DDoS на Mikrotik

Виктор Николаевич · November 3, 2014

Конкурент решил заняться DDOS атаками на роутеры наших корпоративных клиентов, у которых стоят в качестве шлюза микротики (2011/450g).

Есть ли хоть какие-то варианты защиты/фильтрации, дающие положительный результат от такого рода атак ?

sanyadnepr · November 3, 2014

Айпи ~~конкурента~~атакующие случайно не из Китая ?

Виктор Николаевич · November 3, 2014

Айпи ~~конкурента~~атакующие случайно не из Китая ?

нет, "долбят не косоокие", атакующие айпишники из Германии.

Edited November 3, 2014 by Виктор Николаевич

sanyadnepr · November 3, 2014

Атакуют как обычно ssh ? - можно выключить и есть в инете описание трех уровнего бана, на разный промежуток времени.

Виктор Николаевич · November 3, 2014

Атакуют как обычно ssh ? - можно выключить и есть в инете описание трех уровнего бана, на разный промежуток времени.

эти уроды выбрали другой алгоритм, долбят комплексно syn + udp

sanyadnepr · November 3, 2014

Сомневаюсь что микротик это сможет, проца не хватит, рубите на вышестоящем оборудовании.

Виктор Николаевич · November 3, 2014

Сомневаюсь что микротик это сможет, проца не хватит, рубите на вышестоящем оборудовании.

ок.

а хоть примерно, по какому принципу фильтровать от DDos?

Похоже что алгоритм атак они меняют через 1-2 суток.

кроме syn/udp там еще добавилась атака мелкими пакетами почти по всем портам.

Edited November 3, 2014 by Виктор Николаевич

sanyadnepr · November 3, 2014

Принцип, не поможет, есть вышестоящие сервера с нормальной Осью ?

Платный антиддос вероятно поможет.

Виктор Николаевич · November 3, 2014

Принцип, не поможет, есть вышестоящие сервера с нормальной Осью ?

Есть. FreeBSD.

Платный антиддос вероятно поможет.

а какой порядок цен хоть примерно за такие услуги?

Angel_ua · November 3, 2014

немного может помочь порт скан

микротик "тяжко" обрабатывает пакеты на себя, все, что найдет порт скан dnat кидайте в никуда (левый адрес)

max_m · November 3, 2014

Ну не знаю может поможет http://wiki.mikrotik.com/wiki/DoS_attack_protection

ttttt · November 3, 2014

С постов понял, что атакуют айпишник NATа, а он просто по совместительству оказался микротиком? Причем атака малюсенькая, т.к. все успешно роутится машинкой на FreeBSD на этот микротик. Так?

Тогда может хватить простых правил ipfw, но стоит готовиться, что атака может продолжиться с большей силой и машинка на freebsd тоже умрет.

а какой порядок цен хоть примерно за такие услуги?

От бесплатно до сколько смогут стянуть. Цены отличаются на пять порядков.

Magus · November 3, 2014

нет, "долбят не косоокие", атакующие айпишники из Германии.

Пробить по хуизу и написать на абьюс(если это сервера в ДЦ, то отвечают оперативно)

ttttt · November 3, 2014

В CERT-UA еще напишите:

http://cert.gov.ua/?page_id=295

Edited November 3, 2014 by ttttt

Melanxolik · November 3, 2014

iptables в руки, делайте для клиентов морды и позвольте им добавлять в rule, отслеживайте кол коннектов, порубайте непонятный трафик в сторону клиентов, это не сложно, дальше по ситуации.

Незабывайте что из вне просто так пакеты не приходят, а вот из внутри они вполне могут исходить, так что правила должны быть направлены в сторону внешнего трафика.

Виктор Николаевич · November 3, 2014

Ну не знаю может поможет http://wiki.mikrotik.com/wiki/DoS_attack_protection

Этот раздел изучен уже давно, но в любом случае спасибо за ссылку, эти алгоритмы практически картину не меняют.

Виктор Николаевич · November 3, 2014

немного может помочь порт скан

микротик "тяжко" обрабатывает пакеты на себя, все, что найдет порт скан dnat кидайте в никуда (левый адрес)

Дело в том, что порты у микротика все закрыты, кроме wbx,

а какие именно пакеты лучше заворачивать на левак ?

Виктор Николаевич · November 3, 2014

нет, "долбят не косоокие", атакующие айпишники из Германии.

Пробить по хуизу и написать на абьюс(если это сервера в ДЦ, то отвечают оперативно)

Это вариант конечно же, но кол-во атакующих хостов растет и все время новые подсети.

Виктор Николаевич · November 3, 2014

С постов понял, что атакуют айпишник NATа, а он просто по совместительству оказался микротиком? Причем атака малюсенькая, т.к. все успешно роутится машинкой на FreeBSD на этот микротик. Так?

Тогда может хватить простых правил ipfw, но стоит готовиться, что атака может продолжиться с большей силой и машинка на freebsd тоже умрет.

а какой порядок цен хоть примерно за такие услуги?
От бесплатно до сколько смогут стянуть. Цены отличаются на пять порядков.

Верно, сама Фрюха отдает реальные айпишники корпоративщикам, а у них уже стоят микротики и они натят на свои внутрисети предприятий.

При текущей DDoS, микроты затыкаются в 100% загрузку проца относительно при небольшом трафике, но большом кол-ве мелких пакетов.

0X0 · January 2, 2015

На FreBSD нормально справится с DDoS только Packet Filter , он же PF все остальное уже устаревшее

block in quick proto tcp from <ddos> label "Fuck DDOSers" probability 65%

http://www.freebsd.org/doc/ru/books/handbook/firewalls-pf.html

ttttt · January 2, 2015

Что-то ваш совет подозрительно некропостерски что-попальный. Особенно про устарелость файрволов.

loki · January 2, 2015

Конкурент решил заняться DDOS атаками на роутеры наших корпоративных клиентов, у которых стоят в качестве шлюза микротики (2011/450g).

Есть ли хоть какие-то варианты защиты/фильтрации, дающие положительный результат от такого рода атак ?

От sync-flood-а - synproxy. Обычно sync-floodят спуфнутыми айпишниками. От UDP флуда - фильтры + блэкхол.

Edited January 2, 2015 by loki

Sub-Zero · January 2, 2015

Фильтровать или блокировать можно и нужно если ширина Вашего входящего канала больше DDOS потока, а иначе Вам забьют входящий и Вы будете нервно курить. Помогает забросить атакуемый адрес в нулроут. А вообще нужно обратиться к специалистам - рекомендую форум серч, ветка хостинг.

pavlabor · January 2, 2015

Конкурент решил заняться DDOS атаками на роутеры наших корпоративных клиентов, у которых стоят в качестве шлюза микротики (2011/450g).

Есть ли хоть какие-то варианты защиты/фильтрации, дающие положительный результат от такого рода атак ?

NAT, включен?

serjio21 · January 2, 2015

На FreBSD нормально справится с DDoS только Packet Filter , он же PF все остальное уже устаревшее

block in quick proto tcp from <ddos> label "Fuck DDOSers" probability 65%

http://www.freebsd.org/doc/ru/books/handbook/firewalls-pf.html

Шикардосное утверждение. Производительность PF особенно радует Ну да ладно.

Ограничить вредные пакеты по полосе (tcpdump + tcpoptions для анализа и реализации).

Можно и по совету цитируемого в очередь по destination (микротики) plr loss_probability потерять какое-то количество, можно дропнуть

Только я чет не понял, у вас в сетке одни микротики ? Остальные абоны как себя чувствуют ? И фря при этом нормально себя чувствует, чет слабенький ддос.... Ддос всю полосу во внешних каналах съедает ?

Sign In

DDoS на Mikrotik

Recommended Posts

Виктор Николаевич

sanyadnepr

Виктор Николаевич

sanyadnepr

Виктор Николаевич

sanyadnepr

Виктор Николаевич

sanyadnepr

Виктор Николаевич

Angel_ua

max_m

ttttt

Magus

ttttt

Melanxolik

Виктор Николаевич

Виктор Николаевич

Виктор Николаевич

Виктор Николаевич

0X0

ttttt

loki

Sub-Zero

pavlabor

serjio21

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members

Similar Content

продам MikroTik 1 2 3 4 12

Продам новый MikroTik CCR1036-8G-2S+

Допоможіть вирішити проблему з Mikrotik

Придбаю!!! Непрацюючі Mikrotik hAP ac (RB962UiGS-5HacT2HnT)

ПРОДАМ Комутатори, роутери, медіаконвертери — MikroTik, FoxGate, Step4Net, TP-Link (в наявності)

Browse

Activity