Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jiří Šachl 16. 11. 2020, 06:59:42
-
Na Mikrotik routeru RB760iGS mám použitý tento firewall (https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall) - mám veřejnou IP. Několik dní se mi v logu objevují tato záznamy na tomto pravidle:
/ip firewall filter
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN log=yes
poradí někdo co to je ?
Nov/15/2020 23:09:46 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15232, len 44
Nov/15/2020 23:09:47 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15428, len 44
Nov/15/2020 23:09:48 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:12456, len 44
Nov/15/2020 23:09:50 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:16339, len 44
Nov/15/2020 23:09:50 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:29156, len 44
Nov/15/2020 23:09:52 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:20471, len 44
Nov/15/2020 23:09:54 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:22071, len 44
Nov/15/2020 23:09:57 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15127, len 44
Nov/15/2020 23:09:57 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:14354, len 44
Nov/15/2020 23:09:57 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:28444, len 44
Nov/15/2020 23:10:01 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:11944, len 44
Nov/15/2020 23:10:02 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 180.183.231.53:53900->192.168.1.6:62529, len 52
Nov/15/2020 23:10:05 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 180.183.231.53:53900->192.168.1.6:62529, len 52
Nov/15/2020 23:10:11 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 180.183.231.53:53900->192.168.1.6:62529, len 48
Nov/15/2020 23:10:14 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 165.227.2.169:42709->192.168.1.6:33906, len 44
Nov/15/2020 23:10:18 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:16584, len 44
Nov/15/2020 23:10:28 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15766, len 44
Nov/15/2020 23:10:29 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 162.243.128.58:35732->192.168.1.6:5222, len 44
Nov/15/2020 23:10:32 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:14823, len 44
Nov/15/2020 23:10:34 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:18121, len 44
Nov/15/2020 23:10:44 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:11324, len 44
Nov/15/2020 23:10:45 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.143.223.69:49781->192.168.1.6:3193, len 44
Nov/15/2020 23:10:45 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:28934, len 44
Nov/15/2020 23:10:46 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 206.189.169.223:42704->192.168.1.6:4997, len 44
Nov/15/2020 23:10:51 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:28046, len 44
Nov/15/2020 23:10:53 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15324, len 44
Nov/15/2020 23:10:56 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:11322, len 44
Nov/15/2020 23:10:57 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:24230, len 44
-
Švýcaři. Jsou to útočníci. Dal bych je na černou listinu.
-
Tak tak, Švýcaři z Bogoty (185.39.10.7).
-
Jaký má smysl tyto veřejky/rozsah blacklistovat? Vždyť mikrotik tu komunikaci správně dropuje.
-
a co je to za typ útoku, mám tam i pravidlo ddos ban..
-
Dle mého to jsou port scannery.
Nov/15/2020 23:09:46 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15232, len 44
Nov/15/2020 23:09:47 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15428, len 44
Nov/15/2020 23:09:48 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:12456, len 44
-
díky za typ, hned jsem nasadil:
http://laxmidharnetworking.blogspot.com/2017/08/mikroitk-security-how-to-find-and-block.html
-
Jaký má smysl tyto veřejky/rozsah blacklistovat? Vždyť mikrotik tu komunikaci správně dropuje.
DoS / DDoS
-
Pokud to někdo bude fakt DoSovat, tak firewall nepomůže, jednoduše ucpe tu pár Mbps širokou linku.
-
Do určité úrovně dropování pomůže. Ale špatně se hlídá a zjišťuje, co dropovat. Pro normálního člověka ...
Ale dropovat se musí v RAW tabulce. Tyhle útoky nebývají až tak velké objemově, aby to nějak (většinou) ublížilo uplinku jako takovému. Ale může to ublížit routeru - především conntrack tabulce (a přeneseně vytížení CPU). Jak na velikosti tabulky, tak na počtu nových spojení za vteřinu.
-
zatím mi jede jen jedno jádro ze 4 a to na jen občas na 1%. Takže v pohodě. Mám ještě hw firewall zyxel ale ten je jen na 100mbit a to nechci když mám přítok 5x větší....
-
tak už mi začali ddos útoky, hrnou se mi do adress listu stovky adres...
-
Jaký má smysl tyto veřejky/rozsah blacklistovat? Vždyť mikrotik tu komunikaci správně dropuje.
DoS / DDoS
Této odpovědi nerozumím, mohl bys ji prosím rozvést? Má pravidlo na dropování komunikace z WANu. Jaký benefit bude dělat blacklist? Komunikace je přece dropována stejným způsobem.
-
Předřečník ti správně radí že vyrábění addresslistů na to co by tak jako tak skončilo zahozené postrádá jakýkoli smysl. Nebo si snad doma píšeš na lístečky seznamy toho co jsi vyhodil do koše? Tvůj firewall má jediný úkol-dropovat vše vyjma legitimního provozu. Tvé vyrábění blacklistů je neúčelným kutěním bez jakéhokoli racionálního důvodu. Věřit že se tím tvůj firewall stane bezpečnějším je asi tak stejně podložené jak montovat tuningové křídlo na Fabii a věřit že to pak lépe pojede.
-
Mám pravidla ve fw kterým moc nerozumím. Stejně tak jezdím autem a nezajímá mě jak je udělané a co se zrovna děje v motoru. Stejně tak koukám na televizi a nezajímá mě jak je udělaná. Stejně tak sním nějaký salám a nekoukám se na ečka a na co z čeho je vyrobený. Pravidla fw jsem stáhl od jiných co se tím živí a určitě tomu rozumí. Jen jsem je trochu poupravil. Třeba u ddos útoků jsem pravidlo na drop dal až za pravidla add to address list...a ddos útoků od dopoledne o desítky % ubylo...a to mám nastaven timeban na 10 minut...až me naštvou tak to dám na týden a přestanou úplně...
-
Obávám si že jsi stáhl pravidla od někoho kdo tomu buď nerozumí, nebo trpí dost rozjetým OCD. Několik lidí ti tu naznačuje že to co deláš nedává smysl. Pokud chceš poradit s pravidly, nestahuj po internetu nesmysly a dej nám sem tvou konfiguraci ke kontrole. Samozřejmě export s parametrem hide-sensitive.
ad "...až me naštvou tak to dám na týden a přestanou úplně..." - nech si to patentovat, škoda že to nenapadlo inženýry od Cisca, mohli vyřešit DDoS celosvětově jednou provždy :P Přemýžšlel jsi někdy proč to dávno neudělal tvůj ISP na vstupu do jeho sítě, kdyby to jen trochu dávalo smysl?