+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

TCP-соединения из Китая

TCP-соединения из Китая, RouterOS

adm

Guest

27.05.2014 09:10:00

Сейчас на моём роутере RB750UP с MikroTik v6.10 наблюдаю атаки: устанавливаются TCP-соединения с 183.60.48.25 (Китай). В списке IP-сервисов у меня активен только порт Winbox, остальные выключены. Подключаюсь к серверу через PPTP и VPN. Эти атаки вызывают у роутера сбои: PPPoE соединения рвутся, роутер перезагружается, подключения постоянно отключаются и восстанавливаются. Есть ли простой скрипт, чтобы блокировать или сбрасывать такие подключения? Или мне нужно лучше разобраться с вики по DDoS-атакам MikroTik? Если кто-то может дать простой, но продвинутый совет — буду очень благодарен!

berry2012

Guest

12.10.2015 08:08:00

Привет, у меня похожая проблема с моим роутером cloudcore 6.32.2. Правило firewall в цепочке input для блокировки этих IP-адресов, пытающихся зайти на роутер из интернета, не работает, и я могу отследить этот IP в Connection tracking. IP адрес из Китая. Я отключил VPN настройки, а IP всё равно часто устанавливает соединения. Подскажите, как с этим покончить?

Вот лог:

oct/10 23:39:02 pptp,info TCP connection established from 183.60.48.25
oct/10 23:39:02 pptp,debug,packet rcvd Start-Control-Connection-Request from 183.60.48.25
oct/10 23:39:02 pptp,debug,packet protocol-version=0x0100
oct/10 23:39:02 pptp,debug,packet framing-capabilities=1
oct/10 23:39:02 pptp,debug,packet bearer-capabilities=1
oct/10 23:39:02 pptp,debug,packet maximum-channels=0
oct/10 23:39:02 pptp,debug,packet firmware-revision=0
oct/10 23:39:02 pptp,debug,packet host-name=
oct/10 23:39:02 pptp,debug,packet vendor-name=
oct/10 23:39:02 pptp,debug,packet sent Start-Control-Connection-Reply to 183.60.48.25
oct/10 23:39:02 pptp,debug,packet protocol-version=0x0100
oct/10 23:39:02 pptp,debug,packet result-code=1
oct/10 23:39:02 pptp,debug,packet error-code=0
oct/10 23:39:02 pptp,debug,packet framing-capabilities=2
oct/10 23:39:02 pptp,debug,packet bearer-capabilities=0
oct/10 23:39:02 pptp,debug,packet maximum-channels=0
oct/10 23:39:02 pptp,debug,packet firmware-revision=1
oct/10 23:39:02 pptp,debug,packet host-name=KVPROUTER2
oct/10 23:39:02 pptp,debug,packet vendor-name=MikroTik
oct/10 23:39:02 pptp,ppp,debug <9>: LCP lowerdown
oct/10 23:39:02 pptp,ppp,debug <9>: LCP down event in initial state
oct/11 04:29:10 pptp,info TCP connection established from 141.105.66.185
oct/11 04:29:10 pptp,debug received too big control message, disconnecting
oct/11 04:29:10 pptp,ppp,debug <10>: LCP lowerdown
oct/11 04:29:10 pptp,ppp,debug <10>: LCP down event in initial state
oct/11 08:06:05 pptp,info TCP connection established from 183.60.48.25

cdiedrich

Guest

13.10.2015 06:33:00

Я так понимаю, тебе не нужен запущенный PPtP-сервер, верно? Тогда тебе пригодится такое правило: /ip firewall filter
add action=drop chain=input comment="block PPtP scanners" connection-state=new in-interface=yourWANport dst-port=1723 protocol=tcp

Можно поменять действие на tarpit — я предпочитаю именно так, потому что это «забирает» ресурсы атакующих… Кроме того, я бы добавил в это правило больше портов (все распространённые, на которых обычно ответы от сервисов), ведь эти ребята хотят не только подключиться к PPtP, но и просканировать весь твой WAN IP.

После этого правила добавь ещё одно с drop для попыток UDP-соединений.

-Крис

dadzejson

Guest

09.08.2018 15:24:00

Извини за повтор, просто сегодня около 7 утра у меня была та же проблема... 09.08.2018 07:02:03 память pptp,info Установлено TCP-соединение с 113.96.223.207 Кто-нибудь может объяснить, что это значит, ведь у меня на роутере нет open vpn... Значит ли это, что кто-то проник в мой роутер или сеть? И поможет ли этот код избавиться от таких вещей в будущем? ИСПРАВЛЕНИЕ: Судя по всему, волноваться не о чем, это может быть просто сканирование извне.

R1CH Guest	#5 0 10.08.2018 23:09:00 Если кто-то может подключиться к этому порту, значит, ваш роутер небезопасен. Обязательно закройте все порты с WAN через файрвол.

zaqmugo Guest	#6 0 02.09.2018 18:23:00 Это должно помочь: /ip firewall filter add action=drop chain=input comment="Блокировать внешние PPTP-подключения" protocol=tcp dst-port=1723

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры