Проблема: Mikrotik DNS жрёт 100% CPU.

Привет, seidizem, кажется, ты прав. Я видел кучу постов в интернете, где люди даже меняли своё железо, думая, что у них узкое место в использовании CPU. У меня была та же проблема на моём 951G-2HnD, и правило брандмауэра в сочетании с NAT для DNS-запросов решили мою проблему. Спасибо!

Такая же проблема на моем RB751G-2HnD. Профиль показывает 80% нагрузки на DNS. Отказ от удаленных запросов помогает, но это не решение проблемы. Я создал правило фильтрации пакетов, которое отбрасывает DNS-запросы (UDP-трафик на порту 53) от всех, кроме локальной подсети (192.168.0.0/24). Загрузка процессора падает с 70-80% до 3-4%, и профилирование больше не показывает процент DNS. Кажется, какие-то боты используют Mikrotik в качестве DNS-сервера для каких-то целей и генерируют кучу запросов.

Ну что, запустил это дело уже немного попользовался. Сейчас примерно 40 IP-адресов пользуются кэшем/DNS. В кэше около 350 элементов, загрузка CPU сейчас 50%-60%. Максимально через него проходит 13 МБ данных.

Как защитить ваш Mikrotik роутер от DDoS-атак

ДDoS-атаки становятся все более распространенными, и ваш Mikrotik роутер не является исключением. Эти атаки могут вывести ваш роутер из строя, что приведет к простою и финансовым потерям. В этой статье я расскажу, как защитить ваш Mikrotik роутер от DDoS-атак.

Что такое DDoS-атака?

DDoS (Distributed Denial of Service) атака — это тип кибератаки, при которой злоумышленники перегружают сервер, сеть или приложение, отправляя на него огромное количество запросов. Цель — сделать систему недоступной для законных пользователей.

Почему ваш Mikrotik роутер является целью?

Mikrotik роутеры популярны как среди домашних пользователей, так и среди предприятий, и часто используются для управления критически важными сетевыми сервисами. Это делает их привлекательной целью для злоумышленников, которые хотят нарушить работу сети или получить доступ к конфиденциальной информации.

Как защитить ваш Mikrotik роутер от DDoS-атак:

Вот несколько способов защиты вашего Mikrotik роутера от DDoS-атак:

*   **Включите защитный экран (Firewall)**: Настройте правила защитного экрана, чтобы блокировать подозрительный трафик и разрешать только авторизованный доступ.
*   **Включите защиту от SYN Flood**: SYN Flood атаки — это распространенный тип DDoS-атаки, при котором злоумышленники перегружают роутер большим количеством SYN-запросов. Mikrotik предлагает различные методы защиты от SYN Flood, такие как SYN Proxy и SYN Cookies.
*   **Включите ограничение скорости (Rate Limiting)**: Ограничение скорости позволяет контролировать объем трафика, который может быть отправлен на ваш роутер. Это может помочь предотвратить перегрузку роутера во время DDoS-атаки.
*   **Включите фильтрацию по географическому положению (GeoIP Filtering)**: Если вы знаете, что трафик из определенных стран не нужен, вы можете заблокировать его, используя фильтрацию по географическому положению.
*   **Используйте службу защиты от DDoS**: Существуют различные службы защиты от DDoS, которые могут помочь защитить ваш роутер от атак.

**Дополнительные советы:**

*   Регулярно обновляйте прошивку вашего Mikrotik роутера, чтобы исправить уязвимости безопасности.
*   Используйте надежные пароли для доступа к вашему роутеру.
*   Будьте осторожны с тем, какие порты вы открываете на своем роутере.
*   Включите логирование трафика, чтобы отслеживать подозрительную активность.

Защита вашего Mikrotik роутера от DDoS-атак — важный шаг для обеспечения безопасности вашей сети. Следуя советам, приведенным выше, вы можете значительно снизить риск атаки и защитить свои данные.

#mikrotik #ddos #cybersecurity #networksecurity #routersecurity

Основная проблема DNS в том, что он не поддерживает многопоточность. Он может загружать только одно ядро процессора, и до 100% загрузки дойти очень легко. В таком случае даже мощный CCR1072 против запросов DNS – ничто. Было бы здорово, если бы DNS-сервис поддерживал многопоточность.

Если произойдёт атака на DNS, это очень легко остановить/заблокировать. В случае с моими роутерами для точек доступа, очень много клиентов запрашивают DNS через роутер, и CCR1072 начинает тормозить при DNS-запросах. Но на самом деле CCR1072 может справляться с тысячами клиентов точек доступа, кроме роли DNS-сервера. Я реализовал отдельный DNS-сервер, чтобы решать эту проблему, и терпеть не могу, когда RouterOS поддерживает роль DNS-сервера.

Всем, у кого возникла эта проблема: первое, что нужно проверить – используется ли ваш роутер как усилитель DDoS-атаки. Как уже упоминалось ранее в теме, посмотрите в таблице подключений брандмауэра на предмет трафика DNS на интерфейсе WAN. Если вы видите трафик DNS в направлении и из направления всего, кроме настроенных DNS-разрешителей роутера, значит, вами пользуются в DDoS-атаке, потому что ваши правила брандмауэра не блокируют его. Это очень распространенная проблема на этих форумах. Заблокируйте все входящие новые запросы на интерфейсе WAN в цепочке INPUT правил брандмауэра! Если вам нужен какой-то административный доступ с WAN-стороны, создайте одно правило, которое разрешает только необходимый порт (например, Winbox) и только с ваших известных удаленных сайтов, которым нужен доступ. Поместите это исключение раньше в цепочке INPUT, чем правило "отбрасывать все на интерфейсе WAN", и вы в порядке.