Ограничение запросов к поисковикам в Mikrotik

[SDE 52]

Здравствуйте. За NATом 350 компьютеров. Роутер  Mikrotik x86. В последнее время набюдается паразитный траффик с IP на сервисы поисковиков Яндекса и Гугла. Подскажите пожалуйста как ограничить количество запросов на поисковики в определённый интервал времени? И если кто встречался с этой проблемой скажите - поможет это или нет?

 

PS: В ТП гугла и яндекса писал. Сказали, что запросы идут автоматические, сбросили логи. В сети по моей проблеме решения не нашёл.

[SDE 52]

Вот пример.

 

 [18/Oct/2013:14:10:19 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:10:24 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=1 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:10:29 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=2 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:10:31 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=3 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:04 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=4 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:09 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=5 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:12 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=6 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:16 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=7 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:24 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=9 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:26 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=10 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:32 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=11 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:35 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=12 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:37 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=13 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:41 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=14 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:44 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=15 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:48 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=16 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:52 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=17 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:11:58 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=18 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
 [18/Oct/2013:14:12:01 +0400] GET /yandsearch?lr=225&text=контакты чз 925&numdoc=50&p=19 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0

[djomin 10]

Поддержу тему. Тоже такие проблемы.

[Ondp 47]

Вот сообщение котрое тебе поможет!!!

 

 

Опубликовано 22 Август 2013 - 20:06

Было у меня такое недавно. Началось с того что у юзеров на андроиде перестали отображаться картинки в плеймаркете.

Я как то сразу мол, хз, мы не виноваты, ниче не блочится. Хотя смотрю у самого ж тоже самое. Даже планшетник форматнул, не помогло, ну недельку потерпел, ситуация таже.

Далше гугль начал капчу спрашивать. В день раз 5-6 вводил, это только я. Все юзеры за натом, тоесть заблоканы мы по ИП. Тут как раз совпало, произошла смена аплинка, итог 2 часа после смены чудно работал и плей маркет и гугль, БАЦ! Опять тоже самое.

У меня тоже в ядре микротик, в файерволе настроено правило отлова и блокировки спамгадости:
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" disabled=no dst-port=25 protocol=tcp src-address-list=spammer


add action=add-src-to-address-list address-list=spammer address-list-timeout=1w chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 disabled=no dst-port=25 limit=10,5 protocol=tcp

И вот смотрю в адресл листе с пометкой "spammer" живет один айпишник, по нему вычислил юзера, позвонил, сказал либо проверить cureit либо чем угодно и избавиться от заразы.
Через два часа юзер позвонил, говорит я винду переустановил. - Ну и зашибись))) После этого через сутки попустило. И гугль успокоился и плеймаркет начал картинки и скриншоты показывать.
В свое время, когда бушевал так называемый вирус "kido", в фаере есть правила и для его отлова:
add action=tarpit chain=forward comment="BLOCK VIRUS KIDO USERS" disabled=no dst-port=445 protocol=tcp src-address-list=virusKIDO
add action=add-src-to-address-list address-list=virusKIDO address-list-timeout=1w chain=forward comment="Detect and add-list KIDO virus" connection-limit=10,32 disabled=no dst-port=445 limit=10,5 protocol=tcp
Они тоже отлично маяковали и указывали на инфицированных клиентов.

p.s: Скрипты любезно предоставлены товарищем rem_lex

 

 

взято с http://local.com.ua/forum/topic/44820-капча-при-пошуку-в-гугл/page-2 

[djomin 10]

Спасибо! Уже вычислил.

[Ondp 47]

Спасибо! Уже вычислил.

каким способом вычислял?

[SDE 52]

Вот сообщение котрое тебе поможет!!!

 

 

Опубликовано 22 Август 2013 - 20:06

 

Было у меня такое недавно. Началось с того что у юзеров на андроиде перестали отображаться картинки в плеймаркете.

 

Я как то сразу мол, хз, мы не виноваты, ниче не блочится. Хотя смотрю у самого ж тоже самое. Даже планшетник форматнул, не помогло, ну недельку потерпел, ситуация таже.

 

Далше гугль начал капчу спрашивать. В день раз 5-6 вводил, это только я. Все юзеры за натом, тоесть заблоканы мы по ИП. Тут как раз совпало, произошла смена аплинка, итог 2 часа после смены чудно работал и плей маркет и гугль, БАЦ! Опять тоже самое.

 

У меня тоже в ядре микротик, в файерволе настроено правило отлова и блокировки спамгадости:

add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" disabled=no dst-port=25 protocol=tcp src-address-list=spammer

 

 

add action=add-src-to-address-list address-list=spammer address-list-timeout=1w chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=30,32 disabled=no dst-port=25 limit=10,5 protocol=tcp

 

И вот смотрю в адресл листе с пометкой "spammer" живет один айпишник, по нему вычислил юзера, позвонил, сказал либо проверить cureit либо чем угодно и избавиться от заразы.

Через два часа юзер позвонил, говорит я винду переустановил. - Ну и зашибись))) После этого через сутки попустило. И гугль успокоился и плеймаркет начал картинки и скриншоты показывать.

В свое время, когда бушевал так называемый вирус "kido", в фаере есть правила и для его отлова:

add action=tarpit chain=forward comment="BLOCK VIRUS KIDO USERS" disabled=no dst-port=445 protocol=tcp src-address-list=virusKIDO

add action=add-src-to-address-list address-list=virusKIDO address-list-timeout=1w chain=forward comment="Detect and add-list KIDO virus" connection-limit=10,32 disabled=no dst-port=445 limit=10,5 protocol=tcp

Они тоже отлично маяковали и указывали на инфицированных клиентов.

 

p.s: Скрипты любезно предоставлены товарищем rem_lex

 

 

взято с http://local.com.ua/forum/topic/44820-капча-при-пошуку-в-гугл/page-2 

Я этот топик читал, пробывал разные правила с него, толку ноль. Как вычислить не подскажите?

 

ЗЫ: 25 порт уже закрыт наглухо. Проблема не уходит.

Edited 2013-12-22 21:25:55 by SDE

[djomin 10]

по списку спамеров. В списке около 20 ip адресов. Все ip в биллинге присвоены одному юзеру. Завтра буду звонить.

[SDE 52]

Какие правила у тебя стоят?

[djomin 10]

10   chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25 

 

11   chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=30,32 limit=50,5

[SDE 52]

 

10   chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25 

 

11   chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=30,32 limit=50,5

 

У меня и так  25 порт закрыт наглухо. Нужен скрипт ограничения запросов по 80 порту или по каким либо другим, если кто знает как этот вирус работает. 

[Ondp 47]

 

 

10   chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25 

 

11   chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=30,32 limit=50,5

 

У меня и так  25 порт закрыт наглухо. Нужен скрипт ограничения запросов по 80 порту или по каким либо другим, если кто знает как этот вирус работает. 

 

а в логах которые тебе скинули поисковики не написанно на какие порты идут атаки?

[foreverok 95]

Попробуйте для начала залогировать запросы на yandex/google, думаю сразу всплывет зараженный комп.

Так же сниффер никто не отменял.

[lemosh 60]

была подобная хрень и у меня с гуглом/яндексом (за НАТом около 100 чел).... Заметил что в в ночное/утреннее время, когда пользователи мало потребляют траффика, на внешнем интерфейсе какие-то сильно большие цифры проходящего траффика...

создал правило фаирвола

add action=drop chain=input dst-address=мой_внешний_ИП dst-port=!80,443,8291 protocol=tcp

после этого траффик резко уменьшился и примерно через час гугл и яндекс заработали нормально, уже больше двух месяцев все ОК...

 

порты 80 и 443 разрешаю для внутреннего вэбсервера (если у вас его нет - удалите)

порт 8291 оставил для доступа винбоксом с мира...

[masters 126]

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

[SDE 52]

 

 

 

10   chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25 

 

11   chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=30,32 limit=50,5

 

У меня и так  25 порт закрыт наглухо. Нужен скрипт ограничения запросов по 80 порту или по каким либо другим, если кто знает как этот вирус работает. 

 

а в логах которые тебе скинули поисковики не написанно на какие порты идут атаки?

 

Не написано. Уточнил у Яндекса письмом сегодня сутра. Пишут что 80.

Edited 2013-12-23 09:25:09 by SDE

[SDE 52]

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

Сегодня заказал ещё 1 Ip на аплинк. Отпишусь по результату.

Сниффером сегодня вечером повторно просканирую, но за неделю сканирования так и не смог выявить комп с вируснёй. Склоняюсь к тому, что всё таки, слишком много людей за НАТом.

[optimus.w.net 9]

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

 

Кто знает, как в abills посадить 50 человек на 1 ІР?

точнее mikrotik-abills

Edited 2013-12-23 20:09:30 by optimus.w.net

[John_Doe 301]

 

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

 

Кто знает, как в abills посадить 50 человек на 1 ІР?

точнее mikrotik-abills

 

Натить кого надо на 1 ип кого не надо на 2

[optimus.w.net 9]

 

 

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

 

Кто знает, как в abills посадить 50 человек на 1 ІР?

точнее mikrotik-abills

 

Натить кого надо на 1 ип кого не надо на 2

 

давайте по другому: 200 чел на 20 ІР, тоесть по 10 чел на 1 ІР

[John_Doe 301]

 

 

 

350 человек на 1ip - это многовато. У меня даже без вирусов гугл капчу требовал.

Решил проблему покупкой дополнительных адресов у аплинка. Из расчета 50 человек на 1ip.

 Кто знает, как в abills посадить 50 человек на 1 ІР?

точнее mikrotik-abills

 

Натить кого надо на 1 ип кого не надо на 2

 

давайте по другому: 200 чел на 20 ІР, тоесть по 10 чел на 1 ІР

 

Ну также:

1-10 серый ип натить на 1 белый

11-20 серый ип натить на 2 белый

....

191-200 серый ип натить на 20 белый

 

 

[masters 126]

давайте по другому: 200 чел на 20 ІР, тоесть по 10 чел на 1 ІР

Разбейте Вашу внутреннюю сеть на подсети /28. И выпускайте каждую подсеть через отдельный IP.

[SDE 52]

Разделение сети на 2 IP не помогло.

Проблема решена снифером. В сети оказался вирус сразу на нескольких машинах.

Что примечательно активация его происходит, видимо, в определённые участки времени, и поэтому его не удавалось вычислить в предыдущие дни, потому как файл сниффера просто перезаписывался новыми данными, а домой я попадал поздно.

Атаки шли на 80й порт. IP с вируснёй ограничил количеством сессий. Пока что гугля бегает нормально.

[Ondp 47]

У меня началась проблема с ex.ua абоненты начали жаловатся на то что при просмотре фильмов в "Онлайне" выкидвает и пишет что большое кол-во людей с одного ИП подождите 45 сек. Написал письмо на Саппорт ЕХ, а они в ответ написали что такое не практикуют как быть?  

[masters 126]

У меня началась проблема с ex.ua абоненты начали жаловатся на то что при просмотре фильмов в "Онлайне" выкидвает и пишет что большое кол-во людей с одного ИП подождите 45 сек. Написал письмо на Саппорт ЕХ, а они в ответ написали что такое не практикуют как быть?  

 

Докупить еще IP-адресов