/ip dns
set allow-remote-requests=yes cache-size=8192KiB servers=77.88.8.8,77.88.8.1
/ip firewall filter
add action=jump chain=input connection-state=new jump-target=detect-ddos
add action=drop chain=input connection-state=new dst-address-list=ddosed in-interface=ether1 src-address-list=ddoser
add action=drop chain=forward comment="drop from all in dns-flood address list" dst-port=53 protocol=udp src-address-list=dns-flood
add chain=forward comment="add src IP to dns-flood address list" dst-limit=32,32,src-address/20s dst-port=53 protocol=udp
add action=add-src-to-address-list address-list=dns-flood address-list-timeout=23h59m59s chain=forward dst-port=53 protocol=udp
add action=return chain=detect-ddos dst-limit=1,10,src-and-dst-addresses/20s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=detect-ddos
/ip firewall nat
add action=dst-nat chain=dstnat comment="DNS flood" dst-port=53 protocol=udp src-address-list=ddoser to-addresses=192.168.0.1 to-ports=53
И так не больщой разбор:
ddosed список кому посылают запросы
ddoser список тех кто посылает запросы, с ether1 данные блокируються, с остальных рекомендуем проверить ПК почему от них идут эти запросы.
dns-flood скорее всего есть вирус и ведеться атака