udp flood به میکروتیک

**robocup** · 2014-06-04, 10:44 AM

سلام دوستان چند روزی هیت که حملات یو دی پی فلود به میکروتیکم انجام میشه که مقصد ثابتی نداره و ای پی های مختلف دارن این عمل رو از بیرون انجتم میدن چه جوری میتونم جلوی این حملات رو بگیرم و اونها رو به یه لیست اضافه و دراپ کنم
شکل حمله رو ضمیمه کردم بدیش اینه که روی پورت 53 هست دراپ کلی که میکنم پیج یوزرها میپره چون 53 پورت دی ان اسه دیگه
ممنون میشم بگید چه جوری باید دراپ کنم که مشکل برای صفحات کاربرا پیش نیاد با تشکر

http://8pic.ir/images/84444473377834958435.png

موضوعات مشابه:

**mojtaba461** · 2014-06-04, 10:57 AM

کد:

ip firewall filter add chain=input src-address=154.46.193.213 action=drop

**taghikarim** · 2014-06-04, 11:06 AM

دوست عزیز اینکه یک رنج بیشتر نیست.
کل اون رنج رو بلاک کنید با دستور بالا

**robocup** · 2014-06-04, 11:20 AM

این یه مثال بود ای پی ها دایم دارن عوض میشن یه رنج یا یه دونه نیستن که با بلا کردنش کار تموم بشه میخوام بتونم اونها رو با یه رول تشخیص بدم به لیستی اضافه کنم و اون لیست رو بلاک کنم

**mojtaba461** · 2014-06-04, 12:24 PM

اگر chain=input رو drop کنید نباید مشکلی برای کلاینت ها پیش بیاد. اگر از dns خارجی استفاده میشه رو کلاینت ها:

کد:

ip firewall filter add chain=input protocol=udp dst-port=53 action=drop

اگر dns کلاینت ها ip داخلی روترتون ست شده این دستور:

کد:

ip firewall filter add chain=input protocol=udp dst-port=53 dst-address!=192.168.1.1 action=drop

بجای 192.168.1.1 آدرس ip داخلی میکروتیک رو وارد کنید.

**j_p** · 2014-06-04, 01:06 PM

/ip firewall filter add chain=input protocol=udp connection-limit=LIMIT,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d

/ip firewall filter add chain=input protocol=udp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit

برای این گونه حملات اکشن تارپیت مناسب تره

**mehrzadmo** · 2014-06-05, 08:12 AM

برای این گونه حملات اکشن تارپیت مناسب تره

این اکشن فقط برای ارتباطات tcp هست .

tarpit - captures and holds TCP connections (replies with SYN/ACK to the inbound TCP SYN packet)

Action tarpit

Instead of simply dropping attacker's packets (with 'action=drop') router can capture and hold connections and with a powerful enough router it can slow the attacker down.
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit

DoS attack protection - MikroTik Wiki
Manual:IP/Firewall/Filter - MikroTik Wiki

**j_p** · 2014-06-05, 08:15 AM

نوشته اصلی توسط mehrzadmo

این اکشن فقط برای ارتباطات tcp هست .

tarpit - captures and holds TCP connections (replies with SYN/ACK to the inbound TCP SYN packet)

Action tarpit

Instead of simply dropping attacker's packets (with 'action=drop') router can capture and hold connections and with a powerful enough router it can slow the attacker down.
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit

DoS attack protection - MikroTik Wiki
Manual:IP/Firewall/Filter - MikroTik Wiki

کاملا درسته بنده بابت اشتباهم معذرت میخوام.

**mehrzadmo** · 2014-06-05, 08:25 AM

بعد به نظر من این ممکنه حمله نباشه ! مثلا یه نفر شما رو دی ان اس سرور شبکه اش معرفی کرده !!! اخه سورس پکت ها یکیه ! پورت مورد استفاده هم و ..
میشه حمله داس . که امروزا کمتر استفاده میشه . بعد توی هر سری فقط 5 تا درخواست اومده ! که برای خوابوندن یه سرور اصلا کافی نیست . تمام درخواست های dns از شبکه wan رو ببندید .

- - - ادامه - - -

یه تجربه مشابه :
http://www.incapsula.com/blog/massive-dns-ddos-flood.html

موضوع: udp flood به میکروتیک

پیوند

ابزارهای موضوع

نمایش

udp flood به میکروتیک

کلمات کلیدی در جستجوها:

برچسب برای این موضوع

مجوز های ارسال و ویرایش