img

Высокая загрузка процессора Mikrotik. Что делать?

Сетевое оборудование вендора Mikrotik является весьма любопытным и привлекательным продуктом в сегменте SOHO (Small office/home office). Соотношение цены, качества, функционала и стабильности обеспечивает все большее распространение небольших белых коробочек в офисах небольших компаний.

Но спустя какое-то время беззаботного пользования, пользователи начинают жаловаться. Администратор, открыв Winbox, переходит в раздел SystemResources и видит, что загрузка процессора 100%:

Загрузка процессора Mikrotik 100 %

Не стоит волноваться. У нас есть решение. Все настройки и «траблшутинг» будем осуществлять с помощью Winbox.


Настройка Firewall в Mikrotik

Первым делом давайте проверим службу, которая больше всего «отъедает» ресурсов процессор. Для этого, перейдем в раздел ToolsProfile:

Посмотреть службу, которая загружает процессор в Mikrotik

Как видно из скриншота, львиную долю ресурсов нашего процессора занимает служба DNS. Давайте посмотрим, что происходит на уровне обмена пакетами на основном интерфейс ether1. Для этого воспользуемся утилитой ToolsTorch:

DNS спуфинг в Mikrotik

Мы видим большое количество пакетов с различных IP – адресов на 53 порт. Наш Mikrotik отвечает на каждый из таких запросов, тем самым, нерационально используя ресурсы процессора и повышая температуру.

Эту проблему надо решать. Судя по снятому дампу, пакеты приходят с частотой 10-20 секунд с одного IP – адреса. Добавим в наш Firewall два правила:

  1. Все IP – адреса, пакеты с которых приходят на 53 порт нашего Микротика будут помещаться в специальный лист с названием dns spoofing на 1 час.
  2. Каждый IP – адрес, с которого будет поступать запрос на 53 порт будет проверяться на предмет нахождения в списке dns spoofing . Если он там есть, мы будем считать, что это DNS – спуфинг с частотой реже чем раз в час и будем дропать данный пакет.

Переходим к настройке. В разделе IPFirewallFilter Rules создаем первое правило нажав на значок «+». Во кладке General указываем следующие параметры:

Как закрыть DNS спуфинг на микротике
  • Chain = input - обрабатываем приходящие пакеты
  • Protocol = UDP - нас интересуют пакеты, у которых в качестве транспорта используется UDP
  • Dst. Port = 53 - портом назначения должен быть 53 порт, то есть DNS служба
  • In. Interface = ether1 - проверка подвергаются все пакеты, которые приходят на интерфейс ether1, который смотрит в публичную сеть.

Переходим во вкладку Action:

Добавить IP – адреса в список на Mikrotik
  • Action = add src to address list - в качестве действия, мы будем добавлять IP – адрес источника в специальный лист
  • Address List = dns spoofing - указываем имя листа, в который добавляем IP
  • Timeout = 01:00:00 - добавляем на 1 час

Нажимаем Apply и OK. Настроим второе правило, так же нажав на «+»:

Дропать нежелательные пакеты Mikrotik

Как видно, настройки во вкладке General в данной вкладке идентичны первому правилу. Нажимаем на вкладку Advanced:

Action Drop Mikrotik
  • Src. Address List= dns spoofing - указываем Микротику, производить проверку приходящего пакета на предмет нахождения в указанном листе

Переходим во вкладку Action:

Action Drop Mikrotik
  • Action = drop - если IP – адрес пакета есть в указанном списке, то дропаем этот пакет.

После того, как оба правила стали активны переходи во вкладку IPFirewallAddress Lists:

 Address Lists Mikrotik

Как видно, адреса стали добавляться в список на 1 час. Теперь давайте проверим загрузку процессора:

Проблема с загрузкой процессора на Mikrotik решена

Теперь загрузка процессора в пределах нормы. Проблема решена.

Ссылка
скопирована
DevOps
Скидка 25%
DevOps-инженер с нуля
Научитесь использовать инструменты и методы DevOps для автоматизации тестирования, сборки и развертывания кода, управления инфраструктурой и ускорения процесса доставки продуктов в продакшн. Станьте желанным специалистом в IT-индустрии и претендуйте на работу с высокой заработной платой.
Получи бесплатный
вводный урок!
Пожалуйста, укажите корректный e-mail
отправили вводный урок на твой e-mail!
Получи все материалы в telegram и ускорь обучение!
img
Еще по теме:
img
Система доменных имен (DNS – Domain Name System) обеспечивает сетевую коммуникацию. DNS может показаться какой-то невидимой сило
img
Wi-Fi это технология, которая использует радиоволны для отправки и получения сигналов от находящихся поблизо
img
BGP (Border Gateway Protocol) - это протокол граничного шлюза, предназначенный для обмена информацией о маршрутизации и доступно
img
Когда читаете данную статью, браузер подключается к провайдеру (или ISP) а пакеты, отправленные с компьютера, находят путь до се
img
Современные веб-сайты и приложения генерируют большой трафик и одновременно обслуживают многочисленные запросы клиентов. Баланси
img
Первоначально BGP был разработан как протокол Внешнего шлюза (Exterior Gateway Protocol - EGP), что означает, что он предназнача
Комментарии
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59