Падает lan.

Базовая функциональность RouterOS
trikiman
Сообщения: 4
Зарегистрирован: 31 авг 2019, 14:21

Падает lan.

Сообщение trikiman »

Почему может падать lan во время ддоса, хоть запас по цп и каналу в 3 раза больше?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Падает lan.

Сообщение Chupaka »

Поясните, что значит "падает". Порт отключается?
trikiman
Сообщения: 4
Зарегистрирован: 31 авг 2019, 14:21

Re: Падает lan.

Сообщение trikiman »

Chupaka писал(а): 04 мар 2020, 11:29 Поясните, что значит "падает". Порт отключается?
Может быть, во время ддоса, не работает инет, и не работает локалка(файлы с компа на комп перекинуть не могу, и.т.д).
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Падает lan.

Сообщение Chupaka »

А к роутеру доступ есть? Откуда вы знаете про "запас в 3 раза больше"?
trikiman
Сообщения: 4
Зарегистрирован: 31 авг 2019, 14:21

Re: Падает lan.

Сообщение trikiman »

Chupaka писал(а): 04 мар 2020, 12:17 А к роутеру доступ есть? Откуда вы знаете про "запас в 3 раза больше"?
цп загружен во время атаки на 3 процента, атака в 150 мбит, у меня 650.
атака идет на 123 udp и в raw все рубиться. Локалка не работает(
В обще не могу понять куда копать.
могу дать доступ через винбокс в лс.
https://vk.com/triki_man
skype: triki1.00 (там колобок с кисточкой на аве)
discord: triki#8172
если поможете денег перечислю.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Падает lan.

Сообщение Chupaka »

Т.е. к роутеру доступ есть? А пинг ходит между машинами и роутером во всех направлениях?
trikiman
Сообщения: 4
Зарегистрирован: 31 авг 2019, 14:21

Re: Падает lan.

Сообщение trikiman »

Chupaka писал(а): 04 мар 2020, 17:14 Т.е. к роутеру доступ есть? А пинг ходит между машинами и роутером во всех направлениях?
Во время атаки работает только винбокс.
Meridian
Сообщения: 5
Зарегистрирован: 04 мар 2020, 18:48
Откуда: Москва

Re: Падает lan.

Сообщение Meridian »

Всем привет.

Я непосредственный очевидец происходящего.

Итак, по порядку.

Исходные данные.

Роутер RB4011.
Аплинк через SFP, ширина канала 600 мбит/с. За роутером локалка с игровыми серверами, десяток правил проброса портов TCP и UDP. В нормальном режиме нагрузка на канал составляет 2-20 мбит/с.

Полетели DDoS-атаки с UDP-флудом шириной в 200-300 мбит/с и около 30 килопакетов в секунду.

Настроил добавление сурц-адреса в блек-лист при трафике на in-interface sfp более чем 500 пакетов/с, дропаю его в raw.

В результате на аплинке входящий поток остаётся равным ширине атаки (разумеется), в локальном бридже трафик не превышает нескольких десятков кбит/с (без этих правил трафик в локалке во время атаки составлял около 150 мбит/с).

Итог: во время атаки не работает ни передача данных в интернет/обратно, ни в пределах локальной сети. Нагрузка на процессор при этом 2-4%, иногда 8%. При этом на роутер через винбокс зайти можно.
На бридже IP firewall=disabled.

У кого есть идеи?
Meridian
Сообщения: 5
Зарегистрирован: 04 мар 2020, 18:48
Откуда: Москва

Re: Падает lan.

Сообщение Meridian »

Дополнение. В последние разы атака была только со 123 порта. Соответственно в raw дропал все UDP с сорц портом 123. Остальные списки динамические выключены. Всё равно остаётся подобная картина.

Форвардинг восстановился только после снижения объёма атаки до 110 мбит/с.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Падает lan.

Сообщение Chupaka »

Приветствую. Ну, как-то загадочно получается. Но всё равно нужна базовая диагностика. Винбокс ведь работает. Значит, передача данных есть. У меня всё же подозрение на то, что блокируется что-то лишнее. Пинги/трассировки, по IP, по имени... Разбираться, где и что именно пропадает.
Meridian
Сообщения: 5
Зарегистрирован: 04 мар 2020, 18:48
Откуда: Москва

Re: Падает lan.

Сообщение Meridian »

Сейчас блочится только UDP с сорц портом 123 в raw. Ну и базовая защита роутера - по три правила на инпут и форвард. Лишнему блочиться негде принципиально.

27 гигов пакетов этих дропнулось уже :) Остальные щётчики в штатном режиме крутятся.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Падает lan.

Сообщение Chupaka »

Ну, я могу и на второй странице сообщений повторить про базовую диагностику...