只要实施好的防火墙规则，一切都会很好地工作。

也许吧，但最终这是件好事，因为一旦问题被发现并解决了，整个产品就会变得更好。

任何设备都应该在未经身份验证的用户可以访问的端口上设置防火墙。

是否在RouterOS设置中启用了“SYN COOKIE”选项?l雷竞技你应该。这将有所帮助。

是否在RouterOS设置中启用了“SYN COOKIE”选项?l雷竞技你应该。这将有所帮助。

如果有一个开放的服务，路由器将接受请求并发送答案。这是没有办法的。如果你有想法如何“鱼与熊掌兼得”，让我们知道

基本上你有这些选择:

基本上你有这些选择:

我想你忘记了:为了从互联网管理，使用VPN。

基本上你有这些选择:

我想你忘记了:为了从互联网管理，使用VPN。

这仍然是一个开放的服务。除非你建立一个VPN到其他机器，然后控制台进入CCR…或者类似的东西，当我提到OOBM时

不需要开放端口。即使在传输(转发)数据包的情况下，漏洞也能发挥作用。刚在我的RB751G-2HnD上测试过。

乌利希期刊指南。许多soho路由器都存在这个问题，在Dlink+Openwrt和华为上测试的结果与microtik相同。雷竞技网站

@normis:你能发布更多关于受影响版本的信息吗?这个问题是6.38.5或6.38的整个分支特有的，还是情况更糟，影响到更多的版本?

请张贴详细资料。我们不能重蹈覆辙。也发布你的配置。

执行命令perl exploit.pl 192.168.88.247 11111 1.1.1.1 11111

[admin@雷竞技网站MikroTik] >系统资源监视器CPU -used: 100% CPU -used-per- CPU: 100% free-memory: 107064KiB [admin@MikroTik] >工具配置文件名称CPU使用率以太网所有15.5%控制台所有0.5% dns所有0%防火墙所有58%网络所有13.5%管理所有0.5%路由所有0%分析所有1%桥接所有17.5%未分类所有2%

在最新的Routerl雷竞技OS版本中，添加了特殊功能/ip firewall raw。特殊过滤器，可以指定哪些流量进入连接跟踪，哪些流量绕过它，哪些流量在进入连接跟踪之前被丢弃。再加上前面提到的建议，您可以最小化这个负载。

avn。任何如此数量的流量都会使路由器加载，即使它是去互联网的。

这是你的局域网。去拔掉这个用户。如果你是互联网服务提供商，请报警。还有其他方法可以解决局域网中的破坏问题。

不动。这不是一个漏洞。这样的事情会影响任何互联网路由器或互联网连接设备。

不。没有交通堵塞。任何交通都不会产生这种效果。

在这个流量中没有什么特别的，看看代码。它只是建立新的TCP RES连接。如果你下载100个种子，每个种子有100个同伴，你会得到同样的效果。诀窍是建立新的关系，这样快速通道就不会发挥作用。

我认为重要的是要记住，需要大量的流量才能对你的设备产生任何影响。您将无法使用只有几Mbit/s上传速度的住宅xDSL线来关闭CCR，或者让您的WiFi客户因为无法获得适当数量的数据包而关闭您的网络。此外，我认为使用原始防火墙表“notrack”连接到tcp/8291可能是一个不错的主意(小心-使用notrack将使“相关”防火墙过滤器匹配不可能为这些连接)。

这是6.38.5及以上版本吗?或者这也适用于6.37.5?

这是6.38.5及以上版本吗?或者这也适用于6.37.5?

我也想知道这个.....

这是否显式地影响运行6.38.5及以上版本的设备?或者它是否适用于运行6.38.5及以下版本的所有设备?

叹息……有些人在这个星球上似乎只是为了破坏别人的工作和乐趣。
多么可悲。

什么是解?

作品

/ip firewall raw
添加action=drop chain=prerouting in-interface=ether1 ttl=equal:106

作品

/ip firewall raw
添加action=drop chain=prerouting in-interface=ether1 ttl=equal:106

拔掉你的网络是最好的!

附:任何有这个漏洞的人都可以用microtik屏蔽任何网络——这是不好的雷竞技网站

请理解，任何有足够资源的人都可以阻止任何有或没有microtik的网络。雷竞技网站

请理解，任何有足够资源的人都可以阻止任何有或没有microtik的网络。雷竞技网站

如果我的资源家庭互联网连接/linux PC有漏洞，我可以阻止建立在microtik设备上的大型企业网络-这是漏洞，不是正常情况。雷竞技网站
硬件路由器(没有linux内部)不容易我这个漏洞?

附言:对不起，我的英语不好——这不是我的母语。

1.您的PC将没有足够的资源
2.大型企业网络有防火墙等保护
3.如果您将大量流量发送到开放端口，任何其他网络都同样容易受到攻击

1.您的PC将没有足够的资源
2.大型企业网络有防火墙等保护
3.如果您将大量流量发送到开放端口，任何其他网络都同样容易受到攻击

1.资源不足以停止路由器的工作。我们进行了实验测试。
2.雷竞技网站microtik不是防火墙吗?!
3.我们需要解决问题的办法，而不是借口，诺米斯

@svserg
你的电脑比现在的大多数路由器有更多的CPU能力，如果你在局域网(超过100或1000mbps的连接)上进行测试，你确实可以使几乎任何路由器的CPU过载。
但在现实生活中，攻击者通常在一个单独的远程网络上，他的PC和目标路由器之间的可用吞吐量要小得多。因此，他更有可能首先阻塞两者之间的连接，而不是使目标的路由器CPU过载。

问候,
M。

请张贴你的规则。如果配置了适当的保护，我们无l雷竞技法在普通PC上将RouterOS加载到100%。

请张贴你的规则。如果配置了适当的保护，我们无l雷竞技法在普通PC上将RouterOS加载到100%。

/ip firewall filter add action=add-src-to-address-list address-list=port_DDoS address-list-timeout=1d \
Chain =input connection-state=invalid limit=50k,5:packet log=yes protocol=tcp src-address-list=!port_DDoS tcp-flags = rst

/ip firewall raw add action=drop log=yes chain=prerouting comment=DDoS log-prefix=BANN: protocol=tcp src-address-list=port_DDoS tcp-flags=rst

旁注:我不会在chain=forward上删除connection-state=invalid，因为它阻塞了现代版本Windows生成的RST/ ack。

我也注意到了这一点，这实际上是一个bug，因为它们与封闭会话“相关”。删除连接跟踪项
太快:FIN/FIN ACK后立即删除，但应该保留几秒钟，以确保这样的RST ACK
或者允许另一个FIN ACK。
它还会影响NAT转换:当连接被NAT转换时，RST ACK不会被转换，因为活动连接已经被删除
当它没有被过滤时，它与本地(RFC1918)源地址一起发出。不好的。
然而，这不是microtik特有的错误，而是Linux内核错误。所以它不太可能被解决，它可能需要大量的内核工作。

我不是专家，但我相信这些规则导致了你所看到的问题。

(a)为什么不是action=drop all connection-state=invalid traffic?如果这是一个问题，那么就没有理由给RouterBOARD增加负担。ios版雷竞技官网入口甚至Mik雷竞技网站rotik也建议你丢弃所有无效的数据包。旁注:我不会在chain=forward上删除connection-state=invalid，因为它阻塞了现代版本Windows生成的RST/ ack。
(b)它将需要更多的内存和更多的CPU功率来维护1d的地址列表。我担心它会导致数百甚至数千个ip的DDoS耗尽资源。我的建议是将列表维持较短的时间，也许是30年，因为频繁攻击的ip仍然会被标记为行动=丢弃规则，但停止攻击的ip将很快从列表中删除，从而释放资源。
(c) 50,000个数据包的限制可能比RouterBOARD在正常运行时看到的要高得多。ios版雷竞技官网入口我建议尝试一个较低的限制，可能是250个数据包、500个数据包，或者任何适合您环境的基线。
(d) log=yes是资源密集型的，我不建议为大量的流量启用它。此外，工厂默认的日志配置将只在本地内存缓冲区中保留100行。如果您想记录日志，我强烈建议将所有内容发送到syslog服务器。
(e)考虑connection-state=invalid, tcp-flags=rst是不必要的。移除它将降低RouterBOARD上的CPU消耗。ios版雷竞技官网入口

不。RST不是标准会话关闭的一部分，它是一种“粗鲁关闭”。微软就是这么做的，