RouterOS遭受到DNS攻擊

shiori
個人積分：80分
文章編號：49052759

80分

樓主

2014-03-10 15:27

今天公司的同事在抱怨公司的網路變的很慢，
使用WinBox登入RouterOS後發現CPU使用率是100%，
透過Tools>Profile後發現DNS的使用率高達90%以上，

公司內沒有自建的DNS Server，
所以DHCP的DNS是指向RouterOS,
而RouterOS只做DNS Cache對ISP的DNS。

嘗試在Firewall將所有非本地端的IP port53 udp drop掉之後
發現每秒有200K的DNS流量在這個規則上...
Bingo! 中獎了.

加上這條規則後流量就正常了.
分享給有一樣問題的朋友們.

2014-03-10 15:27 發佈

文章關鍵字 RouterOS DNS攻擊

ir1166

ir1166
個人積分：70分
文章編號：49053362

70分

2樓

2014-03-10 16:01

感謝大大分享!!
受益良多 100分

shiori wrote:
今天公司的同事在抱怨...(恕刪)

oashin

oashin
個人積分：6分
文章編號：49055537

6分

3樓

2014-03-10 18:16

我也中獎了....請問您有關Firewall的詳細設定為何? 謝謝

shiori wrote:
今天公司的同事在抱怨...(恕刪)

pctine

pctine
個人積分：5084分
文章編號：49055904

5084分

4樓

2014-03-10 18:45

oashin wrote:
我也中獎了....請...(恕刪)

樓主已有提示, 做法很多, 例如:

/ip firewall filter
add action=drop chain=input comment="DNS Query" dst-port=53 protocol=udp \
src-address=!192.168.38.0/24

FB: Pctine

oashin

oashin
個人積分：6分
文章編號：49058560

6分

5樓

2014-03-10 22:02

感謝 shiori & pctine 大，雖知道shiori有明顯提示，但是小弟就深怕設定錯誤。

請問來源IP前面金嘆號用意是? src-address=!192.168.38.0/24

有沒有設定 ! 好像有差....

pctine wrote:
樓主已有提示, 做法...(恕刪)

m814

m814
個人積分：22分
文章編號：49059247

22分

6樓

2014-03-10 22:42

oashin wrote:
感謝 shiori ...(恕刪)

src-address=!192.168.38.0/24

來源位址除了192.168.38.0網段

calven.lai

calven.lai
個人積分：5分
文章編號：49099021

5分

7樓

2014-03-13 1:56

如果是二個網段，該如何設定?

shiori wrote:
今天公司的同事在抱怨...(恕刪)

derliang

derliang
個人積分：1143分
文章編號：49099978

1143分

8樓

2014-03-13 7:58

calven.lai wrote:
如果是二個網段，該如...(恕刪)

可以用Address List的功能。
例如設定LAN IP為192.168.1.0/24以及192.168.2.0/24
然後再對LAN IP做規則設定。

因為防火牆規則是由上比對到下。
所以也可以用笨一點的方法，設三條規則。
第一條是允許192.168.1.0/24使用DNS
第二條是允許192.168.2.0/24使用DNS
第三條是不允許所有的IP使用DNS。

irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!

cooldiddy

cooldiddy
個人積分：0分
文章編號：55666010

0分

9樓

2015-05-05 22:12

shiori wrote:
今天公司的同事在抱怨...(恕刪)

pctine wrote:
樓主已有提示, 做法...(恕刪)

感謝shiori & pctine 兩位大大分享～
終於抓到不明原因流量狂飆的元兇了～
上網google了一下，這個 port53 DNS的攻擊好像很常見

希望 pctine 大也能在您那篇
[研究所] MikroTik RouterOS 學習 (持續更新)

可以幫忙介紹一下，造福大眾～感謝～