Какое устройство пытается установить соединение с моим внешним роутером MikroTik?

Question

Вячеслав

mikrotik , защита-от-взлома

Какое устройство пытается установить соединение с моим внешним роутером MikroTik?

У меня есть выделенный виртуальный сервер с установленным роутером MikroTik. Неоднократно происходили попытки взлома прокси-сервера, работающего на MikroTik, поэтому я создал правило блокировки, позволяющее подключаться только с моего IP-адреса. Однако при просмотре логов я замечаю, что каждую 1-2 секунды возникает запись о том, что устройство пытается установить подключение. Мак-адрес этого устройства остается постоянным, в то время как IP-адреса меняются каждые 1-2 секунды. Как можно разобраться с этой ситуацией?

7 февраля 2025 г. 8:55

Ответы на вопрос 2

Похожие вопросы

Answer 1

Ситуация, которую вы описали, может быть вызвана несколькими факторами. Вот несколько шагов, которые помогут вам разобраться с этой проблемой:

1. **Идентификация устройства**:
- Чтобы установить, какое устройство пытается подключиться, вы можете воспользоваться журналами MikroTik. Просмотрите логи на предмет попыток входа, обратите внимание на MAC-адрес и последовательность IP-адресов.
- Используйте команду `/interface wireless registration-table print` для получения списка подключенных устройств, если у вас есть беспроводные интерфейсы.

2. **Проверка MAC-адреса**:
- Если MAC-адрес постоянный, это может указывать на конкретное устройство или программу, которая пытается подключиться. Исследуйте, к какому оборудованию или программе относится этот MAC-адрес. Вы можете использовать базы данных MAC-адресов, чтобы определить производителя устройства.

3. **Анализ IP-адресов**:
- То, что IP-адреса меняются каждые 1-2 секунды, может указывать на использование техники под названием "IP-спуфинг", когда злоумышленник пытается скрыть свое настоящее местоположение. Сравните IP-адреса с вашими известными устройствами и проверьте, не попадают ли они в диапазон, который может использоваться злоумышленниками (например, диапазоны IP, выделенные для дата-центров или облачных провайдеров).

4. **Настройка правил межсетевого экрана (Firewall)**:
- Убедитесь, что у вас настроены правильные правила брандмауэра. Например, заблокируйте все несанкционированные подключения, если не требуется доступ из других мест. Также убедитесь, что у вас не открыты порты, которые не должны использоваться.

5. **Мониторинг трафика**:
- Настройте мониторинг трафика, чтобы видеть, какие IP-адреса и MAC-адреса создают наиболее активные подключения. Это может помочь в идентификации и блокировке злоумышленников.

6. **Обновление MikroTik и безопасность**:
- Убедитесь, что ваше устройство MikroTik обновлено до последней версии, так как обновления могут содержать исправления безопасности.

7. **Обратитесь за помощью**:
- Если ситуация не улучшается, или вы не можете выявить злоумышленника, подумайте о привлечении специалиста по безопасности или администратора сети, которому вы доверяете, для более глубокой диагностики.

Используя эти стратегии, вы сможете более четко определить источник попыток несанкционированного доступа и предпринять соответствующие меры для его блокировки.

Answer 2

Боты спамят перебором. Обычное дело для современного интернета. Вряд-ли целью взлома являетесь конкретно вы с конкретно вашими секретными данными - это всего-лишь автоматический поиск уязвимых железок в интернете, чтобы сделать из них прокси, такого же бота или фишинговую страницу-однодневку. 
 IP меняется, потому что это ботнет из бесконечного количества устройств, MAC не меняется, потому что он не распространяется за пределы L2-сегмента и видите вы MAC шлюза в интернет. 
 Сложные пароли, фаервол во все стороны, fail2ban и так далее - без этого никак.