Selamat Pagi , ketemu lagi dengan saya Admin Whuss, kali ini kita akan membahas Firewall filter mikrotik yang dapat memblok Denial of service yang biasa disingkat dan disebut DOS (bukan dos-prompt microsoft) merupakan salah satu tipe serangan attacker kearah jaringan yang bertujuan untuk menghentikan sementara atau selamanya fungsi operasi dari sebuah system. semoga bermanfaat.
Secara umum ada 4 macam jenis serangan DOS, walaupun tidak menutup kemungkinan terjadinya flood atau jenis serangan DOS lainnya. Sekaligus disini juga akan dituliskan rule penangkalnya pada MikroTik Router dengan asumsi MikroTik RouterOS telah difungsikan sebagai router sebelumnya serta jalur koneksi telah benar (invalid, stabilished, related dan sebagainya). 4 type serangan DOS terdiri dari:
1. Ping Of Death.
Attackers mengirimkan serangkaian paket data ke target yang tidak sesuai ketentuan aturan jaringan. Jika secara terus menerus bisa mengakibatkan jalur koneksi penuh dan berakibat drop nya server karena tidak bisa menampung kebutuhan tersebut.
Cara mengatasinya, buat rule dengan accept icmp yang ter-filter:
/ip firewall filter
add chain=input protocol=icmp action=jump jump-target=icmp
add chain=icmp protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment="Limited Ping Flood" disabled=no
add chain=icmp protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp action=drop comment="" disabled=no
2. SYN Flood.
Attackers mengirimkan paket TCP SYN ke objek target, sehingga berdampak objek target mengalami hang karena harus menyelesaikan proses koneksi dalam jumlah yang tak terbatas dan berakibat resources yang dimiliki mengalami drop.
Cara mengatasinya, buat rule dengan accept TCP-SYN yang ter-filter:
/ip firewall filter
add chain=input protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="Flood protect" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no
3. Land/Lattiera.
Serangan yang dilakukan oleh Attackers dengan mengirimkan paket SYN, yang memiliki alamat port/source yang sama dengan objek target.
Cara mengatasinya, lakukan hal yang sama seperti cara menangkal SYN-FLOOD, hanya saja disini ditambahkan "chain forward" akses SYN, yang mana dibelokkan (jump) ke "chain SYN-Protect". Sehingga rule-nya menjadi seperti berikut:
/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="Flood protect" disabled=no
add chain=input protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no
4. WinNuke.
Pengiriman data OOB/ORG pada koneksi dengan menggunakan TCP ke port 139 (NetBios Session/SMB) yang berakibat OS (dalam hal ini adalah windows) mengalami hang.
Penangkalnya, tutup protocol tcp yang menggunakan port 139, begitu juga protocol udp port 139 untuk menghindari hal yang tidak diinginkan:
/ip web-proxy direct
add dst-port=139 action=deny comment="" disabled=no
/ip firewall mangle
add chain=prerouting protocol=tcp dst-port=139 action=mark-connection new-connection-mark=drop-port
add chain=prerouting protocol=udp dst-port=139 action=mark-connection new-connection-mark=drop-port
/ip firewall filter
add chain=input connection-mark=drop-port action=drop comment="drop port" disabled=no
add chain=forward connection-mark=drop-port action=drop comment="" disabled=no
Sengaja ditambahkan rule "forward" yang mana artinya koneksi tersebut berasal dari jaringan dalam, untuk menghindari hal yang tidak diinginkan, terkadang Attacker juga bisa berasal dari dalam jaringan kita sendiri.
Share Postingan Ini
Klik if you like :