Падает lan.

trikiman · Сообщение **trikiman** » 04 мар 2020, 10:26

Почему может падать lan во время ддоса, хоть запас по цп и каналу в 3 раза больше?

Chupaka · Сообщение **Chupaka** » 04 мар 2020, 11:29

Поясните, что значит "падает". Порт отключается?

trikiman · Сообщение **trikiman** » 04 мар 2020, 11:36

Chupaka писал(а): ↑04 мар 2020, 11:29 Поясните, что значит "падает". Порт отключается?

Может быть, во время ддоса, не работает инет, и не работает локалка(файлы с компа на комп перекинуть не могу, и.т.д).

Chupaka · Сообщение **Chupaka** » 04 мар 2020, 12:17

А к роутеру доступ есть? Откуда вы знаете про "запас в 3 раза больше"?

trikiman · Сообщение **trikiman** » 04 мар 2020, 14:51

Chupaka писал(а): ↑04 мар 2020, 12:17 А к роутеру доступ есть? Откуда вы знаете про "запас в 3 раза больше"?

цп загружен во время атаки на 3 процента, атака в 150 мбит, у меня 650.
атака идет на 123 udp и в raw все рубиться. Локалка не работает(
В обще не могу понять куда копать.
могу дать доступ через винбокс в лс.
https://vk.com/triki_man
skype: triki1.00 (там колобок с кисточкой на аве)
discord: triki#8172
если поможете денег перечислю.

Chupaka · Сообщение **Chupaka** » 04 мар 2020, 17:14

Т.е. к роутеру доступ есть? А пинг ходит между машинами и роутером во всех направлениях?

trikiman · Сообщение **trikiman** » 04 мар 2020, 18:39

Chupaka писал(а): ↑04 мар 2020, 17:14 Т.е. к роутеру доступ есть? А пинг ходит между машинами и роутером во всех направлениях?

Во время атаки работает только винбокс.

Meridian · Сообщение **Meridian** » 04 мар 2020, 18:51

Всем привет.

Я непосредственный очевидец происходящего.

Итак, по порядку.

Исходные данные.

Роутер RB4011.
Аплинк через SFP, ширина канала 600 мбит/с. За роутером локалка с игровыми серверами, десяток правил проброса портов TCP и UDP. В нормальном режиме нагрузка на канал составляет 2-20 мбит/с.

Полетели DDoS-атаки с UDP-флудом шириной в 200-300 мбит/с и около 30 килопакетов в секунду.

Настроил добавление сурц-адреса в блек-лист при трафике на in-interface sfp более чем 500 пакетов/с, дропаю его в raw.

В результате на аплинке входящий поток остаётся равным ширине атаки (разумеется), в локальном бридже трафик не превышает нескольких десятков кбит/с (без этих правил трафик в локалке во время атаки составлял около 150 мбит/с).

Итог: во время атаки не работает ни передача данных в интернет/обратно, ни в пределах локальной сети. Нагрузка на процессор при этом 2-4%, иногда 8%. При этом на роутер через винбокс зайти можно.
На бридже IP firewall=disabled.

У кого есть идеи?

Meridian · Сообщение **Meridian** » 04 мар 2020, 18:54

Дополнение. В последние разы атака была только со 123 порта. Соответственно в raw дропал все UDP с сорц портом 123. Остальные списки динамические выключены. Всё равно остаётся подобная картина.

Форвардинг восстановился только после снижения объёма атаки до 110 мбит/с.

Chupaka · Сообщение **Chupaka** » 04 мар 2020, 20:08

Приветствую. Ну, как-то загадочно получается. Но всё равно нужна базовая диагностика. Винбокс ведь работает. Значит, передача данных есть. У меня всё же подозрение на то, что блокируется что-то лишнее. Пинги/трассировки, по IP, по имени... Разбираться, где и что именно пропадает.

Meridian · Сообщение **Meridian** » 04 мар 2020, 20:20

Сейчас блочится только UDP с сорц портом 123 в raw. Ну и базовая защита роутера - по три правила на инпут и форвард. Лишнему блочиться негде принципиально.

27 гигов пакетов этих дропнулось уже

Остальные щётчики в штатном режиме крутятся.

Chupaka · Сообщение **Chupaka** » 05 мар 2020, 12:41

Ну, я могу и на второй странице сообщений повторить про базовую диагностику...

MikroTik.by

Падает lan.

Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.

Re: Падает lan.