Inilah solusi untuk mencegah dan mengurangi serangan DDoS terhadap mikrotik. Cara ini tidak akan memblokir serangan DDoS dengan skala besar yang membutuhkan koordinasi dengan penyedia ISP dan hardware yang memadai untuk memblokir serangan DDoS.
Address List Ancaman
Serangan DDoS berasal dari banyak sumber dan ini merupakan cara yang jauh lebih mudah untuk memblokir koneksi menggunakan Address List. Identifikasi sumber dari IP Address jahat (mis. 1.1.1.1 dan 2.2.2.2) dan buat Address List:
/ip firewall address-list add address=1.1.1.1 list=Blackhole add address=2.2.2.2 list=Blackhole
Aturan Filter Prerouting
Untuk menahan serangan, kita akan memfilter / menurunkan koneksi terhadap sumber serangan. Semakin jauh router harus memproses lalu lintas yang buruk semakin keras juga kerja router kita. Proses Prerouting adalah tempat yang tepat untuk memblokir lalu lintas di perangkat itu sendiri jika kita tidak memiliki blackholing yang dikonfigurasi dengan penyedia ISP Anda.Baca juga Manual:Packet Flow
Buat aturan filter Prerouting menggunakan Address List Blackhole yang baru saja kita buat dan Action Drop:
/ip firewall raw add chain=prerouting src-address-list=Blackhole action=drop place-before=0
Ketika alamat IP berbahaya baru terdeteksi, tambahkan saja ke Address List .
Beberapa tips penting:
- Nonaktifkan DNS jika tidak diperlukan.
- Jika DNS – Izinkan permintaan jarak jauh diaktifkan, pastikan aturan filter yang tepat diatur untuk mencegah serangan DNS yang masuk.?
add action=drop chain=input dst-port=53 protocol=udp
add action=drop chain=input dst-port=53 protocol=tcp
- Nonaktifkan SSH, akses Telnet jika tidak diperlukan.
- Ubah port HTTP ke beberapa port lain selain port 80.
/ip firewall filter add action=jump chain=forward connection-state=new jump-target=detect-ddos add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=detect-ddos add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=detect-ddos add action=drop chain=forward connection-state=new dst-address-list=ddosed src-address-list=ddoser
Penjelasan
- Pertama kita akan menangkap semua koneksi baru yang dibuat dan meneruskannya ke rantai firewall khusus.
- Kemudian untuk setiap pasangan alamat IP sumber dan tujuan, kita akan mengatur batas untuk jumlah paket per detik (pps) dan timer reset mereka dan kemudian melewati kontrol kembali ke rantai dari mana lompatan terjadi.
- Setelah kita memiliki paket yang melebihi pps yang telah kami tentukan, kami menambahkan sumbernya ke ‘ddoser’ dan target ke Address List ‘ddosed’.
- Lalu kita drop semua paket yang mengalir melalui router jika IP mereka cocok dengan Address List.
- Mencegah Serangan pada Mikrotik dan di Monitoring oleh Bot Telegram
- Mencegah MikroTik DDoS Attack Mitigation
- Filter Serangan Bruto Force pada PPTP Server
- Mencegah Jaringan WIFI Hotspot dan LAN dari NetCut
gan ketika rule ini saya coba tambahkan justru koneksi live tv useetv drop gan, stb useetv jadi gak isa nonton live tv bisanya cuman youtube
Oh seperti itu,terimakasih gan infonya
mdnindak lanjut artikel ini,, saya menggunakan DNS 1.1.1.1 pada dynamic dhcp server, apakah akan terpengaruh ke koneksi ?
Masih bisa d tembus gan
Bukan begini caranya blackholing, tapi pakai /ip/route/.