어제 나는 나의 겸손한 웹 서버에서 이상한 활동을 발견했습니다. 그것은 적당히 따뜻했고, HDD 헤드에 의해 경련이 일어나고 LAN 활동이 비정상적으로 높았습니다.
로그를 살펴보니 일부 호스트가 파일 이름 무차별 대입을 사용하여 내 웹 서버에서 문서를 검색하고 있는 것으로 나타났습니다.
RouterOS에서 구현할 수 있는 무차별 대입 공격으로부터 보호할 수 있는 방법이 있습니까?
답변1
예, 보호 장치가 있습니다. 기본적으로 이러한 호스트를 감지하기 위한 방화벽 규칙을 추가해야 하며(기준: 동일한 호스트에서 여러 개의 TCP/포트 80 연결), 하나가 있는 경우 해당 소스 IP를 주소 목록에 추가합니다.
/ip firewall filter add chain=input protocol=tcp dst-port=80 connection-limit=200,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d
그런 다음 해당 주소 목록에서 들어오는 연결을 차단합니다.
/ip firewall filter add chain=input src-address-list=blocked-addr action=drop
한도(여기서는 200)를 조정해야 합니다. 또한 체인(웹 서버가 mikrotik 장치인 경우 입력, 다른 웹 서버인 경우 전달)
이것은 위키에서 수정되었습니다: http://wiki.mikrotik.com/wiki/DoS_attack_protection
답변2
Benoit의 답변을 통해 호스트가 동시에 요청하는 것을 차단할 수 있습니다. 그러나 연결을 여는 것만큼 빠르게 연결을 닫는다면 필터링할 연결을 많이 얻지 못할 수도 있습니다. 또 다른 논리는 dst-limit속도 제한이 있는 것을 사용하는 것입니다 .
- 속도 제한 목록을 추가합니다.
/ip firewall address-list
add list=rate-limit
- 그런 다음 필터링 규칙을 설정합니다.
- WAN의 모든 새로운 연결에 대해 속도 제한 체인으로 점프합니다.
- 지난 1분 동안 10개의 연결이 있었는지 확인하고
dst-address2분 동안 활동이 없으면 재설정됩니다. - dst-limit에 도달하면 반환 작업을 건너뛰고 속도 제한 체인의 다음 작업이 실행됩니다(
add-src-to-address-list시간 제한이 10분인 속도 제한 목록).
/ip firewall filter
add chain=forward action=jump jump-target=rate-limit connection-state=new in-interface-list=WAN
chain=rate-limit action=return dst-limit=10/1m,5,dst-address/2m
chain=rate-limit action=add-src-to-address-list address-list=rate-limit address-list-timeout=10m
- 마지막으로 원시에 드롭을 추가하여 리소스를 절약합니다.
/ip firewall raw
add action=drop chain=prerouting src-address-list=rate-limit
특정 요구 사항에 따라 연결 수와 타이밍을 조정하여 미세 조정할 수 있습니다. 공용 IP에 대한 필터를 사용하여 방화벽/연결 탭에서 모니터링할 수 있습니다.