Mikrotik: Host verbieten, wenn zu viele HTTP-Anforderungen von ihm stammen

3007
Paul

Gestern bemerkte ich eine seltsame Aktivität meines bescheidenen Webservers: Er war mäßig warm, zuckte von Festplattenköpfen und die LAN-Aktivität war ungewöhnlich hoch.

Als ich nach Protokollen suchte, stellte ich fest, dass ein Host meinen Webserver nach Dokumenten durchsucht und dabei den Dateinamen brutal verwendet.

Gibt es einen Schutz gegen einen solchen Brute-Force-Angriff, den ich in RouterOS implementieren könnte?

0

1 Antwort auf die Frage

1
Benoit PHILIPPON

Ja, es gibt einen Schutz. Grundsätzlich müssen Sie eine Firewall-Regel hinzufügen, um solche Hosts zu ermitteln (Kriterien: mehrere TCP / Port 80-Verbindungen von demselben Host). Wenn Sie eine haben, fügen Sie diese Quell-IP einer Adressliste hinzu.

/ip firewall filter add chain=input protocol=tcp dst-port=80 connection-limit=200,32 \ action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d

Blockieren Sie dann eingehende Verbindungen von dieser Adressliste.

/ip firewall filter add chain=input src-address-list=blocked-addr action=drop

Sie müssen das Limit einstellen (hier 200). Und auch die Kette (Eingabe, wenn der Webserver das mikrotik-Gerät ist, weiterleiten, wenn es ein anderer Webserver ist)

Dies wird aus dem Wiki angepasst: http://wiki.mikrotik.com/wiki/DoS_attack_protection

Verwandte Probleme