Mikrotik на виртуальной машине
MikroTik на виртуальном сервере с прямым ip-адресом за 97р
Mikrotik RouterOS: виртуальный маршрутизатор - MetaRouter
CCR куда уж мощнее 36 ядер 1,2ГГЦ Неплохая позиция производителя, некто ожирает ресурсы роутера — так купите новый мощнее, мы с вас щё и прибыль получим. Зачем им патчить прошивку! MikroTik советует отключить в меню Ip service все сервисы — они встали на безликий путь остальных производителей роутеров. MikroTik как раз хорош универсальностью. С таким отношением завтра найдут ещё кучу уязвимостей приводящих к перегрузке и что получим ответ производителя в духе… так как уязвимость не критическая не приводит к взлому купите более производительный! Неплохой маркетинг, производитель сливает уязвимость и предлагает купить более мощный, заявляя это всё ЦРУ и злые ХАКЕРЫ виноваты! Даже эксплойт не нужен, hping3 SYN-пакетами заваливает ЦПУ отлично. В качестве контрмеры и в raw prerouting, и в filter input всё прекрасно дропается. Только полноправные пользователи могут оставлять комментарии. TM Feed Хабрахабр Geektimes Тостер Мой круг Фрилансим. Geektimes Публикации Пользователи Хабы Компании Песочница. Не успели в MikroTik запатчить уязвимость озвученную в статье из хак тулзов ЦРУ, как была обнаружена возможность совершения Denial Of Service на удаленное оборудование работающее на RouterOS предварительно — атаке подвержены все версии OS. По дефолту, доступ к этому порту закрыт фаерволом, но если вы его открывали для управления вашими тиками через интернет, следует как можно скорее хотя бы сменить дефолтовый порт, а в лучшем случае прописать разрешение на доступ к порту winbox только для определенных ip хотя не факт что это спасет: RB, hEX lite, RB, RB, CCR и даже RB так и виртуальные CHR проверено на 8x Xeon. Пример рабочего эксплоита есть в открытом доступе. Официальный представитель MikroTik советует отключить в меню Ip service все сервисы будьте внимательны , сменить стандартные порты, использовать маршрутизатор, ограничить доступ к этим сервисам только из внутренней сети через vpn на стороннем устройстве, или же купить более производительный роутер. Хорошее начало — половина дела 23,9k Добавить в закладки Сутки Неделя Месяц Белые списки. А что вы собственно ожидали от MikroTik? Так как это не проблема MikroTik это проблема протокола. Вы пытаетесь дропнуть пакет, который не имеет смысла дропать в принципе. Соединения, как такового, нет, но прилетает пакет о его закрытии. Вы его ещё и дропаете, добавляя нагрузку на CPU. Причём, могу уточнить, что пакеты можно слать на ЛЮБОЙ порт, даже с отсутствующими сервисами. Тупо, лупите роутер пакетами. Это не уязвимость конкретного роутера, — тот же эксплоит работает на других софтроутерах. Ну уж будьте любезны, атакуйте свой маршрутизатор сами? Безусловно, но я не о том. Достаточно 18 mbps, чтобы завалить конкретно этот маршрутизатор пакетами. Вы же предлагаете ещё и обработать каждый из этих пакетов. Я и говорю, что не поможет. Это просто ограничения конкретного железа? Если нечего не делать, то конечно помрёт, но у нас есть возможность по крайней мере слегка разгрузить нагрузку, за счёт прерывания трафика в цепочки Prerouting. Иначе на следующем этапе будет попытка установить статус соединения Established, related или invalid , а это уже выборка из памяти connection-tracker-a. Проблема в том, что маршрутизатор закидывают огромным количеством пакетов и он просто не справляется с их количеством. О чём производитель говорит в спецификации оборудования, на которую я Вам привёл ссылку. Да, Ваше правило спасло бы, если бы не тот факт, что атака производится на мощности оборудования, которые Вы не способны защитить изнутри и средствами самого маршрутизатора. Защититься возможно, если Вы поставите перед ним какой-нибудь IDS и порежете такого рода пакеты. И, в свою очередь, у этого IDS тоже будет ограничение по количеству обрабатываемых пакетов. Ещё интересно, как защититься от такого количества RST, если злоумышленник решит рандомно менять ip. Конечно можно, поэтому это проблема не только MikroTik-а. Что-то не все так просто с таким правилом… Поставил для теста только первую часть, которая собирает айпишки в адрес-лист. За полчаса насобиралось под полсотни апишек в список… Сомнения у меня что это атакующие…. Можно сделать и так. Но судя по количеству айпишек которые за ночь в список набились порядка штук — взяло большое сомнение… Неужели с каждой из этих айпишек более чем по TSP RST per sec на меня валило? Не совсем понятно, для чего оставлять данный порт смотрящим наружу? Проще поднять VPN на самом маршуртизаторе, и только полключившись к нему уже ходить в админку. На это представитель сказал, что VPN поднятый на этом же микротике — это тоже ip service по этому проблема будет актуальна. В самой статье этого не увидел. Что ж, это грустно. Я вообще не понимаю, при чем тут микротик? Не понятно где здесь уязвимость микротика. Это проблема любого т. Даже правила INPUT цепочки вполне себе доходят до ядра и обрабатываются теми же механизмами, что и транзитные. Метки лучше разделять запятой. Сейчас Вчера Неделя Volvo оснастит электродвигателями все легковые автомобили. ДВС уходит в прошлое 22,9k Как я боролся с комарами. Личный опыт и тесты на себе 29,6k А вы хотели бы жить вечно? Интересные публикации Хабрахабр Geektimes. Как поставить Ubuntu на RPI и подключить к Azure IoT Hub Хабр. В Росстандарт подали проект национального стандарта NB-FI для Интернета вещей. Стек, который позволил Medium обеспечить чтение на 2. Решение promo task от BI. Поглотит ли квантовая механика реальность? Челенджи, брейк-пойнты, сеты и победы — обработка информации на Уимблдоне с помощью IBM Watson. В США начинается акция за сохранение сетевого нейтралитета. Разделы Публикации Хабы Компании Пользователи Песочница. Информация О сайте Правила Помощь Соглашение Конфиденциальность. Услуги Реклама Тарифы Контент Семинары.
Сколько вагонов в товарном поезде
Проблемы совместимости приложений
Открытая сеть ссту рф тест
Курган каталог мебели фото
Информатика чертежник план конспект 9 класс
Расписание миськой электрички киев 2015
Карта ильинка бурятия
Понятие виды и оценка нематериальных активов
Подруге 50 стихи
Гпнтб вгбил рнбдать характеристику библиографической деятельности трех
Сонник дарить трусы
Рассказы про измену жене
Каузальная атрибуция приписывание причин поведения
Югославия была в составе ссср
Турнирная таблица итальянской премьер лиги