Gambar diatas setelah dilakukan optimasi |
Distributed Denial of Service Attacks merupakan sebuah serangan yang ditujukan kepada perangkat jaringan dalam hal ini RouterBoard, dengan membanjiri request tertentu sehingga mengakibatkan resource menjadi tidak normal.
Akibat dari DDOS ini salah satunya traffic yang tinggi pada interface WAN. Selain itu Resource CPU naik, sehingga seringkali respon router menjadi lambat. Terdapat beberapa parameter yang menunjukan bahwa anda menghadapi masalah DDOS Attack atau seperti dns flood mikrotik:
- Interface WAN khususnya Uplink/Gateway terjadi traffic yang tinggi, bisa dicek pada Interface > ether1 > traffic
- Beberapa IP Address yang tidak anda kenal mengakses router, lewat port 53 mikrotik, bisa dicek dengan Interface > ether1 > torch
Setelah dilakukan pengecekan dengan IP Address lookup, didapati beberapa dari China, seperti 182.106.155.234. Hm.. anda patut waspada. Jadi bagaimana cara mengatasi mengatasi ddos attack ini di RouterBoard ? Berikut ini beberapa cara yang untuk mencegah serangan DDOS Attack serta cara block flooding di mikrotik.
Update RouterOS
Untuk menghindari bugs pada RouterOS, disarankan untuk selalu mengupgrade RouterOS ke versi yang paling baru. Langkah upgrade RouterOS bisa dilakukan dengan memilih System > Package > Check for Update.
Matikan Port Service atau ubah
Port service yang tidak digunakan pada RouterOS mengakibatkan celah tersendiri untuk dilakukan serangan. Pada RouterOS terdapat beberapa port yang aktif seperti ssh, telnet, www. Jika memang service tersebut tidak digunakan, bisa di disable atau jika memang memakai, bisa diganti.
Matikan DNS Request
Fitur "Allow Remote Request" mengijinkan client untuk melakukan request DNS ke router. Jika tidak membutuhkan, bisa disable fitur ini.
Block request UDP port 53
Kemudian langkah terakhir mencegah flooding di mikrotik adalah melakukan blok pada Protocol UDP port 53. Untu melakukan blok 53 terdapat beberapa cara, yang pertama dengan Address List Action Block dan yang kedua dengan Firewall RAW.
Chain Input, Protocol UDP, Dst Port 53, In Interface sfp1-gateway (Interface WAN), Action Add src to Address List, Address list Blok-53 (hanya penamaan saja). Setelah menangkap traffic yang masuk dari Interface WAN, bisa dilakukan cek pada IP > Firewall > AddressList, akan tertangkap IP Address yang sesuai kriteria aturan firewall diatas.
Firewall Address List Tangkap akses ke UDP 53
Untuk melakukan blok UDP port 53 ini adalah membuat firewall chain input, dengan kriteria Protocol UDP port tujuan 53, action nya add to address-list. Nantinya IP Address yang mengakses router menggunakan protocol UDP port 53 ini akan dimasukan dalam address-list.Chain Input, Protocol UDP, Dst Port 53, In Interface sfp1-gateway (Interface WAN), Action Add src to Address List, Address list Blok-53 (hanya penamaan saja). Setelah menangkap traffic yang masuk dari Interface WAN, bisa dilakukan cek pada IP > Firewall > AddressList, akan tertangkap IP Address yang sesuai kriteria aturan firewall diatas.
Blok IP Address
Selanjutnya, jika sudah terdaftar di Address List, adalah melakuan blocking berdasarkan Address List blok-53.
Aturan diatas akan melakukan blok pada Chain Input dimana Src Address yang dari Address List blok-53
Block dengan Fitur Firewall RAW
Menggunakan firwall RAW cocok untuk menangkal DDOS, selain lebih simple, Firewall RAW ini dapat menghemat Resource dari RouterBoard, karena paket yang ingin didrop berada sebelum Connection Tracking. Langkahnya, disable dahulu cara dengan Address List Action Drop, kemudian tambahkan ini sesuai gambar dibawah.
Kesimpulan
Setelah melakukan blocking UDP 53, traffic kembali normal dan wajar. Untuk kasus yang lain, cara yang dilakukan hampir sama yakni dengan melihat terlebih dahulu traffic apa yang terjadi menggunakan tool TORCH, selanjutnya baru bisa dibuat firewall sesuai kondisi jaringan dan apa yang diinginkan oleh Network Adminsitrator.
Fitur Firewall RAW lebih menguntungkan untuk menangani traffic tinggi yang diakibatkan akses DNS Port 53, selain lebih hemat, juga lebih mudah. Terimakasih.
Fitur Firewall RAW lebih menguntungkan untuk menangani traffic tinggi yang diakibatkan akses DNS Port 53, selain lebih hemat, juga lebih mudah. Terimakasih.
0 comments:
Post a Comment