دیجی کانفیگ
مرجع تخصصی آموزش وبمستر

جلوگیری از حملات DOS و DDOS در میکروتیک

اُکسین گستر

- تبلیغات -

به کمک میکروتیک می توانیم تا حدودی از حملات DOS و DDOS جلوگیری کنیم و در این مقاله قصد داریم روش مبارزه با حملات داس و دیداس در Mikrotik را به شما عزیزان آموزش می دهیم.

در صورت عادی یوزر یک درخواست به سمت سرور میفرستد و سرور نیز یک پیغام به عنوان اینکه اماده برای برقراری ارتباط میباشد به سمت یوزر میفرستد و یوزر نیز یک پیام تصدیق جهت برقراری ارتباط به سمت سرور میفرستد و ارتباط بین یوزر و سرور برقرار میشود.

در این نوع حمله ها در یک لحظه یا در طی یک زمان به صورت مداوم از طریق کامپیوترهای مختلف که ممکن است خواسته یا حتی ناخواسته مورد استفاده قرار گرفته باشند، به یک سرور (با آی پی مشخص) درخواست دریافت اطلاعات می شود و به دلیل محدود بودن قدرت پردازش سرور به کاربران مشابه مواقعی که کامپیوترهای رومیزی دچار کندی یا توقف کامل می شوند، دچار وقفه در سرویس دهی یا حتی Down شدن آن می شود.

برای جلوگیری از حملات DOS و DDOS بر روی میکروتیک در فایروال میکروتیک رول های زیر را اضافه می کنیم:

/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=detect-ddos

add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return
add chain=detect-ddos src-address=192.168.0.1 action=return

add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop

در رول های بالا ما تعداد ۳۲ کانکشن را در ۱۰ ثانیه عادی فرض میکنیم و بیشتر از آن را احتمال حملات داس و دیداس میدهیم و سورس آی پی را به ادرس لیست ddoser و ای پی مقصد را به ddosed اضافه میکنیم و به مدت ۱۰ دقیقه ارتباط این دو ادرس لیست را از یکدیگر جدا می کنیم.

پست های مرتبط

جلوگیری از حملات DOS و DDOS در میکروتیک

برای حل حملات دیگر فیلتر RP filter نیز داریم که به صورت زیر قابل فعال کردن می باشد:

Ip setting set rp-filter=loose

Ip setting set rp-filter=strict

این فیلتر جهت جلوگیری از ip spoofing در حملات ddos میباشد با کنترل پکت های ورودی و خروجی که strict در فیلتر کردن شدت بیشتری را اعمال میکند و اگر که از مسیریابی های مثل vrrp استفاده میکنیم loose پیشنهاد میشود.

اگر روتر میکروتیک به عنوان dns در نظر گرفته شده است باید پکت های ورودی به روتر را که شامل dns میباشند دراپ کرد.

Ip firewall filter add chain=input protocol=udp dst-port=53 action=drop

Ip firewall filter add chain=input protocol=tcp dst-port=53 action=drop

برای جلوگیری از حملات داس و دیداس بر روی میکروتیک از نوع syn flood نیز می توانیم از رول زیر استفاده کنیم.

Ip setting set tcp-syncookies=yes

 

اُکسین گستر

- تبلیغات -