muonplex Posted March 16, 2015 Report Share Posted March 16, 2015 Здравейте от 2 часа насам имаме проблем в мрежата. Пробвано е около 9280 пъти да се пробие SSH паролата на една от машините.. от това ip: 183.136.216.6 Според мен е някакъв бот. Реших, че ако добавя drop правило за това ip нещата ще се оправят, но уви.. Атаките са толкова силни, че един от рутерите се рестартира заради CPU на 100%. Наложи се да спрем уебсървър-а, към който се регистрират атаките. След включването му в мрежата, атаките след първата минута са ненормални просто. Има ли някаква оправия или да им пусна атомна бомба на китайците Link to comment Share on other sites More sharing options...
vv1 Posted March 16, 2015 Report Share Posted March 16, 2015 Има да - смени порта на ssh и махни правилото за drop. Операционни система за рутери и суичове : Linux и FreeBSD. OpenWRT - Open Wireless Router. Всичко останало е просто търговско наименование. Link to comment Share on other sites More sharing options...
muonplex Posted March 16, 2015 Author Report Share Posted March 16, 2015 Има да - смени порта на ssh и махни правилото за drop. Правилото за drop, към атакуващото ip ли? Също така забелязах в Connection's някакви съобщения: syn sent, syn reserved.. Link to comment Share on other sites More sharing options...
vv1 Posted March 16, 2015 Report Share Posted March 16, 2015 Да, освен да си товариш cpu-то към момента на рутера ти друго не правиш и реално той го отнася. Нали но ти си решаваш, защото явно бордера ти е слаб и не може да понесе трафика. Операционни система за рутери и суичове : Linux и FreeBSD. OpenWRT - Open Wireless Router. Всичко останало е просто търговско наименование. Link to comment Share on other sites More sharing options...
Mihail Peltekov Posted March 16, 2015 Report Share Posted March 16, 2015 Сменяш порта и си слагаш access list за ssh и всички услуги, които смяташ, че не е необходимо друг да ги достъпва. Повече подробности тук Link to comment Share on other sites More sharing options...
muonplex Posted March 16, 2015 Author Report Share Posted March 16, 2015 Ясно, благодаря за отговорите, ще пробвам да сменя порта. Иначе доста портове са ми отворени, защото машината е уеб сървър.. Има mail, dns, ftp и доста други неща. @Mihail, забелязвам, че това го има вписано.. /ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d Link to comment Share on other sites More sharing options...
SubmitBG Posted March 16, 2015 Report Share Posted March 16, 2015 Микротик и ddos атаки, интересна тема... )) Ако е лесно, не е интересно Link to comment Share on other sites More sharing options...
muonplex Posted March 16, 2015 Author Report Share Posted March 16, 2015 (edited) Микротик и ddos атаки, интересна тема... )) Може да не е DDoS не знам какво е но все още оправия няма. Забраних правилата в nat-а за ssh и нещата продължават. Включи ли се машината, която е атакувана в мрежата, за 1 минута става страшно просто.. Забравих да кажа, че машината е с най-новата версия на CentOS, 7, което ме навежда на мисълта, че може да е измислена някоя простотия нова, която да го скапва. Edited March 16, 2015 by muonplex Link to comment Share on other sites More sharing options...
SubmitBG Posted March 16, 2015 Report Share Posted March 16, 2015 Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт... Ако е лесно, не е интересно Link to comment Share on other sites More sharing options...
Tsunami Posted March 16, 2015 Report Share Posted March 16, 2015 Защо просто не звъннеш на доставчика си да вземе необходимите мерки? Link to comment Share on other sites More sharing options...
muonplex Posted March 16, 2015 Author Report Share Posted March 16, 2015 Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт... Няма как да проверя, защото докато стигна до статистиката и тя започне да се пълни borda ме disconnect-ва, защото вече се е претоварил от конекциите. @Tsunami направено е това вече, отдавна трябваше да получа обаждане ама като гледам.. Link to comment Share on other sites More sharing options...
Administrator 111111 Posted March 16, 2015 Administrator Report Share Posted March 16, 2015 Ъплоуда ако не ти е зле директно му редиректвай забрани ICMP протокола глобално Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
Mile Posted March 16, 2015 Report Share Posted March 16, 2015 заради подобен проблем вече 22 се отваря само с чук-чук на определен порт. Това отваря към почукващото ип 10 сек прозорец за логване.. и това е. А какъв е смисъла да имаш микротик пред майл, веб и етк и да форвардваш вече е съвсем отделна тема 1 Link to comment Share on other sites More sharing options...
muonplex Posted March 17, 2015 Author Report Share Posted March 17, 2015 Извадихме лог, прегледахме го и вече са блокирани няколко ip-ta, като положението за момента е нормализирано. Flood-а определено продължава и се забелязват логовете и в момента, но всичко е добре за сега. Мисля да обърна доста внимание на този проблем, дори ако се налага и по-голяма инвестиция, защото това е ужас.. @111111, как може да се получи това с ICMP протокола? @Mile, не мога да ти дам точен отговор, но например в някои случай, за да не използваш iptables на машината Link to comment Share on other sites More sharing options...
Mile Posted March 17, 2015 Report Share Posted March 17, 2015 Ако идеята е защита... то тази тема нямаше да съществува. В случая дали само ще те напрягат за логване или ще ти задръстят канала е все тая. С микротик-а само усложняваш постановката и печелиш една трудно обяснима безмислица. Вероятно е забавно да се залага кое ще падне първо или пък в каква последователност, но полза не виждам. Сега относно "нормализирането".. ми то е два часа нощеска Изчакай утре до към 6-7 вечерта и пак пиши как е. Никой няма да те флуди, когато смисъла клони към нула. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now