Jump to content

CPU 100% RB2011UiAS


gabrashev

Recommended Posts

Здравейте,

от известно време забелязах ,че CPU-то на RB е на 99-100% 

Не знам какво го тормози , но искам да попитам има ли начин да го разбера ?

 

Адрес на коментара
Сподели в други сайтове

Затвори си DNS-а откъм интернет както и IP Services

с други думи затвори отворените портове и услуги на рутера, за да не са достъпни през Интернет

Редактирано от NetworkPro
  • Харесай 1
Адрес на коментара
Сподели в други сайтове

Благодаря Ви много !!

Филтрирах порт 53 на входящия интерфейс и всичко се нормализира ( CPU 10-15% )

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop

 

 

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

  • 2 weeks later...

А на мен ми  чудно защо по подразбиране mikrotik оставят dns да слуша навсякъде .... А не си направят един ACL и при първоначална конфигурация да прихващат текущата маска и до там да ограничат dns-а да е отворен за рекурсия. Или просто да слуша само на 127.0.0.1.
Кои знае колко устройства с в световен мащаб "помагат" за dns amplification атаки.

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

Има хора които имат бюджети да се борят против това, те могат да се свържат със ISP, със Mikrotik и т.н.

 

Микоритка по подразбиране дропва всичко на WAN port, chain input , ако се остави дефолстката конфигурация

Редактирано от NetworkPro
Адрес на коментара
Сподели в други сайтове

Само, че трябва да направят и по подразбиране dns да не слуша на 0.0.0.0, а само на 127.0.0.1 и които разбира ще си го промени. Във всички Линукс дистрибуции  bind слуша на 127.0.0.1, ::1 и толкова, а за повече си добавяш адресите на които да искаш "слуша".

Презумпцията е да се правят нещата по-сигурни, а не по-лесни за работа.
 

Редактирано от Mihail Peltekov
Адрес на коментара
Сподели в други сайтове

  • Администратор

По подразбиране няма отметка за споделяне на ДНС услуга /работи само локално/

друг е въпроса защо отвън има отворени портове

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • Администратор

@Mihail Peltekov Честно казано нищо не ви се разбира, байнда слушал на 127.0.0.1, как ви хрумна това :huh:

В същноста си има два вида днс сървъри като могат да бъдат комбинирани едновременно:

1. Сървъри отговарящи на домейни:
а) мастер на домейна
б) слейв на домейна

2. Кеширащи днс сървъри
а) кеширащ сървър питащ топ левъл домейните
б) кеширащ сървър питащ друг кеширащ сървър

mikrotik 2 б)
Тъй като микротик е рутер той не трябва да отговаря за домейн а да е кеширащ сървър и то кеширащ днс от точка 2 б) (тоест пита друг кеширащ сървър) без да закача топ левъл домеините. Що се отнася за слушането, слуша на порт 53 udp 0.0.0.0 значи, че слуша на всички интерфейса а 127.0.0.1 ще слуша само на lo интерфейса тоест само себе си и клиентите няма да получат услугата днс. Терминът слуша се употребява когато някаква услуга (service) се намира на някакъв порт (port) на определен протокол (protocol) и чака клиент да прати заявка за да е обслужен.

bind 2 а)
В bind 127.0.0.1 се описва в /etc/resolv.conf когато искаме нашият днс сървър да пита директно топ левел домейните от първо ниво, .com, .net, .eu и т. н. Това обикновено се случва когато ползваме мастер или слейв сървър. Но 127.0.0.1 е директно към себе си и терминът е пита а не слуша. Всъщност истината е че самият bind отговаря на себе си с един файл /etc/bind/db.root в който се намират сървърите отговарящи за домейните от първо ниво. Но въпреки всичко самият bind също слуша на порт 53 udp 0.0.0.0 при всички положения - иначе няма услуга !

bind 2 б)
Пример: bind пита google и opendns за зони и отговаря само на ип адресите в секцията allow-query, в микротик няма такава опция (може би няма защото има firewall)

 

forwarders {
        8.8.8.8;
        8.8.4.4;
        208.67.220.220;
        208.67.222.222;
        };

        allow-query {
        192.168.0.0/16;
        172.16.0.0/12;
        10.0.0.0/8;
       	localhost;
        };


 

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.