Traffico anomalo sulla CPE

da **sincerbex** » sab 6 set 2014, 17:27

Ciao a tutti,
vi allego uno screnshoot un po strano:

https://imageshack.com/i/pbiPNzvuj

si genera questo strano traffico in tx nonostante non ci siano servizi particolari attivi es: bandwidth test, web proxy, ssh, ftp, ecc.
La cosa strana e che non passa dalla ether1, come se venisse generato dalla cpe e arriva anche a 2M.
facendo un torch sull pppoeout vedo che questo traffico se ne va verso ip sconosciuti.

Cosa potrebbe essere??

da **xanio** » sab 6 set 2014, 17:29

torch cosa dice?

da **sincerbex** » sab 6 set 2014, 17:30

scusa

nel frattempo ho corretto il post

da **Linkwave** » sab 6 set 2014, 23:16

Attacco dns.

Usa il torch: se il traffico è udp porta 53 ho vinto una bambolina a forma di RouterOS 7.

Lorenzo

da **steste64** » dom 7 set 2014, 9:54

Porta 53 da chiudere? Ci siamo passati un po tutti..... Alcune volte anche installatore che attiva il proxy sulla 8080 senza chiuderlo verso l'esterno!!!!!

da **ppraz** » dom 7 set 2014, 21:55

steste64 ha scritto:Porta 53 da chiudere? Ci siamo passati un po tutti..... Alcune volte anche installatore che attiva il proxy sulla 8080 senza chiuderlo verso l'esterno!!!!!

Quando ero giovane mi sono successe tutt'e due

da **sincerbex** » lun 8 set 2014, 22:28

ok..
è proprio 1attacco dns
ora ho applicato queste 2 regole:

Codice: Seleziona tutto: action=reject chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp reject-with=icmp-host-unreachable action=reject chain=input dst-port=53 in-interface=pppoe-out1 protocol=tcp

ed effettivamente il traffico si è quasi annullato e vedo sopratutto la regola sull'UDP che lavoro benissimo..
xò rimane sempre un po di traffico, proveniente, credo, sempre da queste richieste. Allego screenshoot:

https://imageshack.com/i/f0HMla7Tj

ce qualche soluzione??o questi pochi kb me li devo sopportare??

NON SI SMETTE MAI D'IMPARARE!!!

da **Linkwave** » lun 8 set 2014, 23:41

Io la action l'avrei messa "drop".

Lorenzo

da **ppraz** » mar 9 set 2014, 22:08

Linkwave ha scritto:Io la action l'avrei messa "drop".

Lorenzo

Concordo. Scusa ma invece il reject sul tcp? Non ha senso IMHO

da **figheras** » sab 11 ott 2014, 11:09

ce qualche soluzione??o questi pochi kb me li devo sopportare??

Certo blocca il traffico a monte della connessione, fai una regola di forward che dice che tutto i traffico in destinazione a quel pubblico con dst-port=53 venga bloccato definitivamente!
Purtroppo le richieste alla cpe arrivano sempre senza questa regola:

Codice: Seleziona tutto: /ip f f add chain=forward dst-address=xxx.xxx.xxx.xxx dst-port=53 protocol=tcp action=drop /ip f f add chain=forward dst-address=xxx.xxx.xxx.xxx dst-port=53 protocol=udp action=drop

Traffico anomalo sulla CPE

Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Re: Traffico anomalo sulla CPE

Chi c’è in linea