Январь 14

Mikrotik. Высокая загрузка CPU или DNS-spoofing.

Высокая загрузка CPU в устройствах Mikrotik зачастую есть результат ответственности Микротика к dns-запросам.

Однако, большая часть запросов прилетает извне локалки, и отвечать на них не нужно.

Открываем Winbox, переходим System → Resources и смотрим загрузку процессора:

Уточняем службу, нагружающую CPU, идем Tools → Profile:

В нашем случае — это точно служба DNS.

По умолчанию, внешним интерфейсом назначают ether1. Проверим, какое количество пакетов прилетает на 53 порт — идем Tools → Torch:


Вариант 1.

Идем IP → Firewall → Filter Rules, добавляем два правила:

1. Все IP – адреса на интерфейсе ether1, пакеты с которых приходят на 53 порт помещаем адресный лист с именем dns- spoofing на 1 час. Во вкладке General указываем следующие параметры:

  • Chain = input — обрабатываем приходящие пакеты
  • Protocol = UDP — нас интересуют пакеты, у которых в качестве транспорта используется UDP
  • Dst. Port = 53 — портом назначения должен быть 53 порт, то есть DNS служба
  • In. Interface = ether1 — проверка подвергаются все пакеты, которые приходят на интерфейс ether1, который смотрит в публичную сеть.

Переходим во вкладку Action:

  • Action = add src to address list — в качестве действия, мы будем добавлять IP – адрес источника в специальный лист
  • Address List = dns spoofing — указываем имя листа, в который добавляем IP
  • Timeout = 01:00:00 — добавляем на 1 час.

2. Каждый IP – адрес на интерфейсе ether1, с которого будет поступать запрос на 53 порт, будет проверяться на предмет нахождения в списке dns spoofing . Если он там есть, мы будем считать, что это DNS – спуфинг с частотой реже чем раз в час и будем дропать данный пакет.

General идентичны первому правилу:

  • Chain = input — обрабатываем приходящие пакеты
  • Protocol = UDP — нас интересуют пакеты, у которых в качестве транспорта используется UDP
  • Dst. Port = 53 — портом назначения должен быть 53 порт, то есть DNS служба
  • In. Interface = ether1 — проверка подвергаются все пакеты, которые приходят на интерфейс ether1, который смотрит в публичную сеть.

Вкладка Advanced:

  • Src. Address List= dns spoofing — указываем производить проверку приходящего пакета на предмет нахождения в указанном листе.

Вкладка Action:

  • Action = drop — если IP – адрес пакета есть в указанном списке, то дропаем этот пакет.

Перемещаем правила повыше, проверяем на вкладке IP → Firewall → Address Lists наличие адресов в адресном листе, Проверяем загрузку CPU.


Вариант 2.

Идем IP → Firewall → Filter Rules, добавляем одно правило:

1. Все IP – адреса на интерфейсе ether1, пакеты с которых приходят на 53 порт, дропаем. Во вкладке General указываем следующие параметры:

  • Chain = input — обрабатываем приходящие пакеты
  • Protocol = UDP — нас интересуют пакеты, у которых в качестве транспорта используется UDP
  • Dst. Port = 53 — портом назначения должен быть 53 порт, то есть DNS служба
  • In. Interface = ether1 — проверка подвергаются все пакеты, которые приходят на интерфейс ether1, который смотрит в публичную сеть.

Переходим во вкладку Action:

  • Action = drop — указываем, что дропаем этот пакет.

Перемещаем правила повыше, проверяем на вкладке IP → Firewall → Address Lists наличие адресов в адресном листе, Проверяем загрузку CPU.

 


Метки:
Copyright 2019. All rights reserved.

Опубликовано 14.01.2019 Control в категории "Сети. LAN. Wi-Fi.