RB951G-2HnD - 100% CPU usage

[dobriloff 0]

 Здравейте,

Изпаднах в много странна ситуация която нещо не си обяснявам . RB951G-2HnD (ROS 6.48) с проста Firewall конфигурация , DHCP , Bridge ether2-ether5 , ether1 (Internet)  + CapsMan Manager с 2 AP-та и закачен само 1 клиент = 100% CPU Load през няколко минути. За един ден му бях пуснал и графиките и там CPU стой средно на 50% , като през това време не е имало закачени клиенти на AP-тата съответно DHCP не е раздавало адреси, за някакво време пробвах да логвам преди input drop , да не би да ме флудят ... и това не е .  Ясно ,че устройстовото е 600MHz и 128RAM но си мисля ,че се трябва да се справя.

Ето и firewall правилата.

/ip firewall filter
add action=accept chain=input comment=\
    "Allow established/related from Internet" connection-state=\
    established,related in-interface=Internet
add action=accept chain=input comment="Allow from LAN" in-interface=\
    Local-Bridge src-address=192.168.255.0/24
add action=accept chain=input comment="Allow limited ICMP" in-interface=\
    Internet limit=50/5s,5:packet protocol=icmp
add action=drop chain=input comment="Deny all inlisted from Internet" \
    in-interface=Internet
add action=fasttrack-connection chain=forward comment="FastTrack connections" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "Allow established/related  connections" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="Drop invalid from Internet" \
    connection-state=invalid in-interface=Internet
add action=drop chain=forward comment="Drop all from Internet not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface=Internet
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade out-interface=Internet \
    src-address=192.168.255.0/24

Преди 2-3години съм ползвал същото устройсто за нещо доста подобно като тогава ползвах неговия WiFi вместо да слагам CapsMan с допълнителни AP-та за WiFi и закаченити устройства бяха около 10 , проблем с CPU натоварването на съм забелязал.

 

Въпроса ми е на какво може да се дължи това странно натоварване?  Profile показва firewall - 63% , networking - 28% , качих и снимка.

[JohnTRIVOLTA 57]

Като начало добави си като първо правило дроп за невалидните връзки на INPUT веригата , а същото такова за FORWARD да го поставиш да е първо правило за нея верига също ! Пуснал ли си рутера да играе роля на DNS /Allow Remote Requests/ за локалната мрежа ?

Edited January 2 by JohnTRIVOLTA

[111111 381]

Затова не се трият дефаултните правила

/ip firewall {
             filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
             filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
             filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
             filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
             filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
             filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
             filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
             filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
             filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
             filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
             filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf:  drop all from WAN not DSTNATed"
             }

Сигурно ли е че не изпълняваш някой скрипт периодично?

[dobriloff 0]

Ще си добавя правилата за невалидните връзки в двете вегиги, благодаря   кеширащия DNS e пуснат и той да. Проблема се оказа едно Raspbery Pi за което тотално бях забравил ,че е пуснато. Въпросното устройство преди време е било погрешно експоузнато в интернет както си е  с дефолтните креденшали и очаквано някой го е нацелил и направил част от нечия Botnet мрежа... като си погледнах connection таблицата там сигурно имаше 10000 едновременни вреъзки към китайски IP-та + на моменти Bridge интерфейса вдигаше до 300Mbit... в момента в който добавих едно правило POSTROUTING ACCEPT за IP-то на RaspberyPi и натоварването изчезна..направих го така тъй като съм далече от всичките устройства а искам да видя какво точно са натоварили на RaspberyPi.  Явно хардуера  на RB951G-2HnD не е особено достатъчено ако в мрежата има някое зловреден клиент... Пак добре де , ако рутера беше по-мощен сигурно още 1 седмицаи щеше да работи това RaspeberyPi или докато ISP ми спре интернета заради съмнителна активност.

[JohnTRIVOLTA 57]

Ще спре флуда, като си спрял snat на устройството с това правило т.е. няма нет на него вече   Вземи дай малко повече инфо за това малинката като какво работи ? И кажи флууда само на определен или на рандъм портове е?

P.S.  Кой домашен рутер от неговата генерация преди 8-9 год. може да държи повече на флуд?

.....

P.P.S. Ясно сега че флудера е малинката, като прочетох всичко ! Има си правила, които може да добавиш в борда за такива инфектирани във вътрешната мрежа !

Edited January 2 by JohnTRIVOLTA

[dobriloff 0]

За съжаление не направих Capture снощи а сега се наложи направо да го халтна тъй като започна да прави нови глупости. започна на вгига статични IP-та , процеса се форква като ново binary и изтрива старото . прави доста DNS рекуести за ресолт на всевъзможни хостове. Също така се мъчи да прави TCP конекции към разни кирайски IP-та на стандартния порт на SQL Server 1433. Байндва разни рандом UDP портове... Като ида при устройството може и да си копирам едно байнъри и да си поиграя да го ревърсна.. щото изглежда интересно.. някой си е поиграл да го направи да се бори като се опиташ да го ограничиш  

[111111 381]

На кратко е бил стандартно днс прокси,

не забравяйте че в Китай 1/3 от нета го няма.