Проверфем не слишком ли много пакетов в секунду происходит через интерфейс?
/interface monitor-traffic ether2Проверяем загрузку процессора 100%?
/system resource monitorПроверяем колличество подозрительных соединений.
/tool torch
Защита от таких атак.
Лимит входящих соединений.
Если с одного IP адреса подключений больше лимита, то этот IP попадает в "черный список" и в дльнейшем блокируется.
/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d
Где LIMIT - максимальное количество соединений в определенного IP. Предел должен быть от 100 и выше, так как многие услуги, используют несколько соединений (HTTP, Torrent, и другие P2P-программы).
Опция tarpit
Вместо того чтобы просто удалять пакеты атакующего, маршрутизатор может захватить и удерживать соединения и с достаточно мощным маршрутизатором это может замедлить скорость атаки.
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr
connection-limit=3,32 action=tarpit
SYN Фильтрация
Некоторые расширенные возможности фильтрации может влиять на состояние пакетов TCP.
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new
action=drop comment="" disabled=no
«syn limit = 400" является лимитом пакетов, просто включите правило в цепочке первым для пакетов SYN, чтобы пакеты удалялись (для избежания чрезмерного количества новых подключений)
SYN cookies
/ip firewall connection tracking set tcp-syncookie=yes