DNS Flood и MikroTik

1

1

С интересной ситуацией недавно столкнулся, решил поделиться здесь, вдруг кому-то будет полезно.

У меня в нескольких квартирах стоят MikroTik-и, на одном из них даже в случае простоя была 100% загрузка процессора, Profiler указывал на DNS, при загрузке канала хотя бы на половину роутер зависал. Провайдер везде ОнЛайм. Долго грешил на железо (он самый старый из всех), но потом обратил внимание, что на другом началась та же самая проблема. Оказалось, что это банальный DNS Flood.

Следующие правила решили проблему:

/ip firewall filter
add action=drop chain=input dst-address=195.9.190.222 dst-port=53 in-interface=ether1 protocol=tcp
add action=drop chain=input dst-address=195.9.190.222 dst-port=53 in-interface=ether1 protocol=udp

Мораль проста, не относитесь безответственно к настройке фильтрации, господа. Надеюсь мой опыт будет кому-нибудь полезен.

Ссылка

←	iptables can't initialize iptables table `nat': Table does not exist

CUPS и длинные пути

→

Вроде как принято на внешнем интерфейса закрывать вобще всё и открывать только то, что нужно.

mky ★★★★★
(14.03.17 00:49:55 MSK)

Ответ на: комментарий от mky 14.03.17 00:49:55 MSK

Принято-то принято, но я подумал, что не так много сервисов сам MikroTik имеет. Вот и не закрыл.

ravdinve ★
(14.03.17 00:52:04 MSK) автор топика

Ссылка

Так может в input разрешить только то что надо, а на все остальное drop (по умолчанию)? Как это и положено делать. Это же классика.

Причем в дефолтной конфигурации микротика так и сделано. Там что то вроде accept для established, related и drop all для wan интерфейса по умолчанию.

Оо, mky о том же уже написал...

samson ★★
(14.03.17 02:05:01 MSK)
Последнее исправление: samson 14.03.17 02:06:50 MSK (всего исправлений: 1)

Ссылка

Оказалось, что это банальный DNS Flood.

Всё, кстати, несколько шире:
https://www.us-cert.gov/ncas/alerts/TA14-017A

И да, DNS у Микротика рекурсивные запросы запретить не позволяет почему-то, так что, если на нём DNS включать, то надо фильтровать.

AS ★★★★★
(14.03.17 10:42:57 MSK)