LINUX.ORG.RU
ФорумTalks

Зачем кому то стучаться в мой 53 UDP?

 ,


0

2

Сегодня столкнулся с проблемой, что тормозит интернет на работе.

Выяснил, что Mikriotik занимающийся пересылкой DNS запросов жутко занят.

Первое предположение оказалось верным.

Добавил такое правило

add action=drop chain=input comment="block external DNS requests" \
    dst-address-list="WAN List" dst-port=53 protocol=udp

Нагрузка спала, интернет тормозить перестал.

За 3 часа набежало 11000000 пакетов по этому правилу и 700 метров трафика.

Что творится с этом миром?

Если бы тебя не существовало, то тебя стоило бы выдумать.

vvn_black ★★★★★ ()

Китайские «кулхацкеры», сэр. Ну или кто-то решил фирму проверить на предмет халявных личных данных.

Korchevatel ★★★★ ()

What is the difference between authoritative and recursive DNS nameservers?

vvn_black ★★★★★ ()

Когда уже тебя переведут в запасного помощника третьего заместителя младшего дворника …

gremlin_the_red ★★ ()
Ответ на: комментарий от gremlin_the_red

откуда такой пессимизм? я мгновенно решил проблему, поняв что тормозит именно обработка DNS.

Своих серверов с зонами у нас нет, поэтому никому к нам стучаться нет необходимости. вот и закрыл все нафиг

Shulman ()
Ответ на: комментарий от Shulman

откуда такой пессимизм?

Вот отсюда

Своих серверов с зонами у нас нет

но при этом

Mikriotik занимающийся пересылкой DNS запросов жутко занят

vvn_black ★★★★★ ()

и 10 лет назад было ровно тоже самое. боты сканируют все подряд ip, популярные и не очень порты

srg666 ()

Пожжи пожжи…

У тебя были открытые порты на внешнем IP? Потому что единственно верный курс – это дропать вообще всё, что приходит снаружи и не подпадает под существующие соединения или список разрешённых портов.

hateyoufeel ★★★★★ ()

зачем тебе открытый на внешку рекурсор?

leave ★★★★★ ()

Суть такова: через открытый всем ветрам рекурсивный DNS-сервер можно производить DoS-атаку на другие DNS-серверы. И по этому, как только боты обнаруживают нечто похожее на DNS-сервер, в него сразу начинают лететь запросы. И не важно, что там может быть авторитетный сервер, или еще какая-то конфигурация, похожая на dns, но по факту им не являющаяся.

Khnazile ★★★★★ ()
Ответ на: комментарий от leave

чтобы делиться радостью DNS-резолвинга с окружающим миром, очевидно же

Harald ★★★★★ ()

Зачем кому то стучаться в мой 53 UDP?

dns amplification attack

Добавил такое правило

У тебя дефолтный firewall времен 6.42? Они в более позднем дефолте починили.

Kolins ()
Ответ на: комментарий от Kolins

У тебя дефолтный firewall времен 6.42

Mikrotik OS у меня последней версии, сегодня прямо обновлял, но проблема сохранилась, да и еще 3 дня назад я про нее не знал, так как все работало.

Shulman ()
Ответ на: комментарий от Shulman

Обновление прошивки на firewall не влияет, если при перво настроке оставил дефолт, то он у тебя и будет.

Kolins ()
Ответ на: комментарий от Shulman
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input connection-state=new protocol=icmp
add action=accept chain=input connection-state=new in-interface-list=lan
add action=drop chain=input
add action=accept chain=forward in-interface-list=lan out-interface-list=lan
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward connection-state=new in-interface-list=lan
add action=accept chain=forward connection-nat-state=dstnat out-interface-list=lan
add action=drop chain=forward

Минимальный fw, только интересные листы на свои иетерфесы замени. Ну и адаптипуй особые правила, если есть.

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router тоже почтай

Kolins ()

Кто-то через тебя трафик гоняет

zgen ★★★★★ ()
Ответ на: комментарий от Shulman

В дефолтном конфиге для внаружи закрыто всё. Ты открыл специально чтоб потом героически решать проблемы?

theurs ()
Ответ на: комментарий от Shulman

не будь как девочка

Что за сексизм и гендерные стереотипы?

mertvoprog ()

Всегда было интересно почему такие как ты конфигурируют firewall, вместо того, чтобы конфигурировать конкретные сервисы. Например в Bind есть параметр конфигурации listen-on, в котором легко указать где именно ты хочешь слушать порты. Но у таких как ты там обычно прописано listen-on { any; }; по умолчанию и 100500 правил firewall.

bbk123 ★★★★★ ()
Ответ на: комментарий от mertvoprog

> не будь как девочка

Что за сексизм и гендерные стереотипы?

Ни то, ни другое. Просто дискриминация по гименному признаку.

Pavval ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)