fbpx

Como proteger seu roteador mikrotik contra ataques DDoS – Noções básicas

Como proteger seu roteador mikrotik contra ataques DDoS – Noções básicas

Ataques distribuídos de negação de serviço ou DDoS são bastante populares hoje em dia e não é difícil adivinhar o nome do país de origem – a China / Hong Kong está no topo da lista dos atacantes. Hã!

Há muito tempo estou trabalhando com dispositivos mikrotik. Então, isso não é novidade para mim. Adivinha o que enfrentei na primeira vez em DDoS na minha rede doméstica. Confie em mim, levou toda a minha rede em minutos. Então, imagine o que aconteceria com uma rede corporativa! De qualquer forma, se você precisa saber mais sobre isso apenas google e você vai encontrar um monte de artigos sobre ele.

Então, sempre que você estiver configurando o seu roteador mikrotik pela primeira vez, é melhor configurar as regras de filtragem para evitar os ataques – “É melhor prevenir do que remediar!”

Sintomas Gerais:

  • Utilização total da largura de banda de uplink da WAN, mesmo que nenhum cliente esteja conectado ao seu roteador.
  • Latência extremamente alta.
  • Vários IPs desconhecidos conectados ao IP público do seu roteador. [Veja isto na opção da tocha e classifique por Rx / Tx]
  • Se você está curioso o suficiente e faz algumas pesquisas IP, você pode ver que esses IPs são principalmente da rede CHINANET. Cuidado !!

Algumas dicas importantes:

  • Desative o DNS, se não for necessário.
  • Se o DNS – Permitir solicitação remota estiver habilitado, verifique se a regra de filtragem apropriada está definida para impedir ataques DNS de entrada.?add action=drop chain=input dst-port=53 protocol=udpadd action=drop chain=input dst-port=53 protocol=tcp
  • Desabilite o acesso SSH, Telnet, se não for necessário.
  • Altere a porta HTTP para outra porta diferente da porta 80.

Solução (baseada em CLI):

/ip firewall filteradd action=jump chain=forward connection-state=new jump-target=detect-ddosadd action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10sadd action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=detect-ddosadd action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=detect-ddos add action=drop chain=forward connection-state=new dst-address-list=ddosed src-address-list=ddoser

Então, o que estou fazendo aqui? Não é ciência de foguetes, lógica de filtros simples! Mas antes disso você precisa ter o conceito de DDoS – O que, porque, como! Graças ao manual do Wiki e do Router OS do Mikrotik que me ajudou a descobrir isso.

  • Primeiro, capturaremos todas as novas conexões feitas e as passaremos para uma cadeia de firewall dedicada.
  • Em seguida, para cada par de endereços IP de origem e destino, configuraremos o limite para o número de pacotes por segundo (pps) e seus cronômetros de reinicialização e, em seguida, passaremos o controle de volta para a cadeia de onde ocorreu o salto.
  • Depois de termos os pacotes excedendo nosso pps predefinido, adicionamos a origem deles ao ‘ddoser’ e o destino às listas de endereços ‘ddosed’.
  • Em seguida, descartamos todos os pacotes que passam pelo roteador, se os IPs deles corresponderem à lista de endereços.

É isso aí! Nós somos bons para ir. Mas vou sugerir que você fale com seu provedor de upstream se você estiver enfrentando esses ataques com muita frequência, pois é sempre uma boa idéia bloquear DDoS na origem. Também aumenta nosso uso de CPU se não tivermos um roteador poderoso à nossa disposição …

Deixe uma resposta

0