این پست مانند این پست(جلوگیری از حمله DDOS)جلوی حملات رو میگیره ولی با این تفاوت که فشاری به روتر ما نمیاره. حالا چجوری؟
در قابلیت جدید فایروال میکروتیک به نام RAW توضیح دادم چجوری میشه؟
امروز میخوام آموزش اینکه چجوری داخل روتر های میکروتیک جلوی حمله DDOS رو بگیریم.
اکثر افرادی که روتری دارند و اون روتر به اینترنت دسترسی داره و IP Valid روش هست به احتمال 99 درصد تا حالا بهش حمله شده که میتونه موفق بوده باشه یا ناموفق ولی در هر صورت پهنای باند ما رو میگیره.
حالا چجوری جلوی این حمله ها رو بگیریم؟
اول از همه چند نکته بگم واسه اینکه حملات کمتر بشه
- DNS رو غیره فعال کنید
- اگر DNS فعال هست و گزینه Allow remote request فعال هست حتما رولی داخل فایروال بنویسید که درخواست های dns از اینترنت رو قطع کنه
/ ip firewall raw add disabled=no chain=prerouting dst-port=53 protocol=tcp action=drop in-interface=pppoe-out1 / ip firewall raw add disabled=no chain=prerouting dst-port=53 protocol=udp action=drop in-interface=pppoe-out1
- در صورتی که از SSH و Telnet و Web استفاده نمیکنید حتما اون ها رو غیره فعال کنید یا پورتشون رو عوض کنید که از مسیر زیر در winbox این کارو میتونید بکنید.
ip service
حالا برای جلوگیری از حمله DDOS فقط کافیه دستورات زیر رو در CLI میکروتیک وارد کنید.
/ip firewall filter
add action=jump chain=forward connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=detect-ddos
/ip firewall raw
add disabled=no action=drop chain=prerouting dst-address-list=ddosed src-address-list=ddoser
این دستورات به این صورت عمل میکنند که در صورتی که از یک آدرس خاص بیشتر از 32 درخواست در 10 ثانیه قبل اومده باشه اون رو وارد یک آدرس لیست میکنه برای مدت زمان 10 دقیقه یه نوع لیست سیاه و درخواست های اون آدرس رو میبنده.در صورتی که بخواید میتونید مدت زمان ها و یا تعداد درخواست ها رو در ده ثانیه تغییر بدید.
قابلیت جدید فایروال میکروتیک به نام RAW
ویدیو اموزش کامل رومینگ میکروتیگ از طریق CAPsMAN
تعریف Ip Address برای Interface در میکروتیک