Всем привет, дамы и господа. Ну-с начнем.
Предисловие
В одной из обслуживаемых организаций N возникла непонятная ситуация, а именно: на границе стоит некоторая модель Mikrotik с прошивкой 7.7, и вот этот самый Mikrotik самостоятельно генерирует исходящий трафик до 8.1Мбит\с, при этом из локальной сети ничего не выходит.
Решили мы с коллегой разобраться - откуда взялся этот трафик. Ну тут и понеслось. Почти час потратили на различные способы.
А теперь самое интересное!
Создали правило для простого логирования:
И наблюдаем в логах подобную картину:
Видно, что Mikrotik флудит на порт dns'а по разным адресам - вот и паразитный трафик. Решили пресечь массовые рассылки добавлением простого правила в firewall:
-
создаем список нужных нам dns-серверов
-
добавляем правило (логирование на собственное усмотрение)
-
пользуемся.
Заключение
Все дело в том, что это далеко не единичный случай. Зайдя на домашний Mikrotik, я обнаружил точно такую же проблему. Лично наше с коллегой мнение - как сейчас принято называть, заложенный в прошивке оборудования нерегламентированный функционал, а именно некий скрипт с целью производить DDoS-атаки. Только представьте, сколько рабочих единиц Mikrotik генерирует подобный трафик.
Ну и напоследок: решили с коллегой попробовать посмотреть на сколько и на какие адреса идет рассылка. Скидали быстренько правило для добавление адресов в динамический лист - за 1 час 30 минут в списке оказались 13378 различных адресов.
Как бы сильно я не любил это оборудование - это уже сверх наглость (как майнить на чужих компах).
Читайте мануалы, делитесь опытом, настраивайте и следите за своим оборудование и все будет в шоколаде.
Всем спасибо, что дочитали до конца.
Комментарии (28)
Estranged01
27.05.2023 08:53-2Этот баг Микротика уже 100 раз описан. Надо закрывать 53-й порт на Микротике.
Sysliks
27.05.2023 08:53+6А в чем баг то? Роутер позволяет сделать доступным DNS сервер на себе. с натяжкой можно утверждать что "эта настройка не должна быть включена по умолчанию", но оборудование этого производителя и не позиционируется как "техника для домохозяек", за что многими и любима. В том что пользователь не в состоянии ее правильно настроить - Mikrotik не виновен.
avelor
27.05.2023 08:53+1В современных микротах в дефолтных настройках он снаружи не открыт:)
Tyrauriel
27.05.2023 08:53Всмысле в обновленных.
Sysliks
27.05.2023 08:53+7Строго говоря после покупки или резета Mikrotik предлагает либо сделать конфигурацию по умолчанию, в которой включен разумный FW и таких проблем нет, либо - сделать пустую конфигурацию, где ты сам себе злобный буратино и можешь настроить вообще все самостоятельно, возможно у топикстартера второй вариант вышел не так чтобы корректно :) Но опять же, Mikrotik тут невиновник.
TimsTims
27.05.2023 08:53А в чем баг то?
Баг в том, что DNS-сервер доступный извне - очень опасная штука, которая позволяет мультиплицировать атаку. То есть представьте, что злоумышленник обладает каналом в 1 мбит, то он используя такой DNS сервер может напосылать трафика на 1мбит, а он будет генерировать трафика на 8 мбит.
Подробнее например тут.
Chupaka
27.05.2023 08:53+4Поскольку в RouterOS нет выделенных WAN-интерфейсов и прочего, очень сложно сформулировать, что же такое "доступный извне". А любители писать и использовать мануалы, начинающиеся словами "удаляем все дефолтные правила" — это вообще отдельный цирк...
korzunin
27.05.2023 08:53+12Видно, что Mikrotik флудит на порт dns'а по разным адресам - вот и паразитный трафик.
Где это видно? На скриншоте видно что Mikrotik флудит с порта dns'а
Если включите логирование не только исходящего, но и входящего трафика - скорее всего увидите что сначала к вам приходит DNS запрос с этих адресов(на самом деле не с них, но микторику об этом неведомо) и потом идет ответ от вас.
Лично наше с коллегой мнение - как сейчас принято называть, заложенный в прошивке оборудования нерегламентированный функционал, а именно некий скрипт с целью производить DDoS-атаки.
Функционал вполне себе регламентированный - Allow Remote Requests в настройках DNS называется. По хорошему доступ к нему должен быть только из локально сети, но по дефолту открыт и наружу.
Tyrauriel
27.05.2023 08:53+2А разве по умолчанию он не заблочен при включенном firewall с настройками по quick setup?
У меня DNS включен, 2ip.ru говорит что 53 порт закрыт.
avelor
27.05.2023 08:53А ещё микротики бывает рутуют и подключают к ботнету, если прошивки не обновлять и открытые порты снаружи оставлять.
Как выше написали - проблема в некорректной настройке фаервола, превратившей ваш микрот в открытый днс-сервер. Проведите аудит настроек, возможно там еще что-то есть открытое.
Pochemuk
27.05.2023 08:53+1На просторах Инета достаточно много статей по настройке безопасности Mikrotik. Если вкратце, то:
- Отключить все ненужные службы.
- Для нужных локальных служб установить допуск только из диапазона IP LAN.
- Дропать все входящие на WAN по 53 порту.
- Переназначить, если возможно, прокидываемые порты со стандартных на нестандартные.
- Установить ханипоты на незадействованные стандартные порты.
- Настроить порт-нокинг для внешних управляющих портов.
- Настроить серо-черные списки для блокировки подозрительной активности на открытых портах.
- И т.д. по вкусу.
У самих был достаточно мощный входящий DNS-трафик. После закрытия на WAN 53-го порта еще недели 2-3 наблюдались попытки. Потом сошли на нет.
avelor
27.05.2023 08:53+2Я б сформулировал чуть иначе - закрываем весь входящий трафик (ессно разрешив established и related). От прямых пробросов портов желательно отказаться, если бизнес/процессы требуют - реализовать f2b с проверкой на сервисе.
Портнокинг я бы заменил впн-ом с мфа, ханипоты - по вкусу, необходимости острой не вижу. Лучше ids/ips:)
Ну и да, феншуйно выводить управляющие интерфейсы в отдельный vlan с ограниченным доступом. И не забывать обновляться:)
Pochemuk
27.05.2023 08:53Ну, если к SCADA-серверу регулярно подключаются через GSM/GPRS-модемы десятки и сотни удаленных контроллеров для передачи телеметрии (причем, каждый на свой порт, но с разных и притом динамических адресов), то совсем без проброса портов никак не получится. И динамическую фильтрацию, вроде F2B, не прикрутишь.
IDS/IPS — вещь хорошая, но не всегда необходимая. А ханипоты — это дешево, надежно и практично. Быстро и неотвратимо срабатывают на попытки сканирования стандартных портов. Но чреваты тем, что можно забыть про них и самозабаниться.
Было бы неплохо предусмотреть так же разбанивание каким-то образом, хотя бы по тому же портнокингу. Но не знаю как. Во-первых, если с IP из черного списка все пакеты дропать, то уже и портнокингом не достучишься. Во-вторых, как удалять адреса из списков? Как помещать — такое есть. А как удалять — не нашел.
avelor
27.05.2023 08:53+1по-хорошему такие штуки в впн заворачивать, но конечно главное поступать разумно - и осознанно:)
ну, как минимум разумно банить на какое-то время, а не навсегда (да и фолс-позитив срабатывания могут быть).
разбанивание по порт-нокингу - ну например скриптом можно сделать. условно, сделали определённый нокинг, удалённый адрес попал в нужный адрес-лист, а скрипт что регулярно дёргается шедулером - смотрит этот адрес-лист и удаляет из блеклиста.
iluvar
27.05.2023 08:53+3Хотелось бы добавить, что в стандартных настройках микротика 53 порт заблокирован на порту провайдера. Автор статьи удалил правило, блокирующее входящий трафик и разрешил удаленные подключения к DNS - т. е. сделал все, что нужно, чтобы проблема возникла. Многие пользователи микротика по незнанию делают тоже самое, случай не уникален.
paxlo
27.05.2023 08:53/ip firewall raw
add action=drop chain=prerouting comment="block dns flood" dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=prerouting comment="block dns flood" dst-port=53 in-interface-list=WAN protocol=tcp
kterik
27.05.2023 08:53+1Дорогой автор, а не проще ли было запретить правилом файервола все соединения из списка WAN на input и на forward, а потом раньше этого правила прицельно и с пониманием разместить нужные разрешающие правила? Как оно и сделано по дефолту в микротиках (заводской конфиг), на самом деле.
avelor
27.05.2023 08:53+1Автор решил что трафик генерит микрот, видимо исходя из роста счётчиков на аутпут, вот и сделал странное..
Да, раньше заводской конфиг был дыряв у микротов, сейчас более-менее вменяемый
gionet
27.05.2023 08:53Ну, что все набросились-то с 53 портом? Человек может впервые столкнулся с этим, и знать-не знал, что его затыкать надо. Все мы когда-то начинали и набивали шишки ...
avelor
27.05.2023 08:53+5Его не надо закрывать, надо закрывать всё кроме нужного:) а набросились, потому что опубликовано некорректное решение проблемы + претензия к микротам))
isden
27.05.2023 08:53В большинстве мануалов про настройку микротов с нуля пишут что-то вроде такого:
/ip firewall filter add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop log=yes log-prefix=invalid add chain=input in-interface-list=WAN protocol=icmp action=accept add chain=input in-interface-list=WAN action=drop
DX168B
27.05.2023 08:53Было такое у меня тоже когда-то. Закрыл 53-й порт для входящего трафика с интерфейса, который у меня определен как WAN. Открытый DNS используется злоумышленниками для атак на другие ресурсы. Для этого они отправляют запрос на DNS микротика с подмененным IP (IP жертвы). Микротик отправляет ответ в сторону жертвы. Такая вот флуд-атака.
raptor2121 Автор
27.05.2023 08:53+1Уважаемые коллеги!!! Всем спасибо, что направили в верную сторону. Да, действительно микротик настраиваю с нуля сам всегда, работаю с этим оборудование лет 7 уже. Никогда не сталкивался с таким паразитным трафиком, вот и описал свои мысли на этот счет.
Поправил ФВ по рекомендациям - трафик исчез.
Еще раз всем спасибо за правильное направление.
Всем респект и уважуха!!!
rsashka
Так а причина в чем? Прошивку хакнули или это изначально было?
KusokPomidora
Автор включил в настройках ДНС-сервера галочку Allow remote requests и при этом не заблокировал фаерволом 53 порт снаружи. Вот все и пользуются его микротиком для днс-флуда. К сожалению микротик требует определенного уровня квалификации. А вообще хорошим тоном считается блокировать в фаерволе все извне, кроме того что явно разрешено.