Как стать автором
Поиск
Профиль
Обновить

Комментарии 19

Так а причина в чем? Прошивку хакнули или это изначально было?

Всего голосов 3: ↑3 и ↓0 +3

Автор включил в настройках ДНС-сервера галочку Allow remote requests и при этом не заблокировал фаерволом 53 порт снаружи. Вот все и пользуются его микротиком для днс-флуда. К сожалению микротик требует определенного уровня квалификации. А вообще хорошим тоном считается блокировать в фаерволе все извне, кроме того что явно разрешено.

Всего голосов 16: ↑16 и ↓0 +16

Этот баг Микротика уже 100 раз описан. Надо закрывать 53-й порт на Микротике.

Всего голосов 4: ↑2 и ↓2 0

А в чем баг то? Роутер позволяет сделать доступным DNS сервер на себе. с натяжкой можно утверждать что "эта настройка не должна быть включена по умолчанию", но оборудование этого производителя и не позиционируется как "техника для домохозяек", за что многими и любима. В том что пользователь не в состоянии ее правильно настроить - Mikrotik не виновен.

Всего голосов 3: ↑3 и ↓0 +3

В современных микротах в дефолтных настройках он снаружи не открыт:)

Комментарий пока не оценивали 0

Всмысле в обновленных.

Комментарий пока не оценивали 0

Строго говоря после покупки или резета Mikrotik предлагает либо сделать конфигурацию по умолчанию, в которой включен разумный FW и таких проблем нет, либо - сделать пустую конфигурацию, где ты сам себе злобный буратино и можешь настроить вообще все самостоятельно, возможно у топикстартера второй вариант вышел не так чтобы корректно :) Но опять же, Mikrotik тут невиновник.

Всего голосов 1: ↑1 и ↓0 +1

А в чем баг то?

Баг в том, что DNS-сервер доступный извне - очень опасная штука, которая позволяет мультиплицировать атаку. То есть представьте, что злоумышленник обладает каналом в 1 мбит, то он используя такой DNS сервер может напосылать трафика на 1мбит, а он будет генерировать трафика на 8 мбит.

Подробнее например тут.

Комментарий пока не оценивали 0

Поскольку в RouterOS нет выделенных WAN-интерфейсов и прочего, очень сложно сформулировать, что же такое "доступный извне". А любители писать и использовать мануалы, начинающиеся словами "удаляем все дефолтные правила" — это вообще отдельный цирк...

Комментарий пока не оценивали 0

Видно, что Mikrotik флудит на порт dns'а по разным адресам - вот и паразитный трафик.

Где это видно? На скриншоте видно что Mikrotik флудит с порта dns'а

Если включите логирование не только исходящего, но и входящего трафика - скорее всего увидите что сначала к вам приходит DNS запрос с этих адресов(на самом деле не с них, но микторику об этом неведомо) и потом идет ответ от вас.

Лично наше с коллегой мнение - как сейчас принято называть, заложенный в прошивке оборудования нерегламентированный функционал, а именно некий скрипт с целью производить DDoS-атаки.

Функционал вполне себе регламентированный - Allow Remote Requests в настройках DNS называется. По хорошему доступ к нему должен быть только из локально сети, но по дефолту открыт и наружу.

Всего голосов 7: ↑7 и ↓0 +7

А разве по умолчанию он не заблочен при включенном firewall с настройками по quick setup?

У меня DNS включен, 2ip.ru говорит что 53 порт закрыт.

Всего голосов 1: ↑1 и ↓0 +1

А ещё микротики бывает рутуют и подключают к ботнету, если прошивки не обновлять и открытые порты снаружи оставлять.

Как выше написали - проблема в некорректной настройке фаервола, превратившей ваш микрот в открытый днс-сервер. Проведите аудит настроек, возможно там еще что-то есть открытое.

Комментарий пока не оценивали 0

На просторах Инета достаточно много статей по настройке безопасности Mikrotik. Если вкратце, то:


  1. Отключить все ненужные службы.
  2. Для нужных локальных служб установить допуск только из диапазона IP LAN.
  3. Дропать все входящие на WAN по 53 порту.
  4. Переназначить, если возможно, прокидываемые порты со стандартных на нестандартные.
  5. Установить ханипоты на незадействованные стандартные порты.
  6. Настроить порт-нокинг для внешних управляющих портов.
  7. Настроить серо-черные списки для блокировки подозрительной активности на открытых портах.
  8. И т.д. по вкусу.

У самих был достаточно мощный входящий DNS-трафик. После закрытия на WAN 53-го порта еще недели 2-3 наблюдались попытки. Потом сошли на нет.

Всего голосов 1: ↑1 и ↓0 +1

Хотелось бы добавить, что в стандартных настройках микротика 53 порт заблокирован на порту провайдера. Автор статьи удалил правило, блокирующее входящий трафик и разрешил удаленные подключения к DNS - т. е. сделал все, что нужно, чтобы проблема возникла. Многие пользователи микротика по незнанию делают тоже самое, случай не уникален.

Всего голосов 2: ↑2 и ↓0 +2

Это проблема любого публичного днс сервера, атака называется DNS Amplification. С NTP протоколом присутствует такая же проблема, кстати.

Всего голосов 2: ↑2 и ↓0 +2

А протокол SSDP даже расшифровывают теперь как Stupidly Simple DDoS Protocol

Комментарий пока не оценивали 0

/ip firewall raw
add action=drop chain=prerouting comment="block dns flood" dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=prerouting comment="block dns flood" dst-port=53 in-interface-list=WAN protocol=tcp

Комментарий пока не оценивали 0

Дорогой автор, а не проще ли было запретить правилом файервола все соединения из списка WAN на input и на forward, а потом раньше этого правила прицельно и с пониманием разместить нужные разрешающие правила? Как оно и сделано по дефолту в микротиках (заводской конфиг), на самом деле.

Всего голосов 1: ↑1 и ↓0 +1

Автор решил что трафик генерит микрот, видимо исходя из роста счётчиков на аутпут, вот и сделал странное..

Да, раньше заводской конфиг был дыряв у микротов, сейчас более-менее вменяемый

Всего голосов 1: ↑1 и ↓0 +1
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка Вернуться на старую версию
© 2006–2023, Habr