راهکاری برای جلوگیری از حمله UDP Flood پورت 17 بر روی میکروتیک

[one hacker]

با سلام
من یه public ip دارم و مودمم رو وصل کردم به میکروتیک و کانکشن ppp روی میکروتیک ایجاد شده و مودم نقش bridge رو داره
متاسفانه تا میکروتیک رو کانکت میکنم تو کانکشن فایروال میبینم روی پورت 17 از آی پی های مختلف درخواست ها انقد زیاد میشه که حتی یه page ساده هم نمیتونم باز کنم (لینک تصویر در اخر پست هست)
شما چه راه حلی رو پیشنهاد میکنید (سرویس های میکروتیک همه رو بستم)

نکته: اگه یوزرپسورد رو تو مودم ست کنم و اینترنت رو از مودم بگیرم به میکروتیک بدم آیا باز حمله دارم رو این پورت؟ این سوال رو از اونجایی میپرسم که من بخاطر این مشکل میکروتیک رو حذف کردم و مستقیم با مودم مثل روال گذشته به نت وصل شدم و مشکلی ندارم
یعنی در حالتی که باز public ip هستم ولی خبری از حمله نییست. میخام بدونم چه چیز میکروتیک باعث میشه کاربران بتونن حمله کنن اما با مودم معمولی این مشکل وجود نداره؟

نکته: من اگه بخوام بسته هایی که میاد برای میکروتیک رو مانیتور کنم یعنی دقیق ببینم چه محتوایی داره باید چکارکنم؟
http://uupload.ir/files/fy0q_mic.jpg

---

موضوعات مشابه:

• مسدود کردن حملات Syn Flood + Dos روی میکروتیک ؟
• انتقال تصویر روی یک پورت خاص میکروتیک
• udp flood به میکروتیک
• راهنمایی در مورد FIN FLOOD , FIN PORT SCAN ,SYN FLOOD و tcp handshake synchronize acknowledge
• ایجاد پورت ترانک روی میکروتیک

---

[ak313]

تا جایی که می دونم
اگر ppoe روی مودم ای دی اس ال ست بشه دیگه این مشکل رو نخواهید داشت چون اون موقع میکروتیک اصلا ای پی پابلیک نمی گیره
برای گزینه دوم شما دسترسی به پورت 17 رو توی اینترفیس اینترنت دارپ کنید و توی کانکشن استیت بزارید غیر از
related - establish
یعنی هر درخواست اینترنتی که بخواد روی 17 کانکشن جدید ایجاد کنه دراپ میشه
البته من اماتورم و نسبت به راه حل دوم اطمینان ندارم

اینم ببینید
udp flood به میکروتیک

[mehrzadmo]

کانکشن فایروال میبینم روی پورت 17 از آی پی های مختلف درخواست ها انقد زیاد میشه که حتی یه page ساده هم نمیتونم باز کنم (

لینک تصویر در اخر پست هست)

تصویر کامل نیست اما به احتمال زیاد DNS attack داری . دو راه داری :
1- برو توی IP - DNS و تیک Allow remote ... رو بردار
2- برو توی فایروال و یه رول با این شرایط ادد کن :
هر درخواستی به مقصد پورت 53 udp که از اینترفیس اینترنت - کانکشن pppoe - بیاد دراپ بشه .

[one hacker]

ممنون من تیک DNS رو که گفتید برداشتم اما مشکل حل نشد
مورد بعد اینکه من رو پورت 53 اتصالی ندارم تو لیست ای پی ها....
صرفا با 17 مشکل دارم
برای تعریف رولی که گفتید هم مشکل دارم اگه میشه بیشتر راهنمایی کنید
اول اینکه مبدا ای پی میخواد چجوری بگم کانکشن اینترنت؟
و مقصد هم باز ای پی میخواد چجوری بگم پورت 53؟
chain ش چی باشه؟
من کار زیر رو انجام دادم
اما این رول فعالیتی نداره و هنوز تو سربرگ کانکشن تعداد اتصالات زیاد از طرف تعدادی ای پی دارم


action=drop

تنها حالتی که جواب میده دستور زیره

کد:

ip firewall filter add chain=input src-address=x.x.x.x action=drop

اینجووری رول فعالیت داره و کانکشن های ip x.x.x.x کلا حذف میشه
اما این فقط برای یک ip هست حالا چجوری میتونم بهش بفهمونم که کل ip ها بجز رنج ای پی خود روترم یا حالا کل ای پی ها با پورت 17

[mehrzadmo]

dst port رو بزار 53

[one hacker]

من جلوی حمله رو گرفتم هم با محدود کردن روی پورت 80 میشه هم با بستن تمام ای پی ها بجز رنج شبکه و روش های دیگه...
اما دو نکته وجود داره
1- ترافیک بابت دراپ کردن بسته ها داره مصرف میشه (که فک نکنم دیگه بشه کاریش کرد)
2- نکته ی مهم تر اینکه تمام حملات روی پورت 53 هست چرا؟ من از بیرون public ip که دارم رو وقتی اسکن میکنم در مورد پوورت 53 میگه بسته اس
خب وقتی بسته اس پس این درخواست ها چیه؟

[peymansham]

من جلوی حمله رو گرفتم هم با محدود کردن روی پورت 80 میشه هم با بستن تمام ای پی ها بجز رنج شبکه و روش های دیگه...
اما دو نکته وجود داره
1- ترافیک بابت دراپ کردن بسته ها داره مصرف میشه (که فک نکنم دیگه بشه کاریش کرد)
2- نکته ی مهم تر اینکه تمام حملات روی پورت 53 هست چرا؟ من از بیرون public ip که دارم رو وقتی اسکن میکنم در مورد پوورت 53 میگه بسته اس
خب وقتی بسته اس پس این درخواست ها چیه؟

خیلی روش کاربردی تر برای حمله به میکروتیک وجود داره کسی به شما حمله کرده باشه
من هروقت dns رو روی ip valid میکروتیک فعال کردم بعد از یه مدت همین بلا سرش اومده
نمیشه گفت کسی به شما Attack میزنه
بیشتر ضعف میکروتیکه چون این مشکل روی ویندوز سرور تاحلا نداشتم