Neznámý provoz na firewallu v MikroTiku

Neznámý provoz na firewallu v MikroTiku
« kdy: 16. 11. 2020, 06:59:42 »
Na Mikrotik routeru RB760iGS mám použitý tento firewall - mám veřejnou IP. Několik dní se mi v logu objevují tato záznamy na tomto pravidle:

Kód: [Vybrat]
/ip firewall filter
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN log=yes

poradí někdo co to je ?

Kód: [Vybrat]
Nov/15/2020 23:09:46 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15232, len 44
Nov/15/2020 23:09:47 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15428, len 44
Nov/15/2020 23:09:48 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:12456, len 44
Nov/15/2020 23:09:50 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:16339, len 44
Nov/15/2020 23:09:50 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:29156, len 44
Nov/15/2020 23:09:52 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:20471, len 44
Nov/15/2020 23:09:54 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:22071, len 44
Nov/15/2020 23:09:57 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15127, len 44
Nov/15/2020 23:09:57 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:14354, len 44
Nov/15/2020 23:09:57 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:28444, len 44
Nov/15/2020 23:10:01 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:11944, len 44
Nov/15/2020 23:10:02 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 180.183.231.53:53900->192.168.1.6:62529, len 52
Nov/15/2020 23:10:05 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 180.183.231.53:53900->192.168.1.6:62529, len 52
Nov/15/2020 23:10:11 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 180.183.231.53:53900->192.168.1.6:62529, len 48
Nov/15/2020 23:10:14 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 165.227.2.169:42709->192.168.1.6:33906, len 44
Nov/15/2020 23:10:18 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:16584, len 44
Nov/15/2020 23:10:28 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15766, len 44
Nov/15/2020 23:10:29 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 162.243.128.58:35732->192.168.1.6:5222, len 44
Nov/15/2020 23:10:32 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:14823, len 44
Nov/15/2020 23:10:34 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:18121, len 44
Nov/15/2020 23:10:44 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:11324, len 44
Nov/15/2020 23:10:45 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.143.223.69:49781->192.168.1.6:3193, len 44
Nov/15/2020 23:10:45 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:28934, len 44
Nov/15/2020 23:10:46 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 206.189.169.223:42704->192.168.1.6:4997, len 44
Nov/15/2020 23:10:51 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:28046, len 44
Nov/15/2020 23:10:53 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15324, len 44
Nov/15/2020 23:10:56 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:11322, len 44
Nov/15/2020 23:10:57 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:24230, len 44
« Poslední změna: 16. 11. 2020, 08:10:16 od Petr Krčmář »


Re:Kdo se mi to snaží oloupat perníkovou střechu ??
« Odpověď #1 kdy: 16. 11. 2020, 07:48:22 »
Švýcaři. Jsou to útočníci. Dal bych je na černou listinu.

Re:Kdo se mi to snaží oloupat perníkovou střechu ??
« Odpověď #2 kdy: 16. 11. 2020, 08:03:01 »
Tak tak, Švýcaři z Bogoty (185.39.10.7).

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #3 kdy: 16. 11. 2020, 09:28:02 »
Jaký má smysl tyto veřejky/rozsah blacklistovat? Vždyť mikrotik tu komunikaci správně dropuje.

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #4 kdy: 16. 11. 2020, 10:00:58 »
a co je to za typ útoku, mám tam i pravidlo ddos ban..


Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #5 kdy: 16. 11. 2020, 19:11:41 »
Dle mého to jsou port scannery.
Citace
Nov/15/2020 23:09:46 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15232, len 44
Nov/15/2020 23:09:47 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:15428, len 44
Nov/15/2020 23:09:48 firewall,info input: in:ether1 out:(unknown 0), src-mac 34:2c:c4:76:01:77, proto TCP (SYN), 185.39.10.7:50459->192.168.1.6:12456, len 44

« Poslední změna: 16. 11. 2020, 19:42:35 od Jiří Šachl »

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #7 kdy: 17. 11. 2020, 00:37:27 »
Jaký má smysl tyto veřejky/rozsah blacklistovat? Vždyť mikrotik tu komunikaci správně dropuje.

DoS / DDoS

by_cx

  • ***
  • 172
    • Zobrazit profil
    • E-mail
Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #8 kdy: 17. 11. 2020, 01:51:50 »
Pokud to někdo bude fakt DoSovat, tak firewall nepomůže, jednoduše ucpe tu pár Mbps širokou linku.

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #9 kdy: 17. 11. 2020, 02:00:24 »
Do určité úrovně dropování pomůže. Ale špatně se hlídá a zjišťuje, co dropovat. Pro normálního člověka ...

Ale dropovat se musí v RAW tabulce. Tyhle útoky nebývají až tak velké objemově, aby to nějak (většinou) ublížilo uplinku jako takovému. Ale může to ublížit routeru - především conntrack tabulce (a přeneseně vytížení CPU). Jak na velikosti tabulky, tak na počtu nových spojení za vteřinu.

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #10 kdy: 17. 11. 2020, 08:25:28 »
zatím mi jede jen jedno jádro ze 4 a to na jen občas na 1%. Takže v pohodě. Mám ještě hw firewall zyxel ale ten je jen na 100mbit a to nechci když mám přítok 5x větší....

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #11 kdy: 17. 11. 2020, 09:39:04 »
tak už mi začali ddos útoky, hrnou se mi do adress listu stovky adres...

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #12 kdy: 17. 11. 2020, 14:27:55 »
Jaký má smysl tyto veřejky/rozsah blacklistovat? Vždyť mikrotik tu komunikaci správně dropuje.

DoS / DDoS
Této odpovědi nerozumím, mohl bys ji prosím rozvést? Má pravidlo na dropování komunikace z WANu. Jaký benefit bude dělat blacklist? Komunikace je přece dropována stejným způsobem.

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #13 kdy: 17. 11. 2020, 16:29:38 »
Předřečník ti správně radí že vyrábění addresslistů na to co by tak jako tak skončilo zahozené postrádá jakýkoli smysl. Nebo si snad doma píšeš na lístečky seznamy toho co jsi vyhodil do koše? Tvůj firewall má jediný úkol-dropovat vše vyjma legitimního provozu. Tvé vyrábění blacklistů je neúčelným kutěním bez jakéhokoli racionálního důvodu. Věřit že se tím tvůj firewall stane bezpečnějším je asi tak stejně podložené jak montovat tuningové křídlo na Fabii a věřit že to pak lépe pojede.
« Poslední změna: 17. 11. 2020, 16:32:15 od 238222827 »

Re:Neznámý provoz na firewallu v MikroTiku
« Odpověď #14 kdy: 17. 11. 2020, 16:36:38 »
Mám pravidla ve fw kterým moc nerozumím. Stejně tak jezdím autem a nezajímá mě jak je udělané a co se zrovna děje v motoru. Stejně tak koukám na televizi a nezajímá mě jak je udělaná. Stejně tak sním nějaký salám a nekoukám se na ečka a na co z čeho je vyrobený. Pravidla fw jsem stáhl od jiných co se tím živí a určitě tomu rozumí. Jen jsem je trochu poupravil. Třeba u ddos útoků jsem pravidlo na drop dal až za pravidla add to address list...a ddos útoků od dopoledne o desítky % ubylo...a to mám nastaven timeban na 10 minut...až me naštvou tak to dám na týden a přestanou úplně...