+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как ограничить или защититься от DNS-атак В этой статье я расскажу, как защитить свою сеть от атак на DNS. DNS-атаки – это серьезная проблема, которая может привести к нарушению работы ваших сервисов и приложений. Существует несколько видов DNS-атак, и

Как ограничить или защититься от DNS-атак В этой статье я расскажу, как защитить свою сеть от атак на DNS. DNS-атаки – это серьезная проблема, которая может привести к нарушению работы ваших сервисов и приложений. Существует несколько видов DNS-атак, и, RouterOS

karo84 Guest	#1 0 14.11.2007 19:09:00 Как защититься от DNS-атак с помощью UDP 53 порта. Как ограничить по адресу источника.

sergejs Guest	#2 0 05.12.2007 07:59:00 Можно использовать файрвол для фильтрации пакетов, предназначенных для 53 порта. Используйте цепочку=input, чтобы защитить ваш роутер. Используйте цепочку=forward, чтобы защитить клиентов.

balimore Guest	#3 0 05.12.2007 12:55:00 Привет, дружище! Да, мы разрешили использовать только приватные DNS, и наш клиент не может использовать DNS своего провайдера... Здорово, как и предлагал Сергеж, я этим занимаюсь уже 2 года. С уважением, Hasbullah.com

karo84

Guest

05.12.2007 13:11:00

Да, я понимаю, у меня настроены правила файрвола, и они работают нормально, но мне нужно как-то ограничить DNS-запросы. Иногда я вижу, что DNS не работает на моем роутере (ROS 2.9.50), когда я перезапускаю интерфейсы, вижу, что кто-то из моих клиентов атакует (DNS UDP порт 53 – очень много запросов). Как можно решить эту проблему, или, может быть, вы можете дать скрипт, чтобы блокировать такого клиента на время? Спасибо.

С уважением,
Карапет Азнавурян.

sergejs

Guest

05.12.2007 13:57:00

Укажите, что именно нужно заблокировать. Вы можете заблокировать весь трафик этого пользователя через файрвол по цепочке chain=forward, или весь трафик, направленный на роутер, по цепочке chain=input. Также можно заблокировать DNS-трафик от этого пользователя через роутер по цепочке chain=forward или весь DNS-трафик, направленный на роутер, по цепочке chain=input.

balimore

Guest

05.12.2007 14:14:00

Привет ещё раз, нет, думаю, достаточно без каких-либо скриптов, и у меня было 2 правила на этот счёт. src-address=!my_isp_address_list protocol=udp action=drop port=53 chain=input dst-address=!my_private_dns protocol=udp port=53 action=drop chain=forward, и у меня есть ещё правила такого рода для центрального NTP [port=123] тоже. С уважением, Hasbullah.com.

Chupaka Guest	#7 0 05.12.2007 15:10:00 Вы можете использовать фильтр ‘limit’ в правилах брандмауэра, чтобы ограничить скорость пакетов, или использовать очередь для DNS-запросов.

hattmardy Guest	#8 0 05.12.2007 23:22:00 Может, это поможет: http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_(FTP_%26_SSH) ? -Matt

karo84

Guest

05.12.2007 23:59:00

Чюпака, может, ты можешь привести примеры, как использовать ограничение DNS? Я был бы очень рад их увидеть. Сейчас я пытаюсь ограничить их по следующему /ip firewall filter:

add chain=input action=accept dst-port=53 protocol=udp limit=2400/1m,5 comment="limited dns" disabled=no
add chain=input action=accept dst-port=53 protocol=udp comment="allowed dns" disabled=no

Мне нужно что-то вроде этого, можешь помочь?

Chupaka Guest	#10 0 06.12.2007 01:31:00 /ip firewall filter добавить chain=input action=accept dst-port=53 protocol=udp limit=2400/1m comment="ограниченный DNS" disabled=no добавить chain=input action=drop dst-port=53 protocol=udp comment="остальные в ад" disabled=no

elsereturn Guest	#11 0 15.01.2014 09:28:00 Зарегистрировался, чтобы поблагодарить тебя, Chupaka! Это мне реально помогает.

kozmonov Guest	#12 0 05.07.2014 17:07:00 Если использовать chain=forward; не заблокирует ли это DNS-запросы клиентов, если они решат использовать публичный DNS? Как можно реализовать защиту от DNS-атак на CPE клиентов с основного роутера?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры