Вчера я заметил странную активность моего скромного веб-сервера: он был умеренно теплым, подергивался головками жестких дисков, а активность в локальной сети была необычно высокой.
Когда я просмотрел логи, обнаружил, что какой-то хост сканирует мой веб-сервер на наличие документов, используя имена файлов грубой силой.
Есть ли какая-либо защита от такой грубой атаки, которую я мог бы реализовать в RouterOS?
Да, есть защита. По сути, вам нужно будет добавить правило брандмауэра для обнаружения таких хостов (критерии: несколько соединений tcp/port 80 с одного хоста), а когда у вас есть один, добавить этот IP-адрес источника в список адресов.
/ip firewall filter add chain=input protocol=tcp dst-port=80 connection-limit=200,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d
Затем заблокируйте входящие соединения из этого списка адресов.
/ip firewall filter add chain=input src-address-list=blocked-addr action=drop
Вы должны настроить предел (здесь, 200). А также цепочка (ввод, если веб-сервер является устройством mikrotik, пересылка, если это другой веб-сервер)
Это адаптировано из вики:http://wiki.mikrotik.com/wiki/DoS_attack_protection