+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Блокирую какую-то атаку

Блокирую какую-то атаку, RouterOS

otgooneo

Guest

18.11.2010 09:15:00

Иногда загрузка CPU RB1000 поднимается до 100% в течение всего дня. Я нашёл причину. Какие-то неавторизованные DHCP-клиенты пытаются создать более 100 одинаковых SSL-соединений. Я могу найти эти соединения с помощью команды /ip firewall connection print, после чего блокирую MAC-адрес клиента. Но это слишком ручной способ обнаружения атакующих. Посмотрите скриншот ниже.

Я пытался отлавливать эти пакеты и соединения с помощью правил firewall mangle и filter, но безуспешно.

#1-я попытка
chain=input action=add-src-to-address-list protocol=tcp address-list=attack address-list-timeout=30m dst-port=443 connection-limit=70,32

#2-я попытка
chain=input action=add-src-to-address-list protocol=tcp address-list=attack address-list-timeout=30m dst-port=443

Как мне отклонять эти пакеты или добавлять таких атакующих в address-list, или написать скрипт, который бы выдавал /ip firewall connections, анализировал и находил одинаковые src-address и dst-address SSL-соединения больше 50, а потом добавлял src-address в address-list?

otgooneo Guest	#2 0 10.12.2010 03:47:00 Какие-нибудь мысли?

fewi

Guest

10.12.2010 04:29:00

Правило фильтрации фаервола, вероятно, сработает нормально. Ты используешь цепочку «input», она предназначена для трафика, направленного прямо на роутер. Если только IP назначения не находится на интерфейсе роутера — тогда, конечно, это не сработает. Попробуй лучше цепочку «forward».

omidkosari Guest	#4 0 10.12.2010 10:21:00 tarpit — это лучший способ

otgooneo

Guest

13.12.2010 08:57:00

Привет, fewi! Я пытался настроить правило «forward», но не смог поймать эти подключения. Поэтому добавил вот такое правило и посмотрел, что будет:

chain=hs-unauth action=add-src-to-address-list protocol=tcp \
address-list=attack address-list-timeout=5m

Теперь я могу ловить IP атакующих. Но при этом попадаются и IP из хороших, чистых подключений. Потом попробовал так:

chain=hs-unauth action=add-src-to-address-list protocol=tcp \
address-list=attack address-list-timeout=5m connection-limit=40,32

Но снова не смог поймать. Потом сделал так:

chain=hs-unauth action=add-src-to-address-list protocol=tcp \
address-list=attack address-list-timeout=5m dst-port=443

Результат тот же — плохие подключения не ловятся. Ладно, если правила фаервола не работают, нужно добавить скрипт, который будет находить эти подключения. Помоги, пожалуйста, с этим сделать.

TKITFrank Guest	#6 0 13.12.2010 10:04:00 Привет! Если ты нашёл нужную цепочку, попробуй ограничить весь https-трафик с одного хоста примерно до 20 соединений. Не добавляй их в список, просто отбрасывай. Попробуй так сделать и посмотри, поможет ли.

otgooneo

Guest

13.12.2010 10:44:00

Да, но самое интересное — трафик, который “forward” цепочка не ловит. Только цепочка "hs-unauth" может поймать попытки неавторизованных TCP-соединений, но это работает нестабильно (см. скриншот). Ладно, работает нестабильно, но работает. Следующий шаг — попытаться поймать любой TCP на 443 порту. Ух ты. Но не ловит. Просто никакого трафика не перехватывает. А плохие соединения всё равно остаются в списке firewall соединений, и загрузка процессора 100%.

TKITFrank Guest	#8 0 13.12.2010 10:57:00 Как насчёт добавить правило в цепочку hs-unauth?

otgooneo Guest	#9 0 13.12.2010 11:59:00 Не очень понятно. Не могли бы вы помочь мне добавить на это скрипт?

TKITFrank

Guest

#10

13.12.2010 12:09:00

Не могли бы вы показать нам свои правила и указать, где именно «пакеты» задерживаются? Так мы могли бы составить правило в правильном порядке, которое поможет. К тому же, есть ли какая-то известная схожесть между атаками? Один и тот же dest-ip или просто https?

sadoank Guest	#11 0 13.12.2010 12:46:00 Постарайся добавить nice.rsc или nice list… чтобы можно было разрешать доступ только нужным IP и блокировать любые IP, которым доступ к твоему IP нежелателен… Если я неправ, поправь меня.

otgooneo

Guest

#12

15.12.2010 04:40:00

Привет снова! Я нашёл причину. Как ты знаешь, при использовании сервиса Hotspot создаются динамические фильтры и NAT-правила. Одно из них такое: 14 D chain=hs-unauth action=redirect to-ports=64875 protocol=tcp dst-port=443. Некоторые приложения (возможно, плохие) на компьютере пользователя постоянно пытаются установить HTTPS-соединение, и RouterOS перенаправляет все эти запросы на порт 64875 (страница авторизации Hotspot). Из-за этого загрузка процессора взлетает до 100%. Когда пользователь логинится, это прекращается. Или когда я убираю это NAT-правило — тоже прекращается. Но без этого правила нельзя перенаправить HTTPS-запросы на страницу входа. Сейчас я удалил это динамическое правило (потому что нельзя изменить динамические правила) и создал новое, похожее, но с ограничением по количеству соединений: chain=hs-unauth action=redirect to-ports=64875 protocol=tcp dst-port=443 connection-limit=10,32. Теперь жду пользователей, которых это затронуло. Потому что вчера, когда я менял NAT-правило, "плохой" пользователь выключил свой компьютер. Надеюсь, теперь всё будет работать.

fewi

Guest

#13

15.12.2010 04:46:00

Не удаляй динамические правила. Ты нарушаешь работу своего Hotspot. Нужно удалить экземпляр Hotspot и создать его заново, чтобы вернуть правило. Никогда не трогай динамические правила. Вот ссылка: http://mum.mikrotik.com/presentations/US10/FelixWindt.pdf, страницы 7–9.

otgooneo Guest	#14 0 15.12.2010 08:50:00 Вау, спасибо, fewi, это очень-очень полезный документ для меня. Я попробую использовать цепочку pre-hotspot. Но думаю, что могу удалить все динамические правила и создавать эти правила вручную. Только вот плохо, когда роутер перезагружается, и hotspot снова создаёт динамические правила.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры