Chuyên máy tính, mạng , camera Bách Khoa Computer
Dịch Vụ

Chống DDOS trên Mikrotik RouterOS

Đăng vào bởi Administrator
cài win tại nhà thumbnail
27
Th4

Tạo rule để phát hiện và ghi lại IP có dấu hiệu tấn công DDOS TCP (nhiều kết nối) và cho vào Address List.

Các phần cấu hình:

1. Tab General:

  • Chain: input

    • Xử lý các gói tin gửi tới chính router Mikrotik.

  • Protocol: 6 (tcp)

    • Áp dụng cho các gói TCP (ví dụ như HTTP, HTTPS…).

  • In. Interface: all ppp

    • Áp dụng cho tất cả kết nối qua PPP (vd: PPPoE Client, PPTP, L2TP…).

2. Tab Extra:

  • Connection Limit: 10/32

    • Nếu một IP có trên 10 kết nối TCP đến router từ cùng một địa chỉ /32 (tức là 1 IP), thì IP đó sẽ bị ghi nhận.

3. Tab Action:

  • Action: add src to address list

    • Thực hiện hành động thêm địa chỉ IP nguồn vào danh sách địa chỉ (address list).

  • Address List: IP_DDOS

    • IP vi phạm sẽ được thêm vào danh sách tên là IP_DDOS.

  • Timeout: 00:01:00

    • IP sẽ nằm trong danh sách này 1 phút (sau đó tự động xóa).

Các nút thao tác bên phải:

  • Apply: Áp dụng cài đặt.

  • OK: Lưu và đóng cửa sổ.

  • (Ngoài ra còn các nút như Cancel, Copy, Remove để hỗ trợ chỉnh sửa rule.)

Tóm tắt nhanh mục đích rule này:

Khi một IP tạo hơn 10 kết nối TCP đến router trong cùng một lúc, hệ thống sẽ tự động thêm IP đó vào danh sách IP_DDOS trong 1 phút để xử lý tiếp (ví dụ: chặn, giới hạn tốc độ…).

Tạo rule để phát hiện và ghi lại IP có dấu hiệu tấn công DDOS theo giao thức UDP, sau đó đưa IP vi phạm vào danh sách Address List.

Các phần cấu hình:

1. Tab General:

  • Chain: input

    • Xử lý những gói tin gửi trực tiếp đến router Mikrotik.

  • Protocol: 17 (udp)

    • Rule này chỉ áp dụng cho các gói tin sử dụng giao thức UDP.

  • In. Interface: all ppp

    • Áp dụng cho tất cả các kết nối đi qua PPP (ví dụ: PPPoE, PPTP, L2TP…).

2. Tab Extra:

  • Connection Limit: 10/32

    • Khi một địa chỉ IP tạo ra hơn 10 kết nối UDP tới router trong cùng một thời điểm, sẽ được coi là bất thường.

3. Tab Action:

  • Action: add src to address list

    • Hành động được thực hiện: thêm địa chỉ IP nguồn vào một danh sách địa chỉ.

  • Address List: IP_DDOS

    • Các IP bị phát hiện sẽ được đưa vào danh sách tên là IP_DDOS.

  • Timeout: 00:01:00

    • IP sẽ nằm trong danh sách IP_DDOS trong 1 phút (sau đó sẽ tự động xóa).

Các nút thao tác bên phải:

  • Apply: Áp dụng cài đặt thay đổi.

  • OK: Lưu và đóng cửa sổ cấu hình rule.

Tóm tắt nhanh mục đích rule này:

Nếu một IP gửi quá nhiều gói UDP tới router (trên 10 kết nối), Mikrotik sẽ tự động thêm IP đó vào danh sách IP_DDOS để xử lý tiếp như chặn, hạn chế…

Tạo rule để phát hiện và ghi lại những địa chỉ IP đích bị nghi ngờ đang chịu tấn công DDoS theo giao thức TCP từ bên trong mạng ra ngoài, sau đó đưa các IP đích vào danh sách Address List để theo dõi hoặc xử lý.

Các phần cấu hình:

1. Tab General:

  • Chain: output

    • Áp dụng cho các gói tin ra ngoài từ router (tức là router đang gửi lưu lượng đi).

  • Protocol: 6 (tcp)

    • Rule này chỉ áp dụng cho các gói tin sử dụng giao thức TCP.

  • Out. Interface: all ppp

    • Áp dụng cho tất cả các interface PPP (ví dụ PPPoE, L2TP…).

2. Tab Extra:

  • Connection Limit: 10/32

    • Nếu có hơn 10 kết nối TCP phát sinh từ router tới cùng một địa chỉ IP đích, sẽ đánh dấu IP đó là bất thường.

3. Tab Action:

  • Action: add dst to address list

    • Hành động: thêm địa chỉ IP đích (destination IP) vào danh sách địa chỉ.

  • Address List: IP_DDOS

    • Các IP bị nghi ngờ sẽ được thêm vào danh sách IP_DDOS.

  • Timeout: 00:01:00

    • IP sẽ nằm trong danh sách trong vòng 1 phút rồi tự động bị gỡ bỏ.

Các nút thao tác bên phải:

  • Apply: Áp dụng rule mới tạo.

  • OK: Lưu và đóng cấu hình.

Tóm tắt nhanh mục đích rule này:

Nếu router phát hiện mình đang mở quá nhiều kết nối TCP ra ngoài đến một IP nhất định (quá 10 kết nối), IP đó sẽ được coi là dấu hiệu bị DDOS hoặc tấn công, và đưa vào danh sách để giám sát/giới hạn.

Tạo rule để phát hiện và ghi lại những địa chỉ IP đích bị nghi ngờ đang chịu tấn công DDoS theo giao thức UDP, rồi thêm các IP này vào Address List để quản lý hoặc xử lý tiếp

Các phần cấu hình:

1. Tab General:

  • Chain: output

    • Rule áp dụng cho các gói tin được gửi ra từ router.

  • Protocol: 17 (udp)

    • Rule này chỉ áp dụng với gói tin sử dụng UDP.

  • Out. Interface: all ppp

    • Rule áp dụng cho tất cả các cổng kết nối PPP (VD: PPPoE, L2TP…).

2. Tab Extra:

  • Connection Limit: 10/32

    • Nếu router phát sinh hơn 10 kết nối UDP tới cùng một IP đích, địa chỉ IP đó sẽ được đánh dấu nghi ngờ.

3. Tab Action:

  • Action: add dst to address list

    • Hành động: thêm địa chỉ IP đích vào danh sách theo dõi.

  • Address List: IP_DDOS

    • Tên danh sách chứa các IP đích bị nghi là nguồn tấn công hoặc chịu tấn công.

  • Timeout: 00:01:00

    • IP sẽ được giữ trong danh sách 1 phút sau đó tự động gỡ bỏ nếu không phát sinh thêm bất thường.

Các nút thao tác bên phải:

  • Apply: Áp dụng rule vừa tạo.

  • OK: Lưu cấu hình và đóng.

Tóm tắt nhanh mục đích rule này:

Nếu router phát hiện mình đang gửi nhiều kết nối UDP ra ngoài đến một IP nào đó (hơn 10 kết nối), IP đó sẽ được đánh dấu là nghi ngờ và đưa vào danh sách IP_DDOS để giám sát.

Thêm một luật firewall mới để drop (chặn) các kết nối từ các địa chỉ IP trong danh sách “IP_DDOS

Phần bên trái (Tab General):

  • Chain: input

    • Nghĩa là áp dụng luật cho các gói tin đi vào router (ví dụ như truy cập SSH, Winbox, HTTP vào thiết bị).

  • Src. Address List: IP_DDOS

    • Chọn danh sách địa chỉ nguồn có tên IP_DDOS, tức là các IP đã được xác định là tấn công DDoS.

Các mục khác như Src. Address, Dst. Address, Protocol, Port, Interface… đều để trống, tức là không giới hạn thêm.

Phần bên phải (Tab Action):

  • Action: drop

    • Thực hiện hành động drop, tức là bỏ qua gói tin này, không xử lý tiếp.

  • Log: có dấu check (✔️)

    • Có bật ghi log lại những gói tin bị drop này.

Log Prefix để trống (nếu muốn phân biệt log có thể đặt tiền tố ở đây).

Các nút điều khiển bên phải:

  • OK: Lưu và thoát cấu hình.

  • Cancel: Hủy thay đổi.

  • Apply: Áp dụng thay đổi mà không thoát cửa sổ.

  • Các nút khác: Disable, Comment, Copy, Remove, Reset Counters, Reset All Counters để quản lý rule firewall.

Mục đích cấu hình này:

  • Tự động chặn và ghi log lại các IP trong danh sách IP_DDOS, bảo vệ router trước các cuộc tấn công từ bên ngoài như DDoS, brute-force login…

Thiết lập luật Firewall chặn lưu lượng outbound đến IP_DDOS trên MikroTik

Phần bên trái (Tab General):

  • Chain: output

    • Quy định luật này áp dụng cho các gói tin ra ngoài từ chính Router (ví dụ: router gửi ping, truy vấn DNS, kết nối ra Internet…).

  • Dst. Address List: IP_DDOS

    • Luật này áp dụng cho các gói tin đích thuộc danh sách địa chỉ IP_DDOS (các IP bị cho là tấn công DDoS).

Các trường khác như Src. Address, Dst. Address, Src. Address List, Protocol, Ports, Interfaces đều để trống, tức là không giới hạn thêm.

Phần bên phải (Tab Action):

  • Action: drop

    • Khi gói tin khớp điều kiện, router sẽ bỏ (drop) gói tin đó, không gửi đi.

  • Log: đã tick chọn (✔️)

    • Nghĩa là mỗi lần rule này kích hoạt, hành động sẽ được ghi log lại.

Log Prefix: để trống (có thể điền nếu muốn dễ tìm kiếm log).

Các nút điều khiển bên phải:

  • OK: Lưu rule và đóng cửa sổ.

  • Apply: Áp dụng rule mới (nhưng không đóng cửa sổ).

  • Cancel: Hủy bỏ các thay đổi.

  • Các nút khác: Disable, Comment, Copy, Remove, Reset Counters, Reset All Counters dùng để quản lý rule.

Ý nghĩa cấu hình:

  • Chặn các gói tin do router tự sinh ra mà gửi đến các IP nằm trong danh sách IP_DDOS.

  • Điều này giúp ngăn việc Router vô tình phản hồi hoặc giao tiếp với các địa chỉ IP đang tấn công mình.

  • Kết hợp với ảnh trước (input chain) sẽ bảo vệ 2 chiều:

    • Input: Chặn các IP DDoS từ ngoài vào router.

    • Output: Ngăn router gửi dữ liệu ra lại các IP DDoS.

Cách trên Chỉ áp dụng cho Mạng WAN bị tấn công từ bên ngoài vào. MẠng LAn vui lòng đợi cập nhật sau.

Cấm sao chép dưới mọi hình thức , xin cảm ơn!

 

5/5 - (2 bình chọn)
Administrator

Hãy quý trọng những gì bạn đang có