مقابله با حملات DDoS با میکروتیک

/ 15 آگوست 16

با برخی از راهکارهای مقابله با حملات DDoS و افزایش امنیت در میکروتیک در مقاله آموزشی زیر آشنا شویم.

DDoS attack

برای این منظور در ابتدا پیشنهاد می‌شود موارد زیر اعمال شوند:

  • غیر فعال کردن سرویس DNS در صورت عدم نیاز

در صورتی که در بخش DNS گزینه Allow Remote… فعال باشد ممکن است باعث ایجاد حملات DNS شود برای جلوگیری از آن زمانی که این گزینه فعال است این دستورات در CLI اجرا نمایید:

add action=drop chain=input dst-port=53 protocol=udp

add action=drop chain=input dst-port=53 protocol=tcp

  • غیر فعال کردن سرویس های SSH و Telnet در صورت عدم نیاز

در صورتی که نیاز به استفاده از این سرویس‌ها دارید می‌توان در قسمت IP گزینه Services برای هر سرویس یک Allowed Address مشخص نمود که آن سرویس فقط در رنج مدکور قابل دسترس باشد.

ip service set ssh address=LOCAL_NETWORK_ADDRESS

پیشنهاد می‌شود پورت‌های پیش‌فرض سرویس‌های SSH و Telnet نیز تغییر داده شود.

  • تغییر پورت پیش فرض سرویس HTTP به پورت غیر از ۸۰

با اعمال سیاست‌های فوق تا حدودی روتر از حملات DDoS در امان می‌باشد.

برای این‌که بتوان با استفاده از فایروال میکروتیک از اعمال DDoS روی سرورهای داخل شبکه نیز جلوگیری نمود دستورات زیر را عمال می‌کنیم:

/ip firewall filter

add action=jump chain=forward connection-state=new jump-target=detect-ddos

add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s

add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=detect-ddos

add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=detect-ddos

add action=drop chain=forward connection-state=new dst-address-list=ddosed src-address-list=ddoser

دستورات فوق ترافیک عبوری را به یک مرحله جدید برای بررسی DDoS منتقل می‌کند.

در این مرحله ترافیک‌ها بر اساس تعداد اتصال یا Connection به ازای هر IP در Source و Destination ترافیک را مورد بررسی قرار می‌دهد. در این مثال ما تعداد ۳۲ اتصال در هر ۱۰ ثانیه را ملاک حالت عادی قرار داده‌ایم که در صورت نیاز می‌توانید به تغییر آن اقدام نمایید.

سپس آدرس حمله‌کننده و آدرس سروری که به آن حمله می‌شود را در دو Address List جداگانه قرار می‌دهد و در این مثال ارتباط این دو آدرس لیست با یکدیگر را به‌طور کامل قطع می‌کند.

دریافت فایل Configuration

در مقالات بعدی به بررسی راهکارهای تخصصی‌تری برای مقابله و تشخیص حملات در شبکه داخلی خواهیم پرداخت.

نویسنده: بهداد رحمانی

LiveZilla Live Chat Software سوال خود را با ما مطرح کنید