2021年4月10日 星期六

routeros 設定

 


我昨天改用這命令列對icmp封鎖實測,證實本機ping的出去,但外部ping不進來.
/ip firewall filter
add action=drop chain=input dst-address-type=local protocol=icmp


再測試透過VPN Client電腦 可否ping的到本機IP..
結果不行,連VPN Client的ping全都擋掉!




遭到 11.22.33.44 的 IP 通過 syn 的 DDoS 攻擊,可以拒絕對該 IP 做連接追蹤,減少 CPU 負載 :
/ip firewall raw
add chain=prerouting src-address=11.22.33.44 action=notrack


另一種情況, 如較大的網路環境,涉及內網和外網請求,在訪問外網時需要做 nat 轉換,而內網則不需要,
因此流量和對話增加的情況下,避免 CPU 負載過高,可以透過 Raw 關閉掉訪問內網的連接追蹤。

例如,在一個大型網絡,內網IP地址段是192.168.0.0/16,關閉掉內網的連接跟蹤,配置如下:
/ip firewall raw
add chain=prerouting dst-address=192.168.0.0/16 action=notrack

配置後,在 connection-tracking 列表將不會看到內網訪問 192.168.0.0/16 的連接訊息

其他 RAW policy:
/ip firewall raw
add action=drop chain=prerouting comment="Port scanners" protocol=tcp psd=21,3s,3,1
add action=drop chain=prerouting comment="Drop oversized unfragmented packets" packet-size=1492-65535 protocol=icmp
add action=drop chain=prerouting comment="SYN-FIN attack protection" protocol=tcp tcp-flags=fin,syn
add action=drop chain=prerouting comment="SYN-RST attack protection" protocol=tcp tcp-flags=syn,rst
add action=drop chain=prerouting comment="X-Mas attack protection" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=drop chain=prerouting comment="NMAP FIN attack protection" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="NMAP Push attack protection" protocol=tcp tcp-flags=fin,syn,rst,ack,urg,!psh
add action=drop chain=prerouting comment="NMAP FIN/PSH/URG attack protection" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=drop chain=prerouting comment="NULLflags attack protection" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="ALLflags attack protection" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg

add action=drop chain=prerouting comment="Drop udp DNS queries from WAN" dst-port=53 in-interface="WAN" protocol=udp
add action=drop chain=prerouting comment="Drop tcp DNS queries from WAN" dst-port=53 in-interface="WAN" protocol=tcp


设置Fasttrack 使来自路由器的所有DNS流量绕过队列:
1
2
/ip firewall filter add chain=forward protocol=tcp dst-port=53 action=fasttrack-connection comment="Fasttrack DNS TCP"
/ip firewall filter add chain=forward protocol=udp dst-port=53 action=fasttrack-connection comment="Fasttrack DNS UDP"






一、入侵的基本原理

想要入侵一个服务器,如果有公开的端口,像是一个网站服务器,开通了80和443端口。那么我们就可以针对性的对这个端口进行扫描和渗透,扫描是为了看看是否有其他端口,给黑客多一些选择方式,也是为收集目的网站信息的前期必备工作。渗透就是对这一类型的网站公开的漏洞进行针对性利用,或者挖掘其代码漏洞。

扫描是黑客们首先要做的事情,扫描获得的端口等信息越多,越有利于后期的攻击。

二、现阶段的网站基本信息收集

现在你认为黑客还需要扫描的话,那就落伍了。因这些东西已经被一种黑客专用的搜索引擎去替代了黑客端口扫描工作,这些这些搜索引擎使用数以万计或者几十万计的。云服务器,在全世界各地,全天候的对所有网络IP进行端口扫描。并且将这些信息归类起来。黑客们只要输入IP就可以拿到关于某个特定ip的所有漏洞信息,既而实施针对入侵。许多攻击者不再挨个扫网站漏洞,那样效率太低,当国外曝出一个高危漏洞后,他们迅速利用这类的搜索引擎找到大量存在漏洞的服务,然后在企业反应过来之前就完成渗透。

而像这种黑客专用的搜索引擎有:Shodan,zoomeye,fofa等。


抛开这种方式的好与坏,善与恶的哲学问题不谈。我们要知道如何去保护我们自己的网络才是正经事。通过对自己的IP查询,发现这些漏洞,软件层面的软件更新去解决,并在公网放置相同的模拟环境帮助我们获得自身网站对应的漏洞信息。硬件上面的我们使用ROS去阻止这种扫描器的对我们实施信息收集,黑客知道的越少,我们越安全。

三、使用使用PSD和地址列表拦截

1、处理流程

首先我们是使用防火墙进行端口扫描器拦截的,那么在四表五链里面,哪一种方式能最先接触到数据进来?那么就是RAW表的Prerouting了。具体请查看之前的第3篇-防火墙简介。

2.拓扑如下:

我们使用一台win7模拟外网的扫描器,公网IP为100.1.1.254。

3.设置PSD

A.点击winbox的IP>Firewall>RAW,点击+号新建一个Prerouting规则


B.切换到Extra选项卡,点击PSD

C.配置动作Action,将源地址加入到地址列表:

D.调用地址列表去拦截:

点击+号,新建一条规则,然后切换到Advance选项卡

切换到Action选项卡,选择Drop丢弃

然后将拦截扫描器规则拖到疑似扫描器规则上方,最终配置如图:

沒有留言: