Всем привет, дамы и господа. Ну-с начнем.

Предисловие

В одной из обслуживаемых организаций N возникла непонятная ситуация, а именно: на границе стоит некоторая модель Mikrotik с прошивкой 7.7, и вот этот самый Mikrotik самостоятельно генерирует исходящий трафик до 8.1Мбит\с, при этом из локальной сети ничего не выходит.

непонятный трафик на Интернет-интерфейсе

Решили мы с коллегой разобраться - откуда взялся этот трафик. Ну тут и понеслось. Почти час потратили на различные способы.

А теперь самое интересное!

Создали правило для простого логирования:

И наблюдаем в логах подобную картину:

Видно, что Mikrotik флудит на порт dns'а по разным адресам - вот и паразитный трафик. Решили пресечь массовые рассылки добавлением простого правила в firewall:

  1. создаем список нужных нам dns-серверов

  1. добавляем правило (логирование на собственное усмотрение)

  2. пользуемся.

Заключение

Все дело в том, что это далеко не единичный случай. Зайдя на домашний Mikrotik, я обнаружил точно такую же проблему. Лично наше с коллегой мнение - как сейчас принято называть, заложенный в прошивке оборудования нерегламентированный функционал, а именно некий скрипт с целью производить DDoS-атаки. Только представьте, сколько рабочих единиц Mikrotik генерирует подобный трафик.

Ну и напоследок: решили с коллегой попробовать посмотреть на сколько и на какие адреса идет рассылка. Скидали быстренько правило для добавление адресов в динамический лист - за 1 час 30 минут в списке оказались 13378 различных адресов.

Как бы сильно я не любил это оборудование - это уже сверх наглость (как майнить на чужих компах).

Читайте мануалы, делитесь опытом, настраивайте и следите за своим оборудование и все будет в шоколаде.

Всем спасибо, что дочитали до конца.