Komischer Traffic über meinen Router (2024)

Hallo zusammen,

ich betreibe ein MikroTik Routerboard RB2011UAS-RM an einem Glasfaseranschluss und habe seit heute Mittag einen ungewöhnlich hohen Traffic bemerkt.

Hunderte Verbindungen von 2.91.138.221 (unterschiedliche Ports) per UDP nach 61.93.17.245:53, teils auch von 2.91.138.221 zum Google Name-Server 8.8.8.8. Ich kann das um ehrlich zu sein nicht so richtig interpretieren.

https://dig.whois.com.au/ip/2.91.138.221
https://dig.whois.com.au/ip/61.93.17.245

Die im Router integrierte Firewall basiert auf IP-Tables und ist nach dieser Anleitung konfiguriert:
https://wiki.mikrotik.com/wiki/Tips...rs_and_Experienced_Users_of_RouterOS#Firewall

Flags: X - disabled, I - invalid, D - dynamic 17 ;;; Offene Ports am Router sichern chain=input action=drop protocol=tcp in-interface=pppoe-out1 dst-port=21,22,23,53,80,443 log=no log-prefix="" 18 ;;; Accept established and related packets chain=input connection-state=established,related 19 ;;; Accept all connections from local network chain=input action=accept in-interface=bridge1 log=no log-prefix="" 20 ;;; Drop invalid packets chain=input action=drop connection-state=invalid 21 ;;; Drop all packets which are not destined to routes IP address chain=input action=drop dst-address-type=!local 22 ;;; Drop all packets which does not have unicast source IP address chain=input action=drop src-address-type=!unicast 23 ;;; Drop all packets from public internet which should not exist in public network chain=input action=drop src-address-list=NotPublic in-interface=ether01-wan 24 ;;; Accept established and related packets chain=forward action=accept connection-state=established,related log=no log-prefix="" 25 ;;; Drop invalid packets chain=forward action=drop connection-state=invalid 26 ;;; Drop new connections from internet which are not dst-natted chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether01-wan 27 ;;; Drop all packets from public internet which should not exist in public network chain=forward action=drop src-address-list=NotPublic in-interface=ether01-wan 28 ;;; Drop all packets from local network to internet which should not exist in public network chain=forward action=drop dst-address-list=NotPublic in-interface=ether01-wan 29 ;;; Drop all packets in local network which does not have local network address chain=forward action=drop src-address=!192.168.243.0/24 in-interface=bridge1 30 ;;; In case firewall filters are used to drop some traffic forward packets which belong to natted connection chain=forward action=accept connection-state=established,related connection-nat-state=dstnat in-interface=ether01-wan log=no log-prefix=""

Deaktivierte Regeln hab ich mal aus der Liste entfernt.

Das Ziel für den Moment ist eine "ganz normale" Firewall, wie sie beispielsweise eine Fritzbox besitzt. Keine besonderen Features oder Wünsche. Der Router soll von außen nicht konfigurierbar sein. VPN verwende ich im Moment nicht.

Kann mir jemand einen Tipp geben, was da los ist und wo noch eine Lücke in der Firewall ist?

Danke schonmal.

DeusoftheWired schrieb:

Vielleicht verstehe ich ja etwas falsch, aber wie kannst du überhaupt Verbindungen von x nach y sehen, wenn weder x noch y deine WAN-IP sind?

Zum Vergrößern anklicken....

Im Prinzip ist das auch irgendwie meine Frage. Wieso laufen solche Verbindungen über meinen Router?

Wenn Du Dir mal einen Eindruck vom Betriebssystem verschaffen willst, dann findest Du hier ein Online-Demo:
https://mikrotik.com/software (Überschrift "Try RouterOS now by using our online demo routers")

Dort gehst Du auf IP -> Firewall -> Connections und bist dann in dem Fenster, das mir diese Verbindungen angezeigt hat.

Schicke Demo!

Kann mir das Verhalten leider nur mit gespooften IPs erklären, aber die Wahrscheinlichkeit dafür ist ziemlich niedrig.

Vielleicht fragst du am besten direkt im MikroTik-Forum.

Ist Port 53 (DNS) denn bei dir von außen erreichbar? Läuft da eine DNS Replay Attacke um fremde Systeme zu bombardieren? Ist dank UDP ja möglich den Absender zu fälschen, daher siehst du zwei IPs die nicht zu dir gehören.

Googlet man nach DNS replay attack sind die ersten Treffer alle von Microtik Nutzern. Scheint so als läuft da ein DNS der von außen erreichbar ist.
Lösung ist einfach: Zu machen!

Danke für Eure hilfreichen Kommentare. "DNS replay attack" war das Stichwort. Man findet tatsächlich einiges dazu.

Letztlich ist die Sache eigentlich ganz einfach erklärt, wie es dazu kommen konnte:
Will man den Router als DNS-Server verwenden, dann setzt man einfach den Haken "Allow remote requests". Da Mikrotik ja aber nicht weiß, wie man den Router betreibt, läuft der DNS-Server auf allen Interfaces (ein richtiges WAN-Interface gibt es ja nicht, sondern man legt es selber in der Konfiguration fest).
Damit das von außen niemand nutzen kann, müssen DNS-Anfragen auf dem WAN-Interface von außen einfach unterbunden werden. TCP und UDP auf Port 53 droppen - fertig.

Falls nochmal jemand darüber stolpert - hier 3 hilfreiche Links:

https://forum.mikrotik.com/viewtopic.php?t=85598
https://www.linkedin.com/pulse/ddos-detection-blocking-mikrotik-mohammed-abdul-munem/
http://www.mtin.net/blog/?p=297

Bei mir ist der Port jetzt zu.
Danke nochmal.