DNS флуд снаружи

Тема в разделе "Вопросы начинающих", создана пользователем ea100, 23 июл 2015.

  1. RAIN-182

    RAIN-182 Новый участник

    /ip/dns/export
     

    Вложения:

    • dns.txt
      Размер файла:
      124 байт
      Просмотров:
      3
  2. RAIN-182

    RAIN-182 Новый участник

    Я удалил все правила , от них ноль эффекта .
     
  3. Илья Князев

    Илья Князев Администратор Команда форума

    Обратите внимание на это правило NAT

    add action=dst-nat chain=dstnat comment="REDIRECT 2" dst-address=95.31.245.110 \
    dst-port=18000-18059 protocol=udp to-addresses=192.168.88.6 to-ports=\
    18000-18059

    Пакет идет за роутер
     
  4. RAIN-182

    RAIN-182 Новый участник

    Доброе утро , на данный маршрут стоит ограничение трафика до 10mb, я смог выяснить что трафик высылает сам микротик . Запрос идёт на пул адресов dns по всему миру и запросов очень много аж канал перекрывают. Есть подозрение на то что этот пул микротик получает от провайдера я отключил автоматическое получение dns и запустил статический через микротик. Пока проблемы не обнаружено , тестирую.
     
  5. RAIN-182

    RAIN-182 Новый участник

    wireshark
    https://cloud.mail.ru/public/zwtQ/7AxQDS2Ab
     
  6. drewsha

    drewsha Новый участник

    Здравствуйте, а почему этим правилом ничего не решить. У топикстартера 2 правила - первое заносит всех флудеров в список, а второе блочит(дропает) всех флудеров из списка.
    А в предложенном(исправленном) варианте просто сразу блочит(дропает). Я не пойму какая разница , если будет работать и так и так.
    Вот у меня еще доп.вопрос. я сделал по первому варианту с 2 правилами - но при этом атаки не заканчиваются. т.е. они дропаются - но не перестают ломиться. за день список пополняется на несколько сотен а то и тысяч ip.
     
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Потому, что те кого вы блочите это не те кто ВАС атакует, а те кого ЧЕРЕЗ ВАС атакуют.
    То есть вы являетесь усилителем атаки типа Open DNS Resolver.
    Смысл атаки в попытке загрузить канал жертвы флудом, через тех у кого открыт DNS.
    Принцип атаки.
    1. Создать или найти где-то длинную запись в DNS (можно типа TXT например)
    2. Найти открытый DNS (например Mikotik)
    3. Послать на DNS из пункта 2 запрос на получение записи из пункта 1, но в качестве адреса отправителя отправить адрес жертвы
    4. Так как протокол UDP, то контроля сессии нет и жертва получит в свой канал сколько-то байт трафика.
    Смысл этой атаки - тратя очень мало трафика у себя, создать поток трафика в канал жертвы. (или на UDP-шный сервис жертвы, что тоже неплохо).
     
    drewsha нравится это.
  8. drewsha

    drewsha Новый участник

    Илья, спасибо, что наши время ответить. т.е. получается всё таки надо использовать втрое правило из примера (
    ip firewall filter
    add chain=input action=drop in-interface=wan protocol=udp dst-port=53 log=yes log-prefix=query_in_drop), чтобы избавиться от этой проблемы ?
    просто если набрать в гугле dns flood mikrotik то большинсвто примеров будет как раз с адресс листом и последущей блокировкой, поэтому и применил этот приём. А он оказывается и не такой уж рабочий