attacchi ddos

[wifinetwork]

ciao ragazzi, è da qualche settimana che cerco di creare delle regole di firewall per dei server che sono finiti sotto attacco.
ho seguito tutte le guide di mikrotik a riguardo ma non riesco a risolvere il problema.
il server è nattato sotto l'ip della routerboard, con solo la porta 80 tcp aperta verso l'esterno.
ho fatto regole per aggiungere gli ip a delle blacklist, ma niente.
sapete qualche regola particolare per bloccare questi attacchi?

p.s. come mai vedo connessioni con packet sniffer su udp, se è aperta solo la tcp? grazie

[ppraz]

L'attacco che subisci è sulla porta tcp80?
Che tipo di attacco è? Ci sono aree riservate con autenticazione?
Che dicono i log del server?
Il problema è che di suo c'è poco da fare, gli attacchi arriveranno sempre, sta al server avere la capacità di resistere meglio possibile (oppure puoi effettivamente bloccare a livello RB, ma è forse più complicato)

[wifinetwork]

Si gli attacchi sono sulla tcp 80 in quanto è l'unica ruotata, però con packet sniffer di winbox vedo che arrivano 500 -600 connessioni in udp nonostante sia tutto bloccato. Che regole mi consigli di fare sul firewall?

[ppraz]

gli attacchi su porte che non siano ruotate non sono pericolosi, vengono droppati (al limite puoi esplicitare la regola di drop)
invece gli attacchi su tcp80 volevo capire se sono finalizzati ad accedere con metodo bruteforce a un'area riservata o qualcosa di simile...
se invece non c'è nessuna area riservata ma solo un sito statico... mi sa che te li devi tenere
ma in linea di principio non sono pericolosi
eventualmente prova a collezionare gli ip cattivi e aggiungili a una drop list su iptables

[figheras]

gli attacchi su porte che non siano ruotate non sono pericolosi, vengono droppati (al limite puoi esplicitare la regola di drop)

Voglio evidenziare che il rouer risponde a tutte le richieste su qualsiasi porta anche se sono stati disattivati i servizi....Per cui se lancio del traffico in input al router nonostante quel servizio sia disattivato o non hai nessun servizio su quella data porta, il router riceve cmq la richiesta....nel caso di ddos di tipo tcp-syn flood su una qualsiasi porta a scelta (anche con porta non attiva) il router risponderà e come se risponderà....in quel caso bisognerà agire diversamente e a monte del router sotto attacco!!!

[wifinetwork]

ciao figheras cosa mi consigli di fare?

[Linkwave]

vedo che arrivano 500 -600 connessioni in udp

Secondo me hai un attacco DNS e non te ne sei accorto ...... magari mi sbaglio.


Lorenzo

[wifinetwork]

cioè? cosa posso fare?

[debiano]

Prova a disabilitare allow remote request dalla impostazioni del dns. Ma prima assicurati dalla sezione firewall connection se gli attacchi arrivano sulla porta 53.