Атака на Wan, требуется помощь
 

Доброго времени суток.
Помогите пожалуйста разобраться с проблемой, уже весь мозг сломал.

Mikrotik RB750.
Загрузка процессора-100% Еле откликается, работать даже в WinBox не комфортно.
Весь канал забит.

Обновил прошивку на последнюю.
Отключил ДНС (Allow Remote Request)
Пробовал в разных вариациях файрвол настраивать.

Куда копать дальше? Помогите решить коллегиально задачу.

Заранее спасибо.

DDoS обыкновенный. Вам точно необходимо http://194.186.150.18:8080/ в мир выставлять? Если нет, то прикройте. Там какой-то Mikrotik HttpProxy 401 отвечает и видимо именно его на этой довольно хилой железке атакой пригасило.
Если да, то всё сложнее... Хотя я вижу, у вас есть drop правило на 8080 порт, но оно не работает - счётчики по нулям. То же кстати и с DNS.

Общение с микротиком только через порт WinBox открыто.
Вот почему правила не работают не знаю.
Сейчас блокирую подсети (роскомнадзор :) , но полагаю это не вариант.

Ну я час назад мог достучаться до вашего 8080, сейчас уже нет. Или вы исправили, или всё совсем плохо.
Тоже не очень хорошо, менеджмент интерфейсы следует ограничивать.
Очевидно потому, что выше в цепочке есть правила, их оверрайдящие. Или не тот интерфейс. Можно попробовать включить логирование на акцепты и смотреть, куда идёт трафик, который вы хотите заблокировать. Увы, я не гуру микротика, потому могу дать только общие советы.

Вопрос решил. Пересмотрел правила, убрал лишние и расставил по приоритету.Так же заблокировал входящий трафик на 8080 WAN интерфейса, все долбились именно туда. 8080, 80, 53
Нагрузка упала до 6-10% Все левое дропается.

Всем спасибо.