Ola galera,
Algum tempo atras estava com um serio problema aqui na rede que gerencio, estava recebendo muitas reclamações de que a internet andava meio lenta, caindo, ao monitorar o servidor Mikrotik descobri que na interface de entrada havia muito trafego de upload, muito mais do que realmente estava sendo utilizado pelos clientes, e desde então venho tentando resolver, até que hoje consegui a solução para regularizar esse consumo, descobri através de um tutorial no YouTube que indicava que poderia ser a porta 8080, mas como não uso proxy interno não era esse o problema, então fui monitorar o torch da interface e descobri que o intenso trafego vinha pela porta 53, que é a utilizada para resolver nomes DNS, fiz um escaneamento de portas externas usando o a ferramenta do Guia do CFTV - >Clique Aqui< e obtive o seguinte resultado:
Desativei a opção:
e então a porta se tornou fechada, mas com eu preciso de um cache de DNS interno eu não posso desativar, foi então que criei uma regra em IP > FIREWALL > FILTER RULES conforme abaixo:
É interessante bloquear alem do UDP, também o protocolo TCP.
É importante frisar que em IN INTERFACE, deve ser declarada a porta de entrada do seu link, ou seja, a porta onde é ligado o cabo de onde vem a internet, se você colocar a porta de saída (a que vai para seus clientes) a regra vai bloquear os pedidos de DNS deles e eles não vão conseguir navegar, se você colocar qualquer outra porta, a regra não vai funcionar, então preste bastante atenção nesse detalhe.
Olhem como fica alta a quantidade de pacotes bloqueados:
Lembrando que isso não é normal e nem deve ser, uma vez que você não tenha nenhum servidor Publico de DNS na sua rede.
Isso acontece principalmente com quem possui ip válido, pois alguém consegue ver que esse ip possui um serviço de DNS ativo e passa a utilizá-lo, isso faz com que seu servidor fique vulneravel a ataques externos, e enfatizo que essa regra não prejudica nada na rede interna pois ela bloqueia somente as requisições vindas pela porta declarada na In Interface da regra criada.
Espero que seja útil a mais alguém.
Obrigado e até a próxima.
Vlws
Respostas
Coloquei aqui esta regra e o tráfego em Statistics foi de 480p/s.
Acompanhando.
Amigo, está meio alto esse trafego seu hein, confere se não esta bloqueando o DNS interno também.
Para saber se esta bloqueando o DNS interno vai em um cliente e coloca o IP do seu servidor no DNS da placa de rede dele e tenta pingar em algum domínio, por ex. "www.google.com.br", se obter resposta está tudo Ok, mas se ele reportar que não conseguiu encontrar o endereço, tenta desabilitar a regra e testar novamente.
Espero ter ajudado.
ATT
Nelson José da Silva Filho disse:
Teste foi foi. Tudo ok. Obrigado pela dica.
regra boa pois dropa o DNS na interface de link, mais desativando o allow remote requests provedores que usam esse DNS do MikroTik ( maioria ) para seus clientes iram parar a navegação deles, se não usa pode desativar e não precisa nem da regra pois o DNS do MikroTik não irá liberar mais requisições...
Exatamente Pedro, como aqui uso o DNS interno para alguns domínios estáticos internos, não poderia desativar a opção Allow Remote Request, e me vi forçado a bloquear via regra mesmo, não pesa para a RB, ou pelo menos evita processamento desnecessário, vi uma ótima melhoria na rede após fazer isso.
Pedro Filho disse:
Amigo, só me cadastrei para agradecer sua dica, pois, estava sofrendo exatamente este ataque provindo da porta 53 (meu DNS que estava recursivo) onde estavam aproveitando-o para ataques externos, DDos dentre outras coisas... Ao dropar meu upload normalizou e não tenho tido mais dores de cabeça!
Obs. Uso MK para uso pessoal, trabalho em um provedor de internet, mas o uso do Mikrotik é para facilitar minha gerência no trabalho e além de também servir para estudos!
Valeu!
Amigo, é um imenso prazer saber que minha dica foi útil a você, muito obrigado por seu comentário, pessoas como você ajudam pessoas como eu a terem motivos para ajudar e distribuir conhecimento, rsrs obrigado por agradecer, assim como você, eu tive dores de cabeça com isso, mas como disse, através de outras ajudas consegui resolver o meu problema, e compartilho o meu aprendizado, Valeu, e seja bem vindo ao MK-AUTH.
Pedro Oliveira disse:
Como pode ver, desde quinta feira estava sofrendo este ataque! O que eu achei mais engraçado, é que como trabalho em um provedor, recebo sempre emails do Nic ou Cert com endereços de IPs que estão desferindo ataques de DDNS ou DDos (botnets) e geralmente eu oriento a equipe de suporte a entrar em contato com o cliente para mitigar a situação realizando os bloqueios... Porém, eu relaxei e não me atentei que em um dos meus ips dedicados, não havia criado regra para dropar a porta 53 para acesso externo! kkkkkkkkkkkkkkk
Mas paciência, é vivendo e aprendendo! :)
com certeza amigo, ataques são uma dor de cabeça a mais ao provedor...
EUDES SNIPS disse:
-
1
-
2
-
3
-
4
-
5
de 6 Próximo