On 4/19/21 12:12 PM, Nerijus wrote:
> On 4/17/21 6:25 PM, bat0nas wrote:
>> Lyg perka.
>>
>>
>> -- bat0nas
> >      Lyg...
> >      Tai kur logai, kas vyksta tavo ruterij tuo metu?
>      Pasidaryk loginima i isorini serva, jei persipildo ruterio atmintis.
> Pasijunk
> smart switsa PRIESH ruteri, ir prie to smart switsho prijung kompa,
> kuris tcpdumpintu visa trafika, jei jau ruteris nesugeba visko apdoroti.
> Ziurek kas gaunas.
> > Uzdaryk visus portus ir paslaugas ant savo ruterio. Ziurek kas keiciasi.
> Po to galesi atidarineti po viena.
> >      Nu ir t. t.
> > Savaitgalį atakų nebuvo. Šiandien visą dieną pagal grafiką kas keliolika minučių su nedideliais tarpais. Nepatogumą nesunkiai apeinam persijungdami į Mobile data.

Jeigu kas patartų konkretų įrankį (snifferį) ar kaip tą loginimą realizuoti Mikrotik'e (į vidinė atmintį ar SD kortelę) - mielai pasidaryčiau.

Šiandienos atradimai:

- Kai vyksta ataka: CPU (visi 4 core) apkraunamas ~30%. Tačiau Core 3 - 100%. Maršrutizatorius pasiekiamas, įtakos darbui nėra.

- Ryšys su Mikrotik nutrūksta, kai bendra apkrova pasiekia 60%. Tą matau jau po atakos šio skripto pagalba:

:log info ("CPU-Load = ". [/system resource get cpu-load] . " % Free-Memory = ". [/system resource get free-memory] . " MiB");

- Konkreti FW taisyklė, kuri priima visą srautą:
defconf: drop all not coming from LAN
(žr. attachment; vos per keletą minučių - 10GB srautas)

Buvo patarimas newsuose: drop'inti išsiaiškinus, ką drop'inti.
Tai ta Default config'o taisyklė būtent tai ir daro - drop.