Блокировка DoS на коммутаторе MikroTik
Docusaurus поддерживает оформление технической документации с примерами кода, таблицами и пояснениями. Ниже приведён пример оформления для аппаратной блокировки IP на MikroTik.
Пример конфигурации
/interface ethernet switch rule
add comment=dos-77.51.221.219 dst-address=77.51.221.219/255.255.255.255 mac-protocol=ip new-dst-ports="" ports=qsfpplus1-1,qsfpplus2-1,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4 switch=switch1
add comment=dos-81.8.93.66 dst-address=81.8.93.66/255.255.255.255 mac-protocol=ip new-dst-ports="" ports=qsfpplus1-1,qsfpplus2-1,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4 switch=switch1
add comment=dos-172.236.228.38 dst-address=172.236.228.38/255.255.255.255 mac-protocol=ip new-dst-ports="" ports=qsfpplus1-1,qsfpplus2-1,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4 switch=switch1
/interface ethernet switch rule
add comment=dos-77.51.221.219 dst-address=77.51.221.219/255.255.255.255 mac-protocol=ip new-dst-ports="" ports=ether49 switch=switch2
add comment=dos-81.8.93.66 dst-address=81.8.93.66/255.255.255.255 mac-protocol=ip new-dst-ports="" ports=ether49 switch=switch2
add comment=dos-172.236.228.38 dst-address=172.236.228.38/255.255.255.255 mac-protocol=ip new-dst-ports="" ports=ether49 switch=switch2
Описание параметров
| Параметр | Значение/Пример |
|---|---|
| comment | dos-77.51.221.219 |
| dst-address | 77.51.221.219/255.255.255.255 |
| mac-protocol | ip |
| new-dst-ports | "" (отбрасывание трафика) |
| ports | qsfpplus1-1, qsfpplus2-1, ... |
| switch | switch1 или switch2 |
Как это работает
- На указанных портах коммутатора создаются правила для блокировки IP-адресов.
- Трафик к этим адресам отбрасывается на аппаратном уровне (ASIC), минуя CPU.
- Это позволяет эффективно блокировать DoS/DDoS-атаки.
Визуальная схема
graph LR
A[Входящий трафик] --> B{Проверка на порту}
B -->|dst-address в списке| C[Мгновенное отбрасывание]
B -->|Другой адрес| D[Обычная передача]
Важно: Эти правила реализуются на уровне L2/L3 коммутатора, а не firewall, что обеспечивает максимальную производительность при фильтрации трафика.
dst-address=<IP>/32 # Блокируемый IP-адрес (маска /32)
mac-protocol=ip # Применять только к IP-трафику
new-dst-ports="" # Пустое значение = отбрасывание трафика
ports=<список портов> # Порты, на которых применяется правило
switch=switch<X> # Идентификатор коммутатора
## Особенности реализации:
### Аппаратная блокировка:
Правила выполняются на уровне коммутатора (без нагрузки CPU)
Трафик отбрасывается сразу при поступлении на порт
Блокируемые адреса:
77.51.221.219
81.8.93.66
172.236.228.38
Две группы правил:
| Параметр | Первый блок (switch1) | Второй блок (switch2) |
|---------------|---------------------------------------|----------------------|
| Порты | qsfpplus1-1, qsfpplus2-1, sfp-sfpplus* | ether49 |
| Коммутатор | switch1 | switch2 |
| Тип портов | SFP/QSFP+ (оптические) | Ethernet (медные) |
## Принцип работы
При поступлении IP-пакета на указанные порты:
Коммутатор проверяет destination IP-адрес
Если адрес совпадает с одним из заблокированных:
Трафик немедленно отбрасывается (new-dst-ports="")
Действие выполняется на аппаратном уровне ASIC
## Схема работы блокировки
```mermaid
graph LR
A[Входящий трафик] --> B{Проверка на порту}
B -->|dst-address в списке| C[Мгновенное отбрасывание]
B -->|Другой адрес| D[Обычная передача]
Важно: Это правила уровня L2/L3 коммутатора, а не firewall. Они обеспечивают максимальную производительность при блокировке DDoS-трафика.