MikroTik RouteOS 防火墙碰瓷式防御

防火墙碰瓷式防御"/>

MikroTik RouteOS 防火墙碰瓷式防御

问题：Routeos常用的防火墙脚本网络上比较多，但是配置后发现还是红色的登陆失败告警。IP地址世界各地都有

原因：防火墙配置了无效连接，DDOS压制，端口扫描次数限制。但是现在的攻方明显聪明了，5-10秒只发起一个连接，触发不了防火墙的防御脚本。

分析：如何处理这类人呢。首先得从行为上分析。比如常用的端口 21,22 80 443 8443 8080 3036 3389 1433 等，谁用用到IP+端口访问？正儿八经上网的人100%用不到。也就只有IT个别配置才会用到。而病毒前期都是漫无目的的扫描，即便是有目的的攻击，端口1-65535，也得一个一个的尝试。如何防御这些老鸟，就得钓鱼了。

钓鱼过程：OK，知道的来源，我们就可以钓鱼了。虚拟机配置web，公网上映射22和80。老鸟发现有台肉鸡，立马就有更多的IP 过来“敲门”了。OK，路由器记录所有访问此端口的IP。不出意外，一天能有个一千多次，高峰的时候会有几万次，一次代表一个攻击你的主机哦。当然也可以用更多的端口钓鱼，效果更好。

防御：钓到了鱼儿，剩下的就是映射正常的端口了。3分饵，7条鱼。

#标记攻击IP，10天内不允许再次访问
/ip firewall filter
add action=add-src-to-address-list address-list="Port attack" address-list-timeout=1w3d chain=input connection-state=new dst-port=\22,80 log=yes log-prefix="Port attack" protocol=tcp#解决此IP接入路由器
add action=drop chain=input comment="Port attack" src-address-list="Port attack"