Обратите внимание на это правило NAT add action=dst-nat chain=dstnat comment="REDIRECT 2" dst-address=95.31.245.110 \ dst-port=18000-18059 protocol=udp to-addresses=192.168.88.6 to-ports=\ 18000-18059 Пакет идет за роутер
Доброе утро , на данный маршрут стоит ограничение трафика до 10mb, я смог выяснить что трафик высылает сам микротик . Запрос идёт на пул адресов dns по всему миру и запросов очень много аж канал перекрывают. Есть подозрение на то что этот пул микротик получает от провайдера я отключил автоматическое получение dns и запустил статический через микротик. Пока проблемы не обнаружено , тестирую.
Здравствуйте, а почему этим правилом ничего не решить. У топикстартера 2 правила - первое заносит всех флудеров в список, а второе блочит(дропает) всех флудеров из списка. А в предложенном(исправленном) варианте просто сразу блочит(дропает). Я не пойму какая разница , если будет работать и так и так. Вот у меня еще доп.вопрос. я сделал по первому варианту с 2 правилами - но при этом атаки не заканчиваются. т.е. они дропаются - но не перестают ломиться. за день список пополняется на несколько сотен а то и тысяч ip.
Потому, что те кого вы блочите это не те кто ВАС атакует, а те кого ЧЕРЕЗ ВАС атакуют. То есть вы являетесь усилителем атаки типа Open DNS Resolver. Смысл атаки в попытке загрузить канал жертвы флудом, через тех у кого открыт DNS. Принцип атаки. 1. Создать или найти где-то длинную запись в DNS (можно типа TXT например) 2. Найти открытый DNS (например Mikotik) 3. Послать на DNS из пункта 2 запрос на получение записи из пункта 1, но в качестве адреса отправителя отправить адрес жертвы 4. Так как протокол UDP, то контроля сессии нет и жертва получит в свой канал сколько-то байт трафика. Смысл этой атаки - тратя очень мало трафика у себя, создать поток трафика в канал жертвы. (или на UDP-шный сервис жертвы, что тоже неплохо).
Илья, спасибо, что наши время ответить. т.е. получается всё таки надо использовать втрое правило из примера ( ip firewall filter add chain=input action=drop in-interface=wan protocol=udp dst-port=53 log=yes log-prefix=query_in_drop), чтобы избавиться от этой проблемы ? просто если набрать в гугле dns flood mikrotik то большинсвто примеров будет как раз с адресс листом и последущей блокировкой, поэтому и применил этот приём. А он оказывается и не такой уж рабочий
