SKFREE
Hardware - Utoky DoS a filter BCP140
Levian - 16.07.2014 - 22:18
Post subject: Utoky DoS a filter BCP140
Nazdar pani!
Mam jeden problem na sieti kedy z mojej IP adresy na mikrotiku idu DoS utoky na DNS servre mojho ISP. Zakaznici su za NATkom takze neviem kto to je. Moj ISP mi doporucil aplikovat pravidlo BCP140. Googlil som ako to nakonfigurovat na mikrotiku ale nenasiel som co potrebujem. Vie to mikrotik vobec riesit ? Pripadne co by ste mi doporucili? Predpokladam ze cisco switch. Kam ho treba nasadit, na wan alebo do lan, konfiguracia ako router alebo switch ? Na lanke mam Catalist 3750 ale myslim ze tato nevie filter BCP140 robit. Ci ano ?
kemper - 17.07.2014 - 12:38
Post subject:
Mas zablokovany port 53 z vonku ?
Levian - 17.07.2014 - 13:22
Post subject:
Jasne, 53 je bloknuty. To bolo ako prve.
pepo - 17.07.2014 - 14:40
Post subject:
Levian wrote: Jasne, 53 je bloknuty. To bolo ako prve.
Ale ked tam mas mikrotik co ti brani zistit kto ti to robi? vylistuj si 53 a hotovo.
JOFO - 17.07.2014 - 15:40
Post subject:
alebo si mozes rovno nastavit natvrdo limit DNS requestov na IPcku za sekundu a bude pokoj.. taktiez pomoze bloknut velke DNS requesty. Ked idu z nejakej IPcky DNS requesty v 1,5kb paketoch tak to asi nebude bezny trafik 
Levian - 18.07.2014 - 08:56
Post subject:
IP DNS servra nieje moja akdresa (moj mikrotik) ale ip adresa u mojho providera. Ja na sieti problem nemam, problem ma moj ISP s tym ze z mojej siete idu utoky na jeho DNS servre a vytazuju ho na 70% Preto blokol pristup mojim verejnym IP k jeho servrom. Vidim ja vobec niekde tento trafic kedze adresovane to je priamo na neho ? v Connections sa jeho IP adresa DNS servra nenachadza.
Toto mam aplikovat, ako ?
http://tools.ietf.org/html/bcp140
Chalan - 18.07.2014 - 16:06
Post subject:
bud mi sibe alebo som prepracovany ale podla mojho nazoru, ak ide z tvojej siete utok na dns tvojho providera problem mas v prvom rade ty a nie tvoj provider... okrem toho ak ti to leze cez tvoju gw co je mk tam to predsa musis vidiet...
JOFO - 18.07.2014 - 17:51
Post subject:
presne tak.. ak tam mas mikrotik, tak si torchom pozri co ti lezie od klientov cez udp 53. Dropuj velke DNS requesty a pripadne nastav si aj rate a bude pokoj.. Ja som mal tiez taky problem, ale par pravidiel vo fw to hravo vyriesi
Express - 18.07.2014 - 20:33
Post subject:
JOFO wrote: presne tak.. ak tam mas mikrotik, tak si torchom pozri co ti lezie od klientov cez udp 53. Dropuj velke DNS requesty a pripadne nastav si aj rate a bude pokoj.. Ja som mal tiez taky problem, ale par pravidiel vo fw to hravo vyriesi
vsak mu sem daj tie pravidla a bude pokoj ako pises
Levian - 18.07.2014 - 22:11
Post subject:
Cez torch na port53 je TX Rate do 1000bps, Obcas sa objavi aj 2000bps ale len vynimoecne aj to z viac IP. RX rate je max 400bps
JOFO - 19.07.2014 - 00:33
Post subject:
skus zakazat DNS vonku a redirektni vsetky DNS requesty na DNS poksytovatela.
Vo firewalle daj do filtra taketo nieco
Code: chain=forward action=drop protocol=udp src-address-list=!Lokalka dst-port=53
Kde v liste "Lokalka" su vsetky subnety, ktore pouzivas. Toto ti odfiltruje DNS bordel na GW. V NATe uz len daj na zaciatok redirekt UDP 53 na IPcku DNS servra a hotovo.. Jednak odfiltrujes bordel a zaroven poriesis situacie, ked si zakaznik nastavi sam blbe DNS alebo mu to prestavi dajaky virus.. Moze si potom nastavit akukolvek IPcku a DNS mu pobezi aj tak
Chalan - 19.07.2014 - 09:00
Post subject:
ale co firemny klienti ktory maju vlasnte dnska atd...
JOFO - 19.07.2014 - 10:22
Post subject:
samozrejme v pripade firemnych sa to neredirektuje a mozu si pouzivat co chcu. Su si za to ale sami zodpovedni. Z domacich zakaznikov sa zatial nik na to nestazoval.. Bezny clovek nema niekde na nete svoje DNS servre a vsetky requesty sa resolvuju rovnako.
midnight_man - 20.07.2014 - 12:47
Post subject:
Chlapi, ak niekomu vytazujem na 70% DNS server tak za 1. v connections okamzite musim vidiet skade to ide, kedze to nebude 1-2 spojenia. Treba spolupracovat s majitelom DNS nech poskytne vypis z conntracku jeho servera, ktore spojenia ho vytazuju (vypis).
V poslednom rade, ty ako admin siete musis poznat svoju topologiu tak aby si vedel urcit ktora verejna IP adresa ide kam....a na maine ktora robi NAT vies vylistovat priamo zakaznikov ktory posielaju takyto bordel. Je mala pravdepodobnost ze to robi viac zakaznikov naraz. Inac toto su velmi velmi zakladne veci.
Chalan - 20.07.2014 - 15:25
Post subject:
Express wrote:
JOFO wrote: presne tak.. ak tam mas mikrotik, tak si torchom pozri co ti lezie od klientov cez udp 53. Dropuj velke DNS requesty a pripadne nastav si aj rate a bude pokoj.. Ja som mal tiez taky problem, ale par pravidiel vo fw to hravo vyriesi
vsak mu sem daj tie pravidla a bude pokoj ako pises
express ty aj zijes?
Levian - 23.07.2014 - 01:53
Post subject:
Dik JOFO, tvoje pravidlo funguje ako presne tak ako pises. Pomohol si tak ako vzdy 
JOFO - 23.07.2014 - 09:35
Post subject:
som rad
mal som podobny problem a zistil som, ze sa to snezi maskovat sa za rozne IPcky mimo pouzitych subnetov. Po zakazani ostatnych subnetov na lokalke to prestalo. Radsej som ale spravil redirekt aby som to poistil...
Levian - 23.07.2014 - 13:04
Post subject:
u mna zas dotazy na dnsko mali rozne IPcky alebo vobec nemali zdrojove adresy.
JOFO - 23.07.2014 - 13:11
Post subject:
taktiez dropujem vsetky invalid spojenia resp vsetko okrem established a related, nech mi tam nelezie bordel..