среда, 3 апреля 2013 г.

Защита от DoS атак на роутерах Mikrotik и Router OS


DoS (отказ в обслуживании) атаки могут привести к перегрузке маршрутизатора. Это означает, что загрузка процессора возрастает до 100%, а маршрутизатор может стать недоступным.

Вообще нет идеального решения  для защиты от атак DoS. Каждый сервис может стать перегруженым от слишком дольшого колличества запросов. Но есть некоторые методы для сведения к минимуму последствий атаки.

Установить более мощный маршрутизатор или сервер.
Расширить входящий канал.
Уменьшите количество правил брандмауэра, очереди и другие действия обработки пакетов
Отслеживание пути атаки и блокировать его ближе к источнику (на стороне вышестоящего провайдера).

Диагностика DoS атаки на роутере миротик. (TCP SYN flood)



Проверяем  не слишком ли много связей с SYN-SENT настоящее время?

/ip firewall connection print

Проверфем не слишком ли много пакетов в секунду происходит через интерфейс?

/interface monitor-traffic ether2

Проверяем загрузку процессора 100%?

/system resource monitor

Проверяем колличество подозрительных соединений.

/tool torch

Защита от таких атак.


Лимит входящих соединений.


Если с одного IP адреса подключений больше лимита, то этот IP попадает в "черный список" и в дльнейшем блокируется.
/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32  \
action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d 

Где LIMIT - максимальное количество соединений в определенного IP. Предел должен быть от 100 и выше, так как многие услуги, используют несколько соединений (HTTP, Torrent, и другие P2P-программы).

Опция tarpit

Вместо того чтобы просто удалять пакеты атакующего, маршрутизатор может захватить и удерживать соединения и с достаточно мощным маршрутизатором это может замедлить скорость атаки.


/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit 


SYN Фильтрация

Некоторые расширенные возможности фильтрации может влиять на состояние пакетов TCP.


/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no

«syn limit = 400" является лимитом пакетов, просто включите правило в цепочке первым для пакетов SYN, чтобы пакеты удалялись (для избежания чрезмерного количества новых подключений)


SYN cookies

/ip firewall connection tracking set tcp-syncookie=yes





Комментариев нет:

Отправить комментарий