防火牆規則沒設好又在DNS選項開Allow Remote Requests
路由器會被拿去當放大攻擊流量的主機
第一條:允許已存在連線的封包通過
第二條:允許已存在連線的相關新連線的封包通過
第三條:丟棄來自WAN、UDP port53的封包
第四條:丟棄來自WAN、TCP port53的封包,DNS查詢封包超過512bytes就會改用TCP傳輸
/ipv6 firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp \
src-address=::/0
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp \
src-address=::/0
/ip firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp \
src-address=0.0.0.0/0
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp \
src-address=0.0.0.0/0
也可以直接限制lan才能存取53
/ip firewall filter
add action=drop chain=input dst-port=53 protocol=udp \
src-address-list=!All-Lan
add action=drop chain=forward dst-port=53 protocol=udp \
src-address-list=!All-Lan
routeos 防dns攻擊
誰在線上
正在瀏覽這個版面的使用者:沒有註冊會員 和 3 位訪客