Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: lyachin 07. 05. 2014, 09:41:55

Název: Mikrotik - příliš mnoho UDP připojení
Přispěvatel: lyachin 07. 05. 2014, 09:41:55

Rád bych se zeptal moudřejších, zda mi nedokáží poradit s problémem? Na firewallu v mikrotiku mám anjednou příliš mnoho UDP připojení (kolem 600) ze zhruba 5-ti IP a připojení směřuje na cílový port 53. V síti mám server, ale i když vypnu celou síť za firewallem, je situace stejná. To vše začalo bez jakékoliv změny ve vnitřní síti, přičemž to tak nebývalo, i když tam byl v provozu server.

Poradí mi někdo? Mám něco dělat, co? Je to OK?. Vážně netuším.


Děkuji

Název: Re:Mikrotik - příliš mnoho UDP připojení
Přispěvatel: Filip Jirsák 07. 05. 2014, 10:03:05

Co znamená „UDP připojení“?

Jinak port 53 je DNS. Tj. buď se někdo zvenku pokouší dotazovat vašeho DNS serveru, nebo jsou to DNS odpovědi na dotazy z vaší sítě (nebo takové, které mají zfalšovanou zdrojovou IP adresu, aby vypadaly jako že jsou z vaší sítě).

Název: Re:Mikrotik - příliš mnoho UDP připojení
Přispěvatel: Rhinox 07. 05. 2014, 10:13:39

Citace: lyachin  07. 05. 2014, 09:41:55

...Na firewallu v mikrotiku mám anjednou příliš mnoho UDP připojení (kolem 600) ze zhruba 5-ti IP a připojení směřuje na cílový port 53...

Jelikoz je to jenom 5 zdrojovych adres, tipuju ze jsou podvrzeny, a nekdo zkousi pouzit tvuj DN-server pro "dns amplificatoin attack" vuci tem 5 adresam (coz taky muze byt 1 cilovej servr).

Nastav si rate-limiting (bud na Mikrotiku nebo tvem DN-servru), dej tam nakej rozumnej burst-limit a vsechno nad jednoduse zahazuj...

Název: Re:Mikrotik - příliš mnoho UDP připojení
Přispěvatel: lyachin 07. 05. 2014, 10:34:48

Díky za info, DNS jsem zamáznul, ale běží to dál. Už jsem i vypnul celou síť za firewallem a je to pořád stejné. Už to budu muset asi zakázat na firewallu, ale hlava mi to vzhledem k nezkušenosti nebere.

Název: Re:Mikrotik - příliš mnoho UDP připojení
Přispěvatel: lyachin 07. 05. 2014, 11:41:43

tak je to jasné, jedná se o
dns amplification attack...pecka  >:(

Název: Re:Mikrotik - příliš mnoho UDP připojení
Přispěvatel: LU2 07. 05. 2014, 15:01:16

https://ispforum.cz/viewtopic.php?f=51&t=13896&p=146003&hilit=dns+utok#p146003

Název: Re:Mikrotik - příliš mnoho UDP připojení
Přispěvatel: Jimm 07. 05. 2014, 15:12:58

Slo to na me pred nejakou dobou take a dokazalo mi to slozit router, pokud jsem to nezakazal primona fw routeru.

Název: Re:Mikrotik - příliš mnoho UDP připojení
Přispěvatel: lyachin 07. 05. 2014, 16:40:34

Děkuji všem za rady a postřehy, využil jsem i poskytnutý odkaz a vyřešil to tedy nastavením pravidel pro firewall takto:

52   ;;; DNS ATTACK - UDP
     chain=input action=add-src-to-address-list protocol=udp address-list=DNS ATTACK address-list-timeout=0s in-interface=ether1-gateway dst-port=53

53   chain=input action=drop protocol=udp in-interface=ether1-gateway dst-port=53

to samé následně pro tcp