Inilah solusi untuk mencegah dan mengurangi serangan DDoS terhadap mikrotik. Cara ini tidak akan memblokir serangan DDoS dengan skala besar yang membutuhkan koordinasi dengan penyedia ISP dan hardware yang memadai untuk memblokir serangan DDoS.

Address List Ancaman

Serangan DDoS berasal dari banyak sumber dan ini merupakan cara yang jauh lebih mudah untuk memblokir koneksi menggunakan Address List. Identifikasi sumber dari IP Address jahat (mis. 1.1.1.1 dan 2.2.2.2) dan buat Address List:

/ip firewall address-list
add address=1.1.1.1 list=Blackhole
add address=2.2.2.2 list=Blackhole

Aturan Filter Prerouting

Untuk menahan serangan, kita akan memfilter / menurunkan koneksi terhadap sumber serangan. Semakin jauh router harus memproses lalu lintas yang buruk semakin keras juga kerja router kita. Proses Prerouting adalah tempat yang tepat untuk memblokir lalu lintas di perangkat itu sendiri jika kita tidak memiliki blackholing yang dikonfigurasi dengan penyedia ISP Anda.Baca juga Manual:Packet Flow

Buat aturan filter Prerouting menggunakan Address List Blackhole yang baru saja kita buat dan Action Drop:

/ip firewall raw 
add chain=prerouting src-address-list=Blackhole action=drop place-before=0

Ketika alamat IP berbahaya baru terdeteksi, tambahkan saja ke Address List .

Beberapa tips penting:

  • Nonaktifkan DNS jika tidak diperlukan.
  • Jika DNS – Izinkan permintaan jarak jauh diaktifkan, pastikan aturan filter yang tepat diatur untuk mencegah serangan DNS yang masuk.?add action=drop chain=input dst-port=53 protocol=udpadd action=drop chain=input dst-port=53 protocol=tcp
  • Nonaktifkan SSH, akses Telnet jika tidak diperlukan.
  • Ubah port HTTP ke beberapa port lain selain port 80.
/ip firewall filter
add action=jump chain=forward connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=detect-ddos 
add action=drop chain=forward connection-state=new dst-address-list=ddosed src-address-list=ddoser

Penjelasan

  • Pertama kita akan menangkap semua koneksi baru yang dibuat dan meneruskannya ke rantai firewall khusus.
  • Kemudian untuk setiap pasangan alamat IP sumber dan tujuan, kita akan mengatur batas untuk jumlah paket per detik (pps) dan timer reset mereka dan kemudian melewati kontrol kembali ke rantai dari mana lompatan terjadi.
  • Setelah kita memiliki paket yang melebihi pps yang telah kami tentukan, kami menambahkan sumbernya ke ‘ddoser’ dan target ke Address List ‘ddosed’.
  • Lalu kita drop semua paket yang mengalir melalui router jika IP mereka cocok dengan Address List.

Leave a Reply