DDoS. Необычное поведение роутера во время атаки

[Meridian]

Итак, по порядку.

Исходные данные.

Роутер RB4011, RouterOS 6.45.8 long term.

Аплинк через SFP, ширина канала 600 мбит/с. За роутером локалка с игровыми серверами, десяток правил проброса портов TCP и UDP. В нормальном режиме нагрузка на канал составляет 2-20 мбит/с.

Полетели DDoS-атаки с UDP-флудом шириной в 200-300 мбит/с и около 30 килопакетов в секунду.

Настроено добавление сурц-адреса в блек-лист при трафике на in-interface sfp более чем 500 пакетов/с, дропается в raw.

В результате на аплинке входящий поток остаётся равным ширине атаки (разумеется), в локальном бридже трафик не превышает нескольких десятков кбит/с (без этих правил трафик в локалке во время атаки составлял около 150 мбит/с).

Итог: во время атаки не работает ни передача данных в интернет/обратно, ни в локальном бридже. Нагрузка на процессор при этом 2-4%, иногда 8%. При этом на роутер через винбокс зайти можно из локалки.
На бридже IP firewall=disabled.

Дополнение. В последние разы атака была только со 123 порта. Соответственно в raw дропал все UDP с сорц портом 123. Фильтрацию по динамическим спискам выключил. Всё равно остаётся подобная картина.

Форвардинг в инернет и в бридже восстановился только после снижения объёма атаки до 110 мбит/с.

У 4011 по тестам Mikrotik форвардинг пакетов на порядок лучше, чем во время этой атаки. (со страницы mikrotik.com - от 569 килопакетов в секунду)

Кто-то наблюдал подобное? Есть идеи?

Ух ты. Только что появилась новая информация. Как только во время атаки делаем make Supout.rif - сразу поднимается и инет, и локалка. Уже второй раз подряд это происходит. Как это может быть связано? Атака продолжается, но инет и локалка работают.

[Chupaka]

Вы уверены, что плодить темы - хорошая идея?

[Meridian]

Не уверен, но хотел выделить это в отдельную тему с более подробным описанием. Не стоит, считаете?