Mikrotik spi грузит процессор
Обновлено: 07.07.2024
Всем привет! Имею более 5 установленных SOHO роутеров микротик, в разных местах от разных провов, и с разной пропускной скоростью. И начал замечать, что время от времени загрузка роутеров приближается где-то к 100%, на других вываливается связь из-за малой пропускной способности инет-канала. Как выяснилось, причиной всего это во всех случаях какая-то нездоровая активность на DNS сервер Микротика которая либо забивает канал, либо если канал широкий съедает все cpu. Причем на всех установленных роутерах - внешние айпи адреса.
Настраивал все по мануалам, в фаерволле никаких правил не добавлял. Убрал только доступ к микротику, оставив WinBox.
Подскажите, как правильнее закрыть 53 порт? Что бы внутри ничего не нарушить :)
Оценить 1 комментарий
заблокировано файрволом все что можно - не помогает
в winbox'e
IP - DNS - Static - выделяешь свой роутер и жмешь disable - нагрузка сразу упадет
Запретите вообще все ДНС запросы из вне
То же самое было около года назад. Решилось закрытием 53 порта.
chain input; Dst Adress @твой IP
Protocol 6 (tcp)
Dst port 53.
action drop
(или при желании добавлять эти адреса флудеры в список и банить тот список на определенное время)
И еще 1 правило такое же правило для UDP
Protocol 17 (udp)
What's new in 6.22 (2014-Nov-11 14:46):
*) ovpn - added support for null crypto;
*) files - allow to remove empty disk folders;
*) sntp - fix problems with dns name resolving failures that were triggering
system watchdog timeout;
*) eoip/eoipv6/gre/gre6/ipip/ipipv6/6to4 tunnels have new features:
tunnels go down when no route to destination;
tunnels go down for 1 minute when transmit loop detected, warning gets logged;
new keepalive-retries setting;
keepalives enabled by default for new tunnels (10sec interval, 10 retries);
*) improved connection-state matcher in firewall - can match multiple states in one rule, supports negation;
*) added connection-nat-state matcher - can match connections that are srcnatted,dstnatted or both;
*) 100% CPU load caused by DNS service fixed;
*) 100% CPU load caused by unclassified services fixed;
*) 6to4 tunnel fixed;
*) new RouterBOOT firmware for Metal 2SHPn to improve wireless stability;
Высокая загрузка CPU в устройствах Mikrotik зачастую есть результат ответственности Микротика к dns-запросам.
Однако, большая часть запросов прилетает извне локалки, и отвечать на них не нужно.
Открываем Winbox, переходим System → Resources и смотрим загрузку процессора:
Уточняем службу, нагружающую CPU, идем Tools → Profile:
Вариант 1.
Идем IP → Firewall → Filter Rules, добавляем два правила:
1. Все IP – адреса на интерфейсе ether1, пакеты с которых приходят на 53 порт помещаем адресный лист с именем dns- spoofing на 1 час. Во вкладке General указываем следующие параметры:
Переходим во вкладку Action:
2. Каждый IP – адрес на интерфейсе ether1, с которого будет поступать запрос на 53 порт, будет проверяться на предмет нахождения в списке dns spoofing . Если он там есть, мы будем считать, что это DNS – спуфинг с частотой реже чем раз в час и будем дропать данный пакет.
General идентичны первому правилу:
Вкладка Advanced:
Вкладка Action:
Перемещаем правила повыше, проверяем на вкладке IP → Firewall → Address Lists наличие адресов в адресном листе, Проверяем загрузку CPU.
Вариант 2.
Идем IP → Firewall → Filter Rules, добавляем одно правило:
1. Все IP – адреса на интерфейсе ether1, пакеты с которых приходят на 53 порт, дропаем. Во вкладке General указываем следующие параметры:
Переходим во вкладку Action:
Перемещаем правила повыше, проверяем на вкладке IP → Firewall → Address Lists наличие адресов в адресном листе, Проверяем загрузку CPU.
Mikrotik Router OS включает в себя замечательную функцию мониторинга и диагностики нагрузки с помощью графиков. Маршрутизатор может показывать графики нагрузки ресурсов (HDD, RAM, CPU), трафика на интерфейсах, очередей в Simple Queues. Ниже мануальчик по настройке.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Заходим Tools -> Graphing.
Вкладка Interface Rules. Здесь настраиваются графики трафика на интерфейсах.
Interface -- интерфейсы с которых собирается статистика.
Allow Adresses -- ip-адреса с которых доступна статистика.
Store on Disk -- сохранять статистику в постоянную память.
Кнопка Graphing Settings -- определяет частоту сбора статистики (варианты: 5 мин. / 1 час / сутки)
Вкладка Queues Rules. Здесь настраиваются графики очередей в Simple Queues.
Queues -- очереди с которых собирается статистика.
Allow Adresses -- ip-адреса с которых доступна статистика.
Store on Disk -- сохранять статистику в постоянную память.
Allow Tatget -- разрешать ли доступ к графикам от queue’s target-address.
Вкладка Resurses Rules. Здесь настраиваются графики загруженности ресурсов.
Allow Adresses -- ip-адреса с которых доступна статистика.
Store on Disk -- сохранять статистику в постоянную память.
Вкладки Graphs просто показывают статистику для настройки не используются.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Самая распространенная жалоба — «у нас ничего не работает», причем чаще всего это неправда. Если у босса не открывается вложение в письме с темой «вы выиграли миллион», потому что его заблокировал антивирус, то настраивать роутер в этот день вряд ли придется. Поэтому один из важных скиллов для админа — это умение разговаривать с пользователем и выяснять, что именно и как не работает. Увы, этому я в статье научить не могу, так что переходим сразу к технической части.
Ресурсы
Первое, на что обращает внимание любой системный администратор, — потребление ресурсов. Благо WinBox выводит эти данные прямо в главном окне. А если еще не выводит — сейчас же добавляй их туда. Это сэкономит много времени в будущем. Тебе нужно меню Dashboard → Add. И кстати, зеленый квадратик в правой верхней части — это не загрузка процессора. Не обращай на него внимания.
Если процессор постоянно загружен больше 80% (в зависимости от условий это значение может меняться, но в среднем давай примем такое число), то что‑то неладно. В первую очередь смотрим на местный «диспетчер задач», меню Tools → Profile. Тут мы увидим, что именно нагружает CPU, и поймем, как действовать дальше.
Длительную статистику по нагрузке CPU, трафику на интерфейсах и другим параметрам можно увидеть в Tools → Graphing.
Объяснение полей ты найдешь в вики. Наиболее часто встречаются DNS, Encrypting и Firewall.
- Encrypting — роутер тратит много ресурсов на шифрование. Скорее всего, у тебя много туннелей VPN и нет аппаратного чипа шифрования. Нужно поменять на железку со специальным чипом или выбрать более слабые алгоритмы.
- Firewall — прямое указание, что ты не читал мои предыдущие статьи 🙂 Файрвол настроен неоптимально.
- DNS — а вот тут тебя ждет кое‑что интересное.
Сам по себе DNS-сервер почти не нагружает роутер в небольших и средних сетях (до нескольких тысяч хостов). А использовать RouterOS в качестве DNS-сервера в больших сетях не лучшая идея. Так откуда нагрузка? Давай разбираться. Если есть нагрузка, значит, что‑то ее создает. Вероятно, серверу DNS приходится отвечать на большое количество запросов. Проверим, так ли это. Создадим в файрволе правило.
add action = accept chain = input dst - port = 53 log = yes log - prefix = DNS protocol = udpИ теперь смотрим в лог. Если наши предположения верны, то заметим много сообщений с префиксом DNS. Увидим, с каких адресов и на какие интерфейсы летят запросы. Скорее всего, это будет интерфейс WAN. Но мы не хотим обрабатывать DNS-запросы, пришедшие к нам из интернета. Закроем UDP-порт 53 на интерфейсе WAN, поместим правило в нужном месте — и наслаждаемся снизившейся нагрузкой. Поздравляю! Мы только что обнаружили, что были частью ботнета, закрыли эту дыру и сделали интернет чуточку чище. Подобные атаки часто проводятся с применением протоколов, работающих над UDP.
Firewall
Вообще, умение работать с файрволом несет в себе огромную силу. Грамотно построенное правило укажет, как проходит пакет через систему, в какой интерфейс попадает, из какого уходит дальше и получает ли ответный пакет. По одним только счетчикам можно многое узнать о своей сети.
Counters
В столбцах Bytes и Packets отображаются количество байтов и пакетов, обработанных правилом. Кнопки Reset Counters сбрасывают эти счетчики. Теперь можно наблюдать, попадает ли трафик в нужное правило или нет.
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Читайте также: