Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Новинка
Распродажа
Новости
Доставка
Оплата
Загрузки
  • Прошивки
    • WinBox
    • RouterOS
    • Мобильные приложения MikroTik
    • Архив
  • Changelogs
  • RouterOS
  • Мобильные приложения MikroTik
  • Архив
Форум
Настройка
    info@mikrotik.moscow
    +7 495 320-55-52
    Заказать звонок
    Mikrotik.moscow
    Каталог
    • Акции
      Акции
    • Маршрутизаторы
      Маршрутизаторы
    • Коммутаторы
      Коммутаторы
    • Радиомосты и уличные точки доступа
      Радиомосты и уличные точки доступа
    • Wi-Fi для дома и офиса
      Wi-Fi для дома и офиса
    • LTE/5G
      LTE/5G
    • Powerline адаптеры
      Powerline адаптеры
    • IoT устройства
      IoT устройства
    • Оборудование 60 ГГц
      Оборудование 60 ГГц
    • Материнские платы RouterBOARD
      Материнские платы RouterBOARD
    • Корпуса
      Корпуса
    • Интерфейсы
      Интерфейсы
    • SFP/QSFP трансиверы
      SFP/QSFP трансиверы
    • Аксессуары
      Аксессуары
    • Антенны
      Антенны
    • Архив
      Архив
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Скачать WinBox Скачать Прошивки Форум > RouterOS Форум > SwOS Форум > Железо
    Mikrotik.moscow
    Каталог
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Mikrotik.moscow
    Телефоны
    +7 495 320-55-52
    Заказать звонок
    0
    0
    0
    Mikrotik.moscow
    • +7 495 320-55-52
      • Назад
      • Телефоны
      • +7 495 320-55-52
      • Заказать звонок
    • info@mikrotik.moscow
    • г. Москва, ул. Бакунинская, 84
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной


    • Кабинет
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    RouterOS
    Уязвимость в разрешении DNS

    Уязвимость в разрешении DNS

    Форумы: RouterOS, Аппаратное обеспечение, SwOS, Обратная связь, Объявления, Сторонние инструменты
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Уязвимость в разрешении DNS, RouterOS
     
    m4rk
    Guest
    #1
    0
    05.02.2019 09:34:00
    Здравствуйте, я связываюсь с вами, потому что нашёл серьёзную уязвимость в последней версии Mikrotik. По сути, я заметил, что с моего Mikrotik отправлялось тысячи DNS-запросов на один и тот же домен «USADF.GOV». При анализе проблемы я обнаружил, что порт 53 UDP (DNS-сервис) открыт для всего мира, и в таком виде любой человек может использовать мой публичный IP для разрешения имён, как публичный DNS-сервис. Я также обнаружил эту проблему у других клиентов. Судя по всему, проблема связана с последней версией Mikrotik. Вы уже сталкивались с этим? Есть ли решение? Жду вашего ответа, желаю хорошего дня. С уважением, Марко.
     
     
     
    alfred998
    Guest
    #2
    0
    31.07.2020 00:35:00
    Извини, но я вынужден согласиться с Marko. Стандартная конфигурация с добавленным сбросом для порта 53:

    0    ;;; defconf: принимать established, related, untracked  
         chain=input action=accept connection-state=established,related,untracked  

    1    ;;; сброс UDP 53  
         chain=input action=drop protocol=udp in-interface-list=WAN dst-port=53  

    2    ;;; сброс TCP 53  
         chain=input action=drop protocol=tcp in-interface-list=WAN dst-port=53  

    allow-remote-requests: нет  
    nmap: Обнаружен открытый порт 53/udp на xx.xx.xx.xx  
    Обнаружен открытый или фильтруемый порт 53/udp на xxx-xx4.xxx-xx.org (xx.xx.xx.xx), который на самом деле открыт
     
     
     
    martinclaro
    Guest
    #3
    0
    31.07.2020 01:55:00
    Можешь поделиться экспортом настроек файрвола (и фильтров, и правил NAT)? Возможно, ты делаешь dst-nat для DNS-запросов с WAN стороны в правилах NAT и разрешаешь пакетам с dst-nat в фильтрах. Твой WAN-интерфейс добавлен в список интерфейсов WAN (WAN interface-list)?
     
     
     
    anav
    Guest
    #4
    0
    31.07.2020 02:00:00
    Неправильный ход, приятель! В стандартных правилах уже есть правило, которое сразу останавливает эту ерунду. Скорее всего, роутеры были скомпрометированы по другим причинам, а указанная проблема была только симптомом.

    /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
    add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
    add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN  
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec  
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec  
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related  
    add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
     
     
     
    vecernik87
    Guest
    #5
    0
    31.07.2020 03:30:00
    В стандартной конфигурации есть универсальное правило для сброса пакетов. Вам не должны быть нужны эти отдельные правила для сброса. Если они вам нужны, значит, у вас явно не хватает какой-то важной части (возможно, вы или кто-то другой её удалили). Чтобы проверить оригинальную, неизменённую defconf, выполните команду /system default-configuration print.

    Среди многих остальных строк вы должны увидеть следующее (экспортировано из версии 6.47.1):

    /ip firewall {
      filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
      filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
      filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
      filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
      filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
      filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
      filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
      filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
      filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
      filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
      filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
    }

    Как видите, в 6-й строке (5-е и последнее правило для цепочки input) сбрасываются все пакеты, которые приходят не из LAN. Насколько мне известно, это правило всегда там было. Если в вашей default-configuration этого нет, пожалуйста, выложите ПОЛНЫЙ результат команды, а не только часть.

    Если в default-configuration это есть — значит, критическое правило каким-то образом было удалено из вашей текущей конфигурации. В таком случае я настоятельно рекомендую надёжно защитить маршрутизатор или даже полностью переустановить его с нуля.
     
     
     
    Jotne
    Guest
    #6
    0
    31.07.2020 04:42:00
    Всем привет. Посмотрите на дату этой темы. По какой-то причине alfred998 ответил в теме, которой полтора года. При этом m4rk так и не разместил свою конфигурацию. Похоже, он увидел это и просто ушёл из темы.
     
     
     
    vecernik87
    Guest
    #7
    0
    31.07.2020 05:27:00
    facepalm, глупец я. Всегда забываю проверить gravediggers.
     
     
     
    jprietove
    Guest
    #8
    0
    31.07.2020 08:09:00
    Думаю, тебе стоит почитать https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router, особенно раздел про DNS Cache. Там подробно объясняется всё, что нужно учесть, прежде чем открывать доступ к своему роутеру из Интернета.
     
     
     
    Страницы: 1
    Читают тему
    +7 495 320-55-52
    info@mikrotik.moscow
    Электрозаводская, Бауманская
    Москва, ул. Бакунинская, 84с21
    Конфиденциальность Оферта
    © 2026 «Mikrotik.Moscow»
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры