-abills

Відредаговано optimus.w.net
Ссылка на сообщение
Поделиться на других сайтах

 

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

 

Кто знает, как в abills посадить 50 человек на 1 ІР?

точнее mikrotik-abills

 

Натить кого надо на 1 ип кого не надо на 2

Ссылка на сообщение
Поделиться на других сайтах

 

 

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

 

Кто знает, как в abills посадить 50 человек на 1 ІР?

точнее mikrotik-abills

 

Натить кого надо на 1 ип кого не надо на 2

 

давайте по другому: 200 чел на 20 ІР, тоесть по 10 чел на 1 ІР

Ссылка на сообщение
Поделиться на других сайтах

 

 

 

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

 Кто знает, как в abills посадить 50 человек на 1 ІР?

точнее mikrotik-abills

 

Натить кого надо на 1 ип кого не надо на 2

 

давайте по другому: 200 чел на 20 ІР, тоесть по 10 чел на 1 ІР

 

Ну также:

1-10 серый ип натить на 1 белый

11-20 серый ип натить на 2 белый

....

191-200 серый ип натить на 20 белый

:) 

 

Ссылка на сообщение
Поделиться на других сайтах

давайте по другому: 200 чел на 20 ІР, тоесть по 10 чел на 1 ІР

Разбейте Вашу внутреннюю сеть на подсети /28. И выпускайте каждую подсеть через отдельный IP.

Ссылка на сообщение
Поделиться на других сайтах

Разделение сети на 2 IP не помогло.

Проблема решена снифером. В сети оказался вирус сразу на нескольких машинах.

Что примечательно активация его происходит, видимо, в определённые участки времени, и поэтому его не удавалось вычислить в предыдущие дни, потому как файл сниффера просто перезаписывался новыми данными, а домой я попадал поздно.

Атаки шли на 80й порт. IP с вируснёй ограничил количеством сессий. Пока что гугля бегает нормально.

Ссылка на сообщение
Поделиться на других сайтах

У меня началась проблема с ex.ua абоненты начали жаловатся на то что при просмотре фильмов в "Онлайне" выкидвает и пишет что большое кол-во людей с одного ИП подождите 45 сек. Написал письмо на Саппорт ЕХ, а они в ответ написали что такое не практикуют:( как быть?  

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

У меня началась проблема с ex.ua абоненты начали жаловатся на то что при просмотре фильмов в "Онлайне" выкидвает и пишет что большое кол-во людей с одного ИП подождите 45 сек. Написал письмо на Саппорт ЕХ, а они в ответ написали что такое не практикуют :( как быть?  

 

Докупить еще IP-адресов :)

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від GekaPeka
      mikrotik RB 40111GS+RM новый, 7500 грн.
    • Від DjBodya
      Вітаю.
      Одразу попереджу, що з мікротіками не новачок. Знаю, як з ними поводитись і налаштовувати.
      Купив собі це диво. І не можу налаштувати. 
      Скидаю в нуль, або просто включаю, без різниці. Буває вдається навіть підключитися по winbox. Потім вилітає в помилку.
      Зазвичай одразу System LED переходить в режим блимаючого червоного і все. 
      DHCP не роздає. По МАС підключитися не вдається.
    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
×
×
  • Створити нове...