CPU 100% RB2011UiAS

[gabrashev]

Здравейте,

от известно време забелязах ,че CPU-то на RB е на 99-100% 

Не знам какво го тормози , но искам да попитам има ли начин да го разбера ?

 

[Guest]

Затвори си DNS-а откъм интернет както и IP Services

с други думи затвори отворените портове и услуги на рутера, за да не са достъпни през Интернет

Edited April 18, 2016 by NetworkPro

[krustanovs]

Най вероятно е dns flood забрани си порт 53 на входящия интерфейс иначе в tools -> profile виж какво го тормози

[gabrashev]

Благодаря Ви много !!

Филтрирах порт 53 на входящия интерфейс и всичко се нормализира ( CPU 10-15% )

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop

 

 

[Mihail Peltekov]

А на мен ми  чудно защо по подразбиране mikrotik оставят dns да слуша навсякъде .... А не си направят един ACL и при първоначална конфигурация да прихващат текущата маска и до там да ограничат dns-а да е отворен за рекурсия. Или просто да слуша само на 127.0.0.1.
Кои знае колко устройства с в световен мащаб "помагат" за dns amplification атаки.

[Guest]

Има хора които имат бюджети да се борят против това, те могат да се свържат със ISP, със Mikrotik и т.н.

 

Микоритка по подразбиране дропва всичко на WAN port, chain input , ако се остави дефолстката конфигурация

Edited April 27, 2016 by NetworkPro

[Mihail Peltekov]

Само, че трябва да направят и по подразбиране dns да не слуша на 0.0.0.0, а само на 127.0.0.1 и които разбира ще си го промени. Във всички Линукс дистрибуции  bind слуша на 127.0.0.1, ::1 и толкова, а за повече си добавяш адресите на които да искаш "слуша".

Презумпцията е да се правят нещата по-сигурни, а не по-лесни за работа.
 

Edited April 27, 2016 by Mihail Peltekov

[111111]

По подразбиране няма отметка за споделяне на ДНС услуга /работи само локално/

друг е въпроса защо отвън има отворени портове

[Самуил Арсов]

@Mihail Peltekov Честно казано нищо не ви се разбира, байнда слушал на 127.0.0.1, как ви хрумна това

В същноста си има два вида днс сървъри като могат да бъдат комбинирани едновременно:

1. Сървъри отговарящи на домейни:
а) мастер на домейна
б) слейв на домейна

2. Кеширащи днс сървъри
а) кеширащ сървър питащ топ левъл домейните
б) кеширащ сървър питащ друг кеширащ сървър

mikrotik 2 б)
Тъй като микротик е рутер той не трябва да отговаря за домейн а да е кеширащ сървър и то кеширащ днс от точка 2 б) (тоест пита друг кеширащ сървър) без да закача топ левъл домеините. Що се отнася за слушането, слуша на порт 53 udp 0.0.0.0 значи, че слуша на всички интерфейса а 127.0.0.1 ще слуша само на lo интерфейса тоест само себе си и клиентите няма да получат услугата днс. Терминът слуша се употребява когато някаква услуга (service) се намира на някакъв порт (port) на определен протокол (protocol) и чака клиент да прати заявка за да е обслужен.

bind 2 а)
В bind 127.0.0.1 се описва в /etc/resolv.conf когато искаме нашият днс сървър да пита директно топ левел домейните от първо ниво, .com, .net, .eu и т. н. Това обикновено се случва когато ползваме мастер или слейв сървър. Но 127.0.0.1 е директно към себе си и терминът е пита а не слуша. Всъщност истината е че самият bind отговаря на себе си с един файл /etc/bind/db.root в който се намират сървърите отговарящи за домейните от първо ниво. Но въпреки всичко самият bind също слуша на порт 53 udp 0.0.0.0 при всички положения - иначе няма услуга !

bind 2 б)
Пример: bind пита google и opendns за зони и отговаря само на ип адресите в секцията allow-query, в микротик няма такава опция (може би няма защото има firewall)

 

forwarders {
        8.8.8.8;
        8.8.4.4;
        208.67.220.220;
        208.67.222.222;
        };

        allow-query {
        192.168.0.0/16;
        172.16.0.0/12;
        10.0.0.0/8;
       	localhost;
        };