Микротику не удалось разрешить DNS-имя при обновлении

Обновлено: 02.07.2024

Открыть необходимые порты для приложения на вашем компьютере относительно легко, если предположить, что ваш маршрутизатор Mikrotik имеет конфигурацию по умолчанию, ваш доступ в Интернет осуществляется через порт ethernet1, вы знаете, какие порты открывать, и адрес локальной сети компьютера, на котором запущено приложение.< /p>

В последнем случае перейдите на вкладку «Аренда» в «IP > DHCP-сервер» и найдите свое устройство, используя параметр «Имя активного хоста».


Здесь мы видим имя устройства DESKTOP-HSK7HA2, которое обычно используется ОС Windows, в которой в данный момент работает наше приложение. Запишите здесь наш IP-адрес. Дважды щелкните по нему и нажмите «Сделать статическим», чтобы убедиться, что IP-адрес нашего устройства не меняется после перезагрузки и наши необходимые изменения работают. Нажмите "ОК".


Затем мы переходим на вкладку «NAT» в «IP > Брандмауэр» и нажимаем синий плюс, чтобы добавить новое правило.

Для текущего примера мы собираемся открыть необходимые порты для Java-сервера Minecraft, который по умолчанию использует TCP-порт 25565. Для этого в текущем окне мы переходим на вкладку «Общие» и меняем эти настройки:


Chain — параметр, определяющий, в каком направлении идет необходимый нам трафик приложения. Выберите «dstnat» — наш трафик поступает из Интернета в нашу локальную сеть.

Протокол — определяет наш протокол трафика TCP/IP, который использует трафик приложения, выберите «6 (tcp)».

Дст. Порт — значение порта назначения нашего трафика, введите 25565.

В. Интерфейс — наш интерфейс, из которого в первую очередь поступает трафик, обычно откуда приходит наш интернет. Выберите «ether1» или любой другой подходящий интерфейс.


Теперь переходим на нашу вкладку «Действие», которая определяет, что роутер собирается делать с указанным нами трафиком, меняем следующие настройки:

Действие — выберите «dst-nat», что говорит о том, что наш трафик будет направляться к месту назначения через NAT в нашей локальной сети.

To Addresses — IP-адрес нашего устройства в локальной сети, который мы отметили ранее, введите его здесь.

To Ports — значение порта, которое использует трафик приложения — введите 25565.


Нажмите ОК, чтобы сохранить и применить все наши настройки. Теперь у приложения открыты необходимые порты.

2. Я хочу использовать разные адреса DNS-серверов для устройств в моей сети. Как мне это сделать?

Вы можете относительно легко изменить адреса своих DNS-серверов в любое время, если у вас есть какие-либо проблемы с DNS-серверами, которые предоставляет ваш интернет-провайдер. Одно из преимуществ устройств Mikrotik заключается в том, что они могут кэшировать ваши недавно использованные записи DNS, чтобы ускорить последующие подключения к ним.

Сначала перейдите в «IP > DHCP-клиент», на вкладке «DHCP-клиент» дважды щелкните параметр с интерфейсом, с которого вы получаете интернет-трафик, в появившихся окнах снимите флажок «Использовать одноранговый DNS», чтобы мы не будет использовать DNS-серверы, предоставляемые нашим интернет-провайдером.


Теперь в «IP > DHCP-сервер» на вкладке «Сети» дважды щелкните нашу текущую конфигурацию DHCP и введите адрес вашего маршрутизатора (!) в поле «DNS-серверы». Нажмите ОК.


И, наконец, в «IP > DNS» в поле «Серверы» введите адреса DNS-серверов, которые вы хотите использовать, нажмите «ОК».


Если все сделано правильно, вы должны увидеть появление новых записей при нажатии на кнопку «Кэш» в том же окне после нажатия OK и перезагрузки устройства.


3. Как сделать резервную копию и восстановить конфигурацию маршрутизатора Mikrotik.

Для этого мы сначала открываем терминал, нажав кнопку «Новый терминал».


Чтобы сохранить текущую конфигурацию в текущем окне терминала, введите:

export file="имя конфигурации".rsc

Нажмите Enter. Здесь «Название конфигурации» нужно заменить на любое понравившееся имя латинскими буквами.Наш сохраненный файл будет расположен в корневом каталоге устройств в разделе «Файлы», где вы можете сохранить его на свой компьютер, щелкнув его правой кнопкой мыши и выбрав «Загрузить».


ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ, что при сохранении конфигурации пароль маршрутизатора не сохраняется из соображений безопасности, который вам нужно будет установить в «Система > Пароль» при восстановлении. Файл конфигурации также не удаляется, если настройки маршрутизатора сбрасываются до значений по умолчанию.

Чтобы восстановить конфигурацию, которую вы недавно сохранили в файл, введите в окне терминала:

import file="имя конфигурации".rsc

4. Как вы обновляете свое устройство, если у вас нет интернета?

В случае, если ваш маршрутизатор не имеет доступа к Интернету и у вас есть необходимый файл обновления .npk, сохраненный на вашем компьютере, вы можете обновить свое устройство, загрузив этот файл в корень устройства в меню «Файлы». с последующей перезагрузкой устройства. Также не забудьте обновить прошивку вашего устройства в «Система > RouterBOARD», чтобы избежать ненужных ошибок и проблем при его использовании.

Обновить ОС Mikrotik Router

Любая технология, взаимодействующая с операционной системой, имеет возможность обновления, и обновление Mikrotik не является исключением из этого правила. Обновление устраняет проблемы безопасности, и пользователям предоставляется более полная версия программного обеспечения. Что касается ОС Mikrotik Router, то путем обновления можно добавить более оптимальные и подходящие функции для повышения производительности и безопасности системы. Кроме того, в Mikrotik (или любой другой системе) со временем будут возникать ошибки, которые будут исправлены путем обновления Mikrotik.

В этом руководстве мы поможем вам обновить Mikrotik за 2 простых шага.

Шаги по обновлению Mikrotik VPS через Winbox

  1. Создайте резервную копию перед обновлением Mikrotik.
  2. Проверить наличие обновлений (загрузить и установить).

обновить Mikrotik VPN-сервер

Создайте резервную копию перед обновлением Mikrotik

Учитывая современный цифровой мир и большую важность информации и данных в любом онлайн- или офлайн-бизнесе, в системах и серверах могут возникать неожиданные проблемы с оборудованием или программным обеспечением. Например, представьте себе, что после создания уникального контента, такого как секреты в Mikrotik, данные, хранящиеся на VPS Mikrotik, внезапно удаляются, поэтому защита данных и резервное копирование данных стали необходимыми. Это также более важно при обновлении Mikrotik, потому что системные файлы меняются при обновлении, и это изменение может привести к помехам в файлах и, в конечном итоге, к проблемам на сервере.

Теперь перейдите в «Файлы», чтобы получить резервную копию файлов конфигурации Mikrotik. Затем выберите резервную копию в открывшемся окне. Снова откроется новое окно, выберите имя для резервной копии, а затем выберите вариант резервного копирования. После этого вы увидите файл резервной копии с именем, которое вы выбрали в меню «Файлы». Легко перетащите файл и перенесите его на свой компьютер.

резервное копирование файлов конфигурации перед обновлением Mikrotik

Обновите Mikrotik, загрузив и установив файлы обновления

На этом шаге перейдите в «Быстрый набор», нажмите «Проверить наличие обновлений», после чего откроется новая страница. На этой странице вы увидите доступные обновления.

Нажмите на Быстрый набор слева при обновлении Mikrotik

Нажмите «Загрузить и установить», чтобы завершить обновление Mikrotik.

проверять наличие обновлений при обновлении Mikrotik

Важное примечание. При проверке обновлений вы можете столкнуться с ОШИБКОЙ: не удалось разрешить DNS-имя.

ОШИБКА: не удалось разрешить DNS-имя при обновлении Mikrotik

В этом отношении вам следует просто установить DNS-имя и повторить попытку. Вы можете установить DNS из IP —> DNS.

установить DNS перед обновлением Mikrotik

Обновите VPN-сервер Mikrotik через терминал

Некоторые пользователи могут по какой-либо причине не работать с Winbox и вместо этого работать с терминалом. Войдите в свой VPS Microtek через SSH и введите следующие команды.

открыть терминал, когда вы хотите через него обновить микротик

С помощью следующих команд сервер будет обновлен, если есть что обновить.

Имейте в виду, что вы можете ввести эту команду в планировщик и установить расписание, чтобы эта команда время от времени выполнялась автоматически, хотя лучше этого не делать из-за проблем, которые она может вызвать.

Обзор

Для обновления Mikrotik сначала необходимо получить резервную копию из Файлов, затем установить DNS-имя из IP-адреса —> DNS, затем открыть Quick Set для загрузки и установки обновлений.

Как решить проблемы с DNS

Немногие вещи вызывают большее разочарование, чем использование Интернета и ошибки при загрузке страниц. Проблемы с подключением к Интернету могут привести к потере производительности и затруднить работу и отдых. Часто проблемы с подключением связаны с проблемами DNS. Вот наиболее распространенные причины, а также пошаговые инструкции по их устранению.

Система доменных имен (DNS или «сервер имен») является необходимой частью доступа в Интернет. Обычно вы вводите имя URL-адреса в строку браузера, и он автоматически подключается к предполагаемому сайту, переводя ваш запрос. (Чтобы получить больше информации о том, как DNS вписывается в веб-браузер и хостинг, вы можете прочитать нашу статью HP Tech Takes здесь.)

Что такое DNS?

DNS преобразует введенные вами инструкции в числовой IP-код, соответствующий нужной веб-странице. Интернет-сервер на самом деле не понимает наш язык. Вместо этого он использует числовую систему IP-адресов, чтобы узнать, к каким сайтам подключаться и какие сайты загружать в наш браузер. Мы можем поблагодарить DNS за преобразование того, что мы набираем, в числовой IP-адрес, понятный DNS-серверу.

Если DNS не работает должным образом, вы не сможете использовать службы, подключенные к Интернету, такие как браузер или электронная почта, несмотря на то, что ваш компьютер или маршрутизатор показывает работающее подключение к Интернету. Веб-страница может истечь, выдать сообщение об ошибке или даже вывести конкретное сообщение "Ошибка DNS".

Признаки ошибки DNS

Если вы не получаете конкретную ошибку или сообщение DNS, как узнать, вызвана ли проблема DNS? Вот две вещи, которые вы можете попытаться выяснить:

  1. Введите числовой IP-адрес прямо в браузере. Если веб-страница загружается, проблема связана с DNS. Вы можете попробовать с IP-адресом Google: «172.217.4.46».
  2. Выполните ping-тест, введя «cmd» в строке поиска меню «Пуск» Windows. Выберите «Открыть командную строку». Когда появится черный ящик, введите «ping 172.217.4.46» и подождите, чтобы увидеть результаты. Если все четыре ping-запроса прошли успешно, проблема может заключаться в DNS.

Полезный совет. Вы также можете узнать числовой IP-адрес любого веб-сайта, выполнив ping-тест. Повторите шаг 2, но когда появится черный ящик, введите одно из следующих:

Как решить проблемы с DNS

Теперь, когда вы убедились, что это, скорее всего, ошибка DNS, как вы можете ее исправить? Поскольку проблемы с DNS могут возникать на уровне компьютера, как часть проблемы с маршрутизатором или как ошибка вашего интернет-провайдера (ISP), вам, возможно, придется попробовать несколько способов, чтобы точно определить причину и найти решение.

Запустите средство устранения неполадок Windows в Интернете, прежде чем делать что-либо еще. Этот мастер работает с различными проблемами и может диагностировать и устранять ошибки DNS без вашей помощи.

  1. Нажмите правой кнопкой мыши значок Интернета на панели задач.
  2. Выберите Устранение неполадок.
  3. Позвольте мастеру выполнить все шаги. Это может занять несколько минут.
  4. Если проблема не устранена, перейдите к приведенным ниже решениям, которые предназначены для пользователей Windows 10.

1. Исключите проблемы с провайдером

Убедитесь, что у вас нет проблем с интернет-провайдером, пытаясь подключиться к другому устройству. Если вы можете обойти маршрутизатор и подключиться напрямую к вашему интернет-провайдеру, сделайте это. Используйте эти шаги:

  1. На задней панели беспроводного маршрутизатора найдите этикетку WAN или интернет-порта и отсоедините кабель, идущий к этому порту.
  2. Возьмите свободный конец того же кабеля и подключите его непосредственно к порту Ethernet на компьютере.
  3. Выключите беспроводной маршрутизатор, чтобы случайно не подключиться к нему.
  4. Подождите пару минут, пока компьютер распознает новое подключение. Убедитесь, что вы используете соединение Ethernet или LAN, а не WiFi.Возможно, вам придется перезагрузить компьютер, чтобы новые настройки вступили в силу.

Если одно из других ваших устройств может подключиться, это вовсе не проблема провайдера. Если с вашей стороны ничего не изменилось (все настройки остались прежними) и вы не можете подключиться ни к одному из ваших устройств, обратитесь к своему интернет-провайдеру, чтобы узнать, есть ли у него проблемы с обслуживанием.

2. Перезагрузите сетевое оборудование

Вы пытались выключить маршрутизатор? Что с твоим модемом? Перезагрузите оба этих устройства, а затем перезагрузите компьютер, чтобы проверить, решит ли это ваши проблемы. Обязательно подождите полных 2-3 минуты между выключением и повторным включением для достижения наилучших результатов.

3. Очистить кеш DNS и сбросить настройки winsock

  1. Введите «cmd» в строке поиска Windows «Пуск» и выберите «Открыть командную строку».
  2. Введите следующее точно так, как написано, и нажимайте Enter после ввода каждой строки.

4. Выполните чистую перезагрузку

Компьютеры начинают глючить, если работают слишком долго, и простая перезагрузка не предохранит конфликтующие программы от взаимодействия друг с другом. Выполните так называемую «чистую» перезагрузку, которая часто решает проблемы с DNS, поскольку позволяет автоматически запускать только основные службы при запуске. Если проблемы с DNS вызваны программными сбоями, могут помочь следующие действия:

  1. Одновременно нажмите клавиши Win + R.
  2. В появившемся диалоговом окне «Выполнить» введите «msconfig». Кроме того, вы можете ввести «msconfig» в строку поиска в нижней части меню «Пуск» Windows и выбрать «Открыть» для приложения «Конфигурация системы».
  3. Перейдите на вкладку "Службы" в приложении "Конфигурация системы".
  4. Установите флажок Скрыть все службы Microsoft.
  5. Выберите параметр «Отключить все».
  6. Нажмите кнопку "Применить", а затем кнопку "ОК", чтобы сохранить настройки.
  1. Перейдите на вкладку "Автозагрузка".
  2. Нажмите «Открыть диспетчер задач».
  3. Начните с первого приложения и нажмите рядом с ним параметр "Отключить". Продолжайте делать это для всех приложений, пока они все не будут отключены.
  4. Закройте окно приложения.
  5. Перезагрузите компьютер.
  6. Вернитесь в приложение для настройки системы.
  7. Перейдите на вкладку "Службы".
  8. Одно за другим выберите приложение и нажмите, чтобы включить его. После включения каждого приложения проверьте, можете ли вы подключиться к Интернету.

Если вы можете повторно подключиться после отключения приложения, это то приложение, которое вызывает проблемы с DNS. Советы по устранению неполадок см. в документации к этому приложению.

5. Запустите драйвер протокола Microsoft LLDP

  1. Нажмите клавиши Windows + X, чтобы открыть меню быстрой ссылки. Выберите Сетевые подключения. Кроме того, вы можете щелкнуть значок Интернета на панели задач, чтобы открыть список доступных сетей. Нажмите на ссылку Настройка сети и Интернета.
  2. Нажмите «Изменить свойства подключения» или «Изменить настройки адаптера».
  3. В открывшемся новом окне щелкните правой кнопкой мыши используемое подключение. Выберите Свойства.
  4. Проверьте список драйверов протокола Microsoft LLDP. Убедитесь, что флажок рядом с ним установлен.
  5. Нажмите "ОК", чтобы выйти.

6. Обновите драйвер сетевого адаптера и при необходимости переустановите

Вы давно обновляли драйверы? Это может вызвать проблемы, особенно если вы добавили новое оборудование на свой компьютер с момента его покупки. Проверяя наличие обновлений драйверов сетевого адаптера и обновляя их вручную, вы можете решить проблемы с DNS.

  1. Введите devmgmt в строку поиска меню "Пуск" Windows и откройте приложение "Диспетчер устройств".
  2. Перейдите в раздел "Сетевые адаптеры" в списке и нажмите, чтобы развернуть его.
  3. Найдите свое сетевое устройство и щелкните правой кнопкой мыши, чтобы выбрать Обновить драйвер.
  4. При появлении запроса выберите Автоматический поиск обновленного программного обеспечения драйвера. Это может занять некоторое время.
  5. Если драйвер доступен, Windows установит его.
  6. Перезагрузите компьютер и проверьте, сохраняется ли ошибка DNS.

Если да, попробуйте переустановить драйвер. Важно, чтобы вы знали, какой драйвер вам понадобится и как его загрузить, прежде чем удалять его. На всякий случай запишите имя драйвера, а затем выполните следующие действия:

  1. Повторите шаги 1 и 2 выше.
  2. Найдите свой драйвер и щелкните правой кнопкой мыши "Удалить".
  3. Используйте программное обеспечение драйвера, загруженное с веб-сайта производителя вашего драйвера, чтобы переустановить драйвер.
  4. Перезагрузите компьютер и снова проверьте DNS.

7. Перейти на общедоступные DNS-серверы Google

Серверы Google часто более надежны и могут использоваться без обращения к вашему интернет-провайдеру. Вы можете изменить свои DNS-серверы на серверы Google, изменив свойства интернет-протокола версии 4 (TCP/IPv4):

  1. Нажмите значок Интернета на панели задач, чтобы открыть список доступных сетей. Нажмите на ссылку Настройка сети и Интернета.
  2. Нажмите «Изменить свойства подключения» или «Изменить настройки адаптера».
  3. В новом окне щелкните правой кнопкой мыши используемое соединение. Выберите Свойства.
  4. Выберите из списка Интернет-протокол версии 4 (TCP/IPv4) и нажмите кнопку "Свойства".
  5. Выберите вариант Использовать следующий адрес DNS-сервера.
  6. Введите 8.8.8.8 в поля предпочитаемого DNS-сервера.
  7. Введите 8.8.4.4 в поля альтернативного DNS-сервера.
  8. Нажмите OK, чтобы сохранить изменения и выйти из окна TCP/IPv4. Нажмите OK, чтобы сохранить еще раз, чтобы выйти из окна свойств.

8. Проверьте настройки питания

Функции энергосбережения могут привести к неправильной работе беспроводных адаптеров. Регулировка параметров питания может помочь и вернуть вас в онлайн. Начните с этих шагов:

  1. Введите Панель управления в поле поиска в меню "Пуск".
  2. Нажмите, чтобы открыть панель управления.
  3. Выберите "Оборудование и звук".
  4. Найдите категорию "Электропитание", а затем выберите или настройте план электропитания.
  5. Нажмите ссылку "Изменить настройки плана".
  6. Нажмите ссылку "Изменить дополнительные параметры питания".
  7. В новом окне найдите «Настройки беспроводного адаптера». Нажмите, чтобы развернуть.
  8. Нажмите на параметр "Режим энергосбережения", чтобы развернуть его.
  9. Измените параметры «От батареи» и «От сети» на «Максимальная производительность».
  10. Нажмите "ОК", чтобы сохранить и выйти.

Что делать, если проблемы с DNS не устранены

Если вы испробовали все варианты из этого списка, но по-прежнему не можете загрузить веб-страницу или продолжаете получать оповещения DNS, пора обратиться к своему интернет-провайдеру. Никакая работа с вашей стороны не устранит сбой интернет-сервиса. Кроме того, ваш провайдер может использовать ваш опыт, чтобы помочь ему определить, что не так на его стороне. Частые ошибки DNS часто являются признаком проблем на уровне службы.

Ошибки DNS разочаровывают, потому что они мешают вам пользоваться Интернетом так, как вам хотелось бы, и их часто трудно понять. Если у вас не так много времени для устранения неполадок на всех этих этапах, рассмотрите возможность использования профессиональной ремонтной службы. Например, если проблема связана с вашим маршрутизатором, они могут диагностировать ее с помощью профессиональных инструментов и быстро вернуть вас в нужное русло.

Об авторе

Линси Кнерл (Linsey Knerl) является автором статей для HP® Tech Takes. Линси — писатель со Среднего Запада, оратор и член ASJA. Она стремится помогать потребителям и владельцам малого бизнеса использовать свои ресурсы с помощью новейших технических решений.

Связанные теги

Популярные статьи

Также посетите

Архивы статей

Нужна помощь?

Рекомендованная производителем розничная цена HP может быть снижена. Рекомендованная производителем розничная цена HP указана либо как отдельная цена, либо как зачеркнутая цена, а также указана цена со скидкой или рекламная цена. На скидки или рекламные цены указывает наличие дополнительной более высокой рекомендованной розничной цены зачеркнутой цены.

Ultrabook, Celeron, Celeron Inside, Core Inside, Intel, логотип Intel, Intel Atom, Intel Atom Inside, Intel Core, Intel Inside, логотип Intel Inside, Intel vPro, Itanium, Itanium Inside, Pentium, Pentium Inside, vPro Inside , Xeon, Xeon Phi, Xeon Inside и Intel Optane являются товарными знаками корпорации Intel или ее дочерних компаний в США и/или других странах.

Домашняя гарантия доступна только для некоторых настраиваемых настольных ПК HP. Необходимость обслуживания на дому определяется представителем службы поддержки HP. Заказчику может потребоваться запустить программы самопроверки системы или исправить выявленные неисправности, следуя советам, полученным по телефону. Услуги на месте предоставляются только в том случае, если проблема не может быть устранена удаленно. Услуга недоступна в праздничные и выходные дни.

HP передаст ваше имя и адрес, IP-адрес, заказанные продукты и связанные с ними расходы, а также другую личную информацию, связанную с обработкой вашего заявления, в Bill Me Later®. Bill Me Later будет использовать эти данные в соответствии со своей политикой конфиденциальности.

Подходящие продукты/покупки HP Rewards определяются как принадлежащие к следующим категориям: принтеры, ПК для бизнеса (марки Elite, Pro и рабочие станции), выберите аксессуары для бизнеса и выберите чернила, тонер и бумага.


Это одна из самых простых ошибок, и она входит в десятку основных ошибок Mikrotik. В этой статье мы увидим, почему она так разрушительна для нашей сетевой инфраструктуры и как ее избежать.

1. Распространенная ошибка

Во время выступления на Mikrotik User Meeting USA 2016 Андис Ариньш поставил его на восьмое место в рейтинге «ТОП 10 ошибок конфигурации RouterOS» (видео), а в следующем году на Mikrotik User Meeting Europe Янис Мегис (видео ) назвал это одной из проблем, по которым чаще всего обращались в службу поддержки Mikrotik.

Начнем с типичной конфигурации маршрутизатора Mikrotik, используемого для простого просмотра веб-страниц:

/ip dns set allow-remote-requests=yes server=8.8.8.8
/ip firewall nat add action=masquerade chain=srcnat out-interface=Internet
/ip firewall filter add action= fasttrack-connection chain=forward connection-state=installed,related

Общедоступный IP-адрес активен на интерфейсе под названием «Интернет».

Через некоторое время пользователь этого подключения жалуется на снижение производительности. Хороший техник анализирует роутер Mikrotik и замечает высокую загрузку процессора и большую нагрузку неизвестного трафика на публичный интерфейс. На этом этапе я использовал команды

/tool ​​torch и /tool ​​profile понимают, что ЦП занят процессом DNS, а трафик — это трафик разрешения DNS: наш маршрутизатор — это открытый DNS или позаимствовать выражение, полученное от почтовых серверов, у нас есть открытый преобразователь DNS.

2. Откуда берется этот вредоносный трафик и почему он так широко распространен?

Когда наш маршрутизатор получает значительные DNS-запросы извне, это означает, что он стал конечной точкой DDOS-атаки DNS Amplification или атаки DNS Reflector. Следовательно, это не цель атаки, а один из акторов, используемых для усиления атаки. В идеале рекурсивный DNS-сервер, в нашем случае маршрутизатор Mikrotik, должен принимать запросы только от клиентов в нашей локальной сети, но неправильная настройка может привести к его запросу от любого клиента даже за пределами нашей сети. Эти серверы определяются как «открытые преобразователи», и в контексте конференции ShmooCon (2006 г.), впервые посвященной анализу этой атаки, Дэн Камински и Майк Шиффман обнародовали около 580 000 серверов, расположенных в Интернете.

Пример диаграммы атака DDOS DNS Amplification или DNS Reflector

Концепция усиления основана на том факте, что очень маленькие запросы разрешения DNS могут генерировать ответы гораздо большего размера, например, 60-байтовый запрос UDP может генерировать ответ 512, что в 8,5 раз больше, чем запрос. Кроме того, используя методы рефракции и отправляя запросы, поддерживающие расширение EDNS, можно достичь коэффициента усиления 66,7. CISA кодифицировала эту атаку в бюллетене

Подробнее об атаке см. в этом документе, а по этой ссылке вы найдете исполняемую версию той же атаки. Для более опытных рекомендуется проанализировать сканер dns_amp во фреймворке Metasploit:

3. Разрешение

Правильная конфигурация

В Mikrotik для решения этой проблемы достаточно двух простых правил фильтрации, которые нужно поставить во главе нашей конфигурации:

add action=drop chain=input connection-state=new dst-port=53 in-interface=Internet protocol=udp
add action=drop chain=input connection-state=new dst-port=53 in -interface=Интернет-протокол=tcp

Служба уведомлений FlashStart

Однако опыт показывает, что всегда присутствует человеческая ошибка: мы часто забываем добавить эту конфигурацию.
К счастью, существует FlashStart®, ведущий на рынке облачный инструмент для фильтрации DNS.


Одной из новых услуг является уведомление по электронной почте в случае, если наш Mikrotik ведет себя как открытый преобразователь DNS. Если вы используете FlashStart® в качестве преобразователя DNS и забыли правильную конфигурацию своего маршрутизатора, вы получите электронное письмо со следующей структурой:


Фактически, серверы Flashstart® периодически сканируют общедоступные IP-адреса, предоставленные клиентами посредством простого DNS-запроса, и, если обнаруживают, что инфраструктура может быть использована для DDOS-атаки, DNS Amplification предупреждает нас, чтобы мы могли принять соответствующие меры. корректирующие действия.

Простая услуга, но ценимая нами, системными администраторами, защищает вас от нашей забывчивости.

4. См. другие ресурсы о «Маршрутизаторе Mikrotik и FlashStart»

Flashstart – это безопасный инструмент для навигации в Интернете как локально, так и удаленно во время умной работы.
Запросите расценки и сразу же начните бесплатную пробную версию

Вы можете активировать облачную защиту FlashStart® на любом маршрутизаторе и брандмауэре для защиты настольных и мобильных устройств, а также устройств IoT в локальных сетях.

Читайте также: