DoS (отказ в обслуживании) атаки могут привести к перегрузке маршрутизатора. Это означает, что загрузка процессора возрастает до 100%, а маршрутизатор может стать недоступным.
Вообще нет идеального решения для защиты от атак DoS. Каждый сервис может стать перегруженым от слишком дольшого колличества запросов. Но есть некоторые методы для сведения к минимуму последствий атаки.
Установить более мощный маршрутизатор или сервер.
Расширить входящий канал.
Уменьшите количество правил брандмауэра, очереди и другие действия обработки пакетов
Отслеживание пути атаки и блокировать его ближе к источнику (на стороне вышестоящего провайдера).
Диагностика DoS атаки на роутере миротик. (TCP SYN flood)
Проверяем не слишком ли много связей с SYN-SENT настоящее время?
/ip firewall connection print
Проверфем не слишком ли много пакетов в секунду происходит через интерфейс?
/interface monitor-traffic ether2
Проверяем загрузку процессора 100%?
/system resource monitor
Проверяем колличество подозрительных соединений.
/tool torch
Защита от таких атак.
Лимит входящих соединений.
Если с одного IP адреса подключений больше лимита, то этот IP попадает в "черный список" и в дльнейшем блокируется.
/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d
Где LIMIT - максимальное количество соединений в определенного IP. Предел должен быть от 100 и выше, так как многие услуги, используют несколько соединений (HTTP, Torrent, и другие P2P-программы).
Опция tarpit
Вместо того чтобы просто удалять пакеты атакующего, маршрутизатор может захватить и удерживать соединения и с достаточно мощным маршрутизатором это может замедлить скорость атаки.
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit
SYN Фильтрация
Некоторые расширенные возможности фильтрации может влиять на состояние пакетов TCP.
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no
«syn limit = 400" является лимитом пакетов, просто включите правило в цепочке первым для пакетов SYN, чтобы пакеты удалялись (для избежания чрезмерного количества новых подключений)
SYN cookies
/ip firewall connection tracking set tcp-syncookie=yes
Комментариев нет:
Отправить комментарий