Комментарии 19
Так а причина в чем? Прошивку хакнули или это изначально было?
Автор включил в настройках ДНС-сервера галочку Allow remote requests и при этом не заблокировал фаерволом 53 порт снаружи. Вот все и пользуются его микротиком для днс-флуда. К сожалению микротик требует определенного уровня квалификации. А вообще хорошим тоном считается блокировать в фаерволе все извне, кроме того что явно разрешено.
Этот баг Микротика уже 100 раз описан. Надо закрывать 53-й порт на Микротике.
А в чем баг то? Роутер позволяет сделать доступным DNS сервер на себе. с натяжкой можно утверждать что "эта настройка не должна быть включена по умолчанию", но оборудование этого производителя и не позиционируется как "техника для домохозяек", за что многими и любима. В том что пользователь не в состоянии ее правильно настроить - Mikrotik не виновен.
В современных микротах в дефолтных настройках он снаружи не открыт:)
Всмысле в обновленных.
Строго говоря после покупки или резета Mikrotik предлагает либо сделать конфигурацию по умолчанию, в которой включен разумный FW и таких проблем нет, либо - сделать пустую конфигурацию, где ты сам себе злобный буратино и можешь настроить вообще все самостоятельно, возможно у топикстартера второй вариант вышел не так чтобы корректно :) Но опять же, Mikrotik тут невиновник.
А в чем баг то?
Баг в том, что DNS-сервер доступный извне - очень опасная штука, которая позволяет мультиплицировать атаку. То есть представьте, что злоумышленник обладает каналом в 1 мбит, то он используя такой DNS сервер может напосылать трафика на 1мбит, а он будет генерировать трафика на 8 мбит.
Подробнее например тут.
Видно, что Mikrotik флудит на порт dns'а по разным адресам - вот и паразитный трафик.
Где это видно? На скриншоте видно что Mikrotik флудит с порта dns'а
Если включите логирование не только исходящего, но и входящего трафика - скорее всего увидите что сначала к вам приходит DNS запрос с этих адресов(на самом деле не с них, но микторику об этом неведомо) и потом идет ответ от вас.
Лично наше с коллегой мнение - как сейчас принято называть, заложенный в прошивке оборудования нерегламентированный функционал, а именно некий скрипт с целью производить DDoS-атаки.
Функционал вполне себе регламентированный - Allow Remote Requests в настройках DNS называется. По хорошему доступ к нему должен быть только из локально сети, но по дефолту открыт и наружу.
А разве по умолчанию он не заблочен при включенном firewall с настройками по quick setup?
У меня DNS включен, 2ip.ru говорит что 53 порт закрыт.
А ещё микротики бывает рутуют и подключают к ботнету, если прошивки не обновлять и открытые порты снаружи оставлять.
Как выше написали - проблема в некорректной настройке фаервола, превратившей ваш микрот в открытый днс-сервер. Проведите аудит настроек, возможно там еще что-то есть открытое.
На просторах Инета достаточно много статей по настройке безопасности Mikrotik. Если вкратце, то:
- Отключить все ненужные службы.
- Для нужных локальных служб установить допуск только из диапазона IP LAN.
- Дропать все входящие на WAN по 53 порту.
- Переназначить, если возможно, прокидываемые порты со стандартных на нестандартные.
- Установить ханипоты на незадействованные стандартные порты.
- Настроить порт-нокинг для внешних управляющих портов.
- Настроить серо-черные списки для блокировки подозрительной активности на открытых портах.
- И т.д. по вкусу.
У самих был достаточно мощный входящий DNS-трафик. После закрытия на WAN 53-го порта еще недели 2-3 наблюдались попытки. Потом сошли на нет.
Хотелось бы добавить, что в стандартных настройках микротика 53 порт заблокирован на порту провайдера. Автор статьи удалил правило, блокирующее входящий трафик и разрешил удаленные подключения к DNS - т. е. сделал все, что нужно, чтобы проблема возникла. Многие пользователи микротика по незнанию делают тоже самое, случай не уникален.
Это проблема любого публичного днс сервера, атака называется DNS Amplification. С NTP протоколом присутствует такая же проблема, кстати.
/ip firewall raw
add action=drop chain=prerouting comment="block dns flood" dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=prerouting comment="block dns flood" dst-port=53 in-interface-list=WAN protocol=tcp
Дорогой автор, а не проще ли было запретить правилом файервола все соединения из списка WAN на input и на forward, а потом раньше этого правила прицельно и с пониманием разместить нужные разрешающие правила? Как оно и сделано по дефолту в микротиках (заводской конфиг), на самом деле.
DNS flood с Mikrotik