DDOS on static IP

[healer]

меня DNS Amplification ddosят.
вроде поотрезАл по лимиту)

А чего не забанил входящий из тырнета трафик по tcp и udp?

[pinkmouse]

теперь баню)) по лимиту соединений.

[healer]

теперь баню)) по лимиту соединений.

на 53-й порт?

[pinkmouse]

да. но с канал один х. забивается.

[rybeg]

меня DNS Amplification ddosят.
вроде поотрезАл по лимиту)
но разок прорвалось) видно на скрине.
ещё и SYN-флуд добавлен норм.
и инвалидов куча на входе)

Наверное не тебя доссят, а от тебя пытаются, пару раз уже встречал, на белый IP поток запросов на 53 порт ( при чем нестандартных),
просто блокировал входящие на 53, можно конечно и через фильтр гонять и блокировать по ip ( на хрена мне быть dns серваком, я не хостер ), через пару дней поток иссякал.

[pinkmouse]

rybeg,

[pinkmouse]

вот за сутки. пока работаем норм.
http://joxi.ru/D2PBDMVIqePYr3

[Den_S]

pinkmouse, А зачем ты 53 порт вывалил наружу?

[pinkmouse]

в микротике дефолтом открыт.

[Den_S]

pinkmouse, А чего файрвол не настроил? У меня всегда два нижних правила это input-drop и forward-drop, ну а выше разрешаешь что нужно)

[pinkmouse]

дык. дефолты были.
теперь ассепты внизу)
дропы вверху.

[bsnox]

тогда дропы будут перекрывать аццепты

[pinkmouse]

bsnox, всё строго. и неканонично))
иначе вообще жопа. Сначала дропаем, потом ассептаем)

зы. уже сбрасывал и с 0 строил файр.
6.22 \хилер, на 5-ке один Х\

ззы Есть кто на Ростеле на адсл статике?

[pinkmouse]

bsnox, и дропы на инвалидов только.

[bsnox]

bsnox, и дропы на инвалидов только.

так бы и говорил.
Просто то, что выше выполняется первее, если пройдет дроп по пакету, то аццепта не будет.

[bsnox]

Но ИМХО, Den_S имел ввиду, что дропать всё, а разрешать только то, что нужно.

[pinkmouse]

bsnox, )) не учи. зенаю. микротик)
всё дропать не могу) у илиты маки....\там писечки не работают, там рюшечки не кажуть... ПОУБИВАВ-бы\

[pinkmouse]

мож оттуда ножки растут?!

[bsnox]

Да яка разница, хоть макаки, протоколы передачи то не маков, тебе извне на инпут/форвард НЕ established/related сильно много правил надо?

[pinkmouse]

хм. на НЕ. соббсно и est/rel in/for)
всё лишнее дропает. яж сказал... инвалиды нах..
даж out и те дропаю.

[bsnox]

Необходимый минимум, КМК

[pinkmouse]

спсб. интерфейсы пропишу, а то нек. просто ассептают.
НО. Дропы стоят выше. что проходит, то явно кака...
я дропы выше поднял.

[bsnox]

Ну видишь, у меня дропается всё, а правила выше, необходимый минимум для работы интернетов изнутри, в таком случае, зачем дропать что-то выборочно?

[pinkmouse]

дык не выборочно... просто с мобилы сижу. ща за ББ сяду, скину..

[pinkmouse]

bsnox, вот.
http://joxi.ru/gmveqQ6Iq35Xra

[pinkmouse]

это с 12 по мск счётчики.

[bsnox]

Я так и не пойму этой порнографии...
Сделай в самом низу input drop и forward drop, и вся эта красная борода сверху будет валиться тудой
ну и будет не хватать только форварда из локалки в интернеты + днс сервер

[pinkmouse]

bsnox, про днс подробнее плз.
вижу что оттуда тянет.
мож не туда читаю?
ткни в вики.
заранее спасиб)

[rybeg]

bsnox, про днс подробнее плз.
вижу что оттуда тянет.
мож не туда читаю?
ткни в вики.
заранее спасиб)

А смысл через листы дропать трафик, если потом, через некоторое время не чистить их, уж очень мудрено настроен файрвол,
я просто ставил дропать все входящий udp на 53 порт и все, плюс проверяю на syn flood и другие атаки ( выкидываю без листа) . И все службы работают,мне запросы dns не нужны.
Эти атаки уже давно идут, встречал и на билайне и на ситиклоне (белый IP).

[pinkmouse]

дропы на час) 50\сек по 53 порту.
syn - стоит
..другие... из вики?
если 100% дропаю 53, то инета Х.
....или нести правило вниз?