ComputerBase Menü
Aktuelles

Komischer Traffic über meinen Router

S

Steinmetz

Newbie
Registriert
Aug. 2017
Beiträge
6
Hallo zusammen,

ich betreibe ein MikroTik Routerboard RB2011UAS-RM an einem Glasfaseranschluss und habe seit heute Mittag einen ungewöhnlich hohen Traffic bemerkt.

Hunderte Verbindungen von 2.91.138.221 (unterschiedliche Ports) per UDP nach 61.93.17.245:53, teils auch von 2.91.138.221 zum Google Name-Server 8.8.8.8. Ich kann das um ehrlich zu sein nicht so richtig interpretieren.

https://dig.whois.com.au/ip/2.91.138.221
https://dig.whois.com.au/ip/61.93.17.245

Die im Router integrierte Firewall basiert auf IP-Tables und ist nach dieser Anleitung konfiguriert:
https://wiki.mikrotik.com/wiki/Tips...rs_and_Experienced_Users_of_RouterOS#Firewall

Code: 
Flags: X - disabled, I - invalid, D - dynamic 

17    ;;; Offene Ports am Router sichern
      chain=input action=drop protocol=tcp in-interface=pppoe-out1 dst-port=21,22,23,53,80,443 log=no log-prefix="" 

18    ;;; Accept established and related packets
      chain=input connection-state=established,related 

19    ;;; Accept all connections from local network
      chain=input action=accept in-interface=bridge1 log=no log-prefix="" 

20    ;;; Drop invalid packets
      chain=input action=drop connection-state=invalid 

21    ;;; Drop all packets which are not destined to routes IP address
      chain=input action=drop dst-address-type=!local 

22    ;;; Drop all packets which does not have unicast source IP address
      chain=input action=drop src-address-type=!unicast 

23    ;;; Drop all packets from public internet which should not exist in public network
      chain=input action=drop src-address-list=NotPublic in-interface=ether01-wan 

24    ;;; Accept established and related packets
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 

25    ;;; Drop invalid packets
      chain=forward action=drop connection-state=invalid 

26    ;;; Drop new connections from internet which are not dst-natted
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether01-wan 

27    ;;; Drop all packets from public internet which should not exist in public network
      chain=forward action=drop src-address-list=NotPublic in-interface=ether01-wan 

28    ;;; Drop all packets from local network to internet which should not exist in public network
      chain=forward action=drop dst-address-list=NotPublic in-interface=ether01-wan 

29    ;;; Drop all packets in local network which does not have local network address
      chain=forward action=drop src-address=!192.168.243.0/24 in-interface=bridge1 

30    ;;; In case firewall filters are used to drop some traffic forward packets which belong to natted connection
      chain=forward action=accept connection-state=established,related connection-nat-state=dstnat in-interface=ether01-wan log=no log-prefix=""
Deaktivierte Regeln hab ich mal aus der Liste entfernt.

Das Ziel für den Moment ist eine "ganz normale" Firewall, wie sie beispielsweise eine Fritzbox besitzt. Keine besonderen Features oder Wünsche. Der Router soll von außen nicht konfigurierbar sein. VPN verwende ich im Moment nicht.

Kann mir jemand einen Tipp geben, was da los ist und wo noch eine Lücke in der Firewall ist?

Danke schonmal.
 
Vielleicht verstehe ich ja etwas falsch, aber wie kannst du überhaupt Verbindungen von x nach y sehen, wenn weder x noch y deine WAN-IP sind?
 
DeusoftheWired schrieb:
Vielleicht verstehe ich ja etwas falsch, aber wie kannst du überhaupt Verbindungen von x nach y sehen, wenn weder x noch y deine WAN-IP sind?
Zum Vergrößern anklicken....

Im Prinzip ist das auch irgendwie meine Frage. Wieso laufen solche Verbindungen über meinen Router?

Wenn Du Dir mal einen Eindruck vom Betriebssystem verschaffen willst, dann findest Du hier ein Online-Demo:
https://mikrotik.com/software (Überschrift "Try RouterOS now by using our online demo routers")

Dort gehst Du auf IP -> Firewall -> Connections und bist dann in dem Fenster, das mir diese Verbindungen angezeigt hat.
 
Schicke Demo! :D

Kann mir das Verhalten leider nur mit gespooften IPs erklären, aber die Wahrscheinlichkeit dafür ist ziemlich niedrig.

Vielleicht fragst du am besten direkt im MikroTik-Forum.
 
Zuletzt bearbeitet:
Ist Port 53 (DNS) denn bei dir von außen erreichbar? Läuft da eine DNS Replay Attacke um fremde Systeme zu bombardieren? Ist dank UDP ja möglich den Absender zu fälschen, daher siehst du zwei IPs die nicht zu dir gehören.

Googlet man nach DNS replay attack sind die ersten Treffer alle von Microtik Nutzern. Scheint so als läuft da ein DNS der von außen erreichbar ist.
Lösung ist einfach: Zu machen!
 
Ohne deine Firewall Regeln genau studiert zu haben, ich würde generell Mal sämtlichen Traffic von Außen blockieren und dann gezielt Freigaben einrichten.
 
Danke für Eure hilfreichen Kommentare. "DNS replay attack" war das Stichwort. Man findet tatsächlich einiges dazu.

Letztlich ist die Sache eigentlich ganz einfach erklärt, wie es dazu kommen konnte:
Will man den Router als DNS-Server verwenden, dann setzt man einfach den Haken "Allow remote requests". Da Mikrotik ja aber nicht weiß, wie man den Router betreibt, läuft der DNS-Server auf allen Interfaces (ein richtiges WAN-Interface gibt es ja nicht, sondern man legt es selber in der Konfiguration fest).
Damit das von außen niemand nutzen kann, müssen DNS-Anfragen auf dem WAN-Interface von außen einfach unterbunden werden. TCP und UDP auf Port 53 droppen - fertig.

Falls nochmal jemand darüber stolpert - hier 3 hilfreiche Links:

https://forum.mikrotik.com/viewtopic.php?t=85598
https://www.linkedin.com/pulse/ddos-detection-blocking-mikrotik-mohammed-abdul-munem/
http://www.mtin.net/blog/?p=297

Bei mir ist der Port jetzt zu.
Danke nochmal.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
Mikrotik IPv6 Kaskadierung zu UDM Pro
Antworten
4
Aufrufe
1.083
GCCM
G
lexnared
VPN Wireguard kein zugriff auf Netzwerkgeräte
Antworten
7
Aufrufe
460
lexnared
lexnared
P
PIVPN Wireguard Configuration und weiterleiten des kompletten Internetverkehrs zum VPN
Antworten
11
Aufrufe
1.843
prodo80
P
A
Iptables - Portweiterleitung auf anderen PC im Heimnetz
Antworten
7
Aufrufe
925
scooter010
scooter010
B
Verbindung über OPEN VPN nicht mehr möglich
Antworten
4
Aufrufe
606
qiller
Q
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz