1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Mikrotik - příliš mnoho UDP připojení
« předchozí další »
Stran: [1]

Mikrotik - příliš mnoho UDP připojení

  • 7 Odpovědí
  • 4633 Zhlédnutí

lyachin

Mikrotik - příliš mnoho UDP připojení
« kdy: 07. 05. 2014, 09:41:55 »
Rád bych se zeptal moudřejších, zda mi nedokáží poradit s problémem? Na firewallu v mikrotiku mám anjednou příliš mnoho UDP připojení (kolem 600) ze zhruba 5-ti IP a připojení směřuje na cílový port 53. V síti mám server, ale i když vypnu celou síť za firewallem, je situace stejná. To vše začalo bez jakékoliv změny ve vnitřní síti, přičemž to tak nebývalo, i když tam byl v provozu server.

Poradí mi někdo? Mám něco dělat, co? Je to OK?. Vážně netuším.


Děkuji
IP zaznamenána

Reklama

  • * * * * *

Filip Jirsák

  • *****
  • 6 040
    • Zobrazit profil
Re:Mikrotik - příliš mnoho UDP připojení
« Odpověď #1 kdy: 07. 05. 2014, 10:03:05 »
Co znamená „UDP připojení“?

Jinak port 53 je DNS. Tj. buď se někdo zvenku pokouší dotazovat vašeho DNS serveru, nebo jsou to DNS odpovědi na dotazy z vaší sítě (nebo takové, které mají zfalšovanou zdrojovou IP adresu, aby vypadaly jako že jsou z vaší sítě).
IP zaznamenána

Rhinox

Re:Mikrotik - příliš mnoho UDP připojení
« Odpověď #2 kdy: 07. 05. 2014, 10:13:39 »
Citace: lyachin  07. 05. 2014, 09:41:55
...Na firewallu v mikrotiku mám anjednou příliš mnoho UDP připojení (kolem 600) ze zhruba 5-ti IP a připojení směřuje na cílový port 53...
Jelikoz je to jenom 5 zdrojovych adres, tipuju ze jsou podvrzeny, a nekdo zkousi pouzit tvuj DN-server pro "dns amplificatoin attack" vuci tem 5 adresam (coz taky muze byt 1 cilovej servr).

Nastav si rate-limiting (bud na Mikrotiku nebo tvem DN-servru), dej tam nakej rozumnej burst-limit a vsechno nad jednoduse zahazuj...
IP zaznamenána

lyachin

Re:Mikrotik - příliš mnoho UDP připojení
« Odpověď #3 kdy: 07. 05. 2014, 10:34:48 »
Díky za info, DNS jsem zamáznul, ale běží to dál. Už jsem i vypnul celou síť za firewallem a je to pořád stejné. Už to budu muset asi zakázat na firewallu, ale hlava mi to vzhledem k nezkušenosti nebere.
IP zaznamenána

lyachin

Re:Mikrotik - příliš mnoho UDP připojení
« Odpověď #4 kdy: 07. 05. 2014, 11:41:43 »
tak je to jasné, jedná se o
dns amplification attack...pecka  >:(
IP zaznamenána

Reklama

  • * * * * *

LU2

Re:Mikrotik - příliš mnoho UDP připojení
« Odpověď #5 kdy: 07. 05. 2014, 15:01:16 »
IP zaznamenána

Jimm

Re:Mikrotik - příliš mnoho UDP připojení
« Odpověď #6 kdy: 07. 05. 2014, 15:12:58 »
Slo to na me pred nejakou dobou take a dokazalo mi to slozit router, pokud jsem to nezakazal primona fw routeru.
IP zaznamenána

lyachin

Re:Mikrotik - příliš mnoho UDP připojení
« Odpověď #7 kdy: 07. 05. 2014, 16:40:34 »
Děkuji všem za rady a postřehy, využil jsem i poskytnutý odkaz a vyřešil to tedy nastavením pravidel pro firewall takto:

52   ;;; DNS ATTACK - UDP
     chain=input action=add-src-to-address-list protocol=udp address-list=DNS ATTACK address-list-timeout=0s in-interface=ether1-gateway dst-port=53

53   chain=input action=drop protocol=udp in-interface=ether1-gateway dst-port=53

to samé následně pro tcp
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Mikrotik - příliš mnoho UDP připojení