routeos 防dns攻擊

回覆文章
admin
系統管理員
文章: 36
註冊時間: 2012-02-25, 22:10
聯繫:

routeos 防dns攻擊

未閱讀文章 admin »

防火牆規則沒設好又在DNS選項開Allow Remote Requests
路由器會被拿去當放大攻擊流量的主機

第一條:允許已存在連線的封包通過
第二條:允許已存在連線的相關新連線的封包通過
第三條:丟棄來自WAN、UDP port53的封包
第四條:丟棄來自WAN、TCP port53的封包,DNS查詢封包超過512bytes就會改用TCP傳輸


/ipv6 firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp \
src-address=::/0
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp \
src-address=::/0


/ip firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp \
src-address=0.0.0.0/0
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp \
src-address=0.0.0.0/0


也可以直接限制lan才能存取53
/ip firewall filter
add action=drop chain=input dst-port=53 protocol=udp \
src-address-list=!All-Lan
add action=drop chain=forward dst-port=53 protocol=udp \
src-address-list=!All-Lan
回覆文章

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客