جلوگیری از حملات داس و دیداس بر روی میکروتیک
همانطور که در مقاله مربوط به حملات DOS و DDOS نیز اشاره کردیم، در صورت عادی یوزر یک درخواست به سمت سرور میفرستد و سرور نیز یک پیغام به عنوان اینکه اماده برای برقراری ارتباط میباشد به سمت یوزر میفرستد و یوزر نیز یک پیام تصدیق جهت برقراری ارتباط به سمت سرور میفرستد و ارتباط بین یوزر و سرور برقرار میشود ، در این نوع حمله ها در یک لحظه یا در طی یک زمان به صورت مداوم از طریق کامپیوترهای مختلف که ممکن است خواسته یا حتی ناخواسته مورد استفاده قرار گرفته باشند، به یک سرور (با آی پی مشخص) درخواست دریافت اطلاعات می شود و به دلیل محدود بودن قدرت پردازش سرور به کاربران مشابه مواقعی که کامپیوترهای رومیزی دچار کندی یا توقف کامل می شوند، دچار وقفه در سرویس دهی یا حتی Down شدن آن می شود. برای جلوگیری از حملات DOS و DDOS بر روی میکروتیک در فایروال میکروتیک رول های زیر را اضافه می کنیم:
/ip firewall filter add chain=forward connection-state=new action=jump jump-target=detect-ddos add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return add chain=detect-ddos src-address=192.168.0.1 action=return add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop
در رول های بالا ما تعداد 32 کانکشن را در 10 ثانیه عادی فرض میکنیم و بیشتر از آن را احتمال حملات داس و دیداس میدهیم و سورس آی پی را به ادرس لیست ddoser و ای پی مقصد را به ddosed اضافه میکنیم و به مدت 10 دقیقه ارتباط این دو ادرس لیست را از یکدیگر جدا می کنیم.
برای حل حملات دیگر فیلتر RP filter نیز داریم که به صورت زیر قابل فعال کردن می باشد:
Ip setting set rp-filter=loose Ip setting set rp-filter=strict
این فیلتر جهت جلوگیری از ip spoofing در حملات ddos میباشد با کنترل پکت های ورودی و خروجی که strict در فیلتر کردن شدت بیشتری را اعمال میکند و اگر که از مسیریابی های مثل vrrp استفاده میکنیم loose پیشنهاد میشود.
اگر روتر میکروتیک به عنوان dns در نظر گرفته شده است باید پکت های ورودی به روتر را که شامل dns میباشند دراپ کرد.
Ip firewall filter add chain=input protocol=udp dst-port=53 action=drop Ip firewall filter add chain=input protocol=tcp dst-port=53 action=drop
برای جلوگیری از حملات داس و دیداس بر روی میکروتیک از نوع syn flood نیز می توانیم از رول زیر استفاده کنیم.
Ip setting set tcp-syncookies=yes
دوست عزیز اون tcp-syncookies باید غیر فعال بشه نه اینکه مقدرشو yes بذاری.
درود بر شما
ممنون از اطلاعاتی که در اختیار کاربران گذاشته اید.
من سوالی داشتم اگر جواب بدهید بسیار سپاسگذار خواهم بود.
اگر در روتری که هم کانکشن داخلی بر روی رنج 192.168.1.0/24 داشته باشد و هم کانکشن خارجی مثلا NAT برای VoIP & Cameras تعریف کرده باشیم این دستورات که برای حملات DDos &Dos اعمال کنیم، مشکلی برای سرویس های NATایجاد نمی شود؟
باسپاس
بستگی به نوع چینش رول ها داره.
بهترین کار به دلیل این که شرایط شبکه ها و کانفیگ ها متفاوته برای جلوگیری از بروز مشکل اینه که یک تست کنید زمانی که میتونین چند دقیقه ای رو دان تایم داشته باشین
ولی به حالت عادی مشکلی ایجاد نمیکنه مگه اینکه کانفیگ ها تداخل داشته باشن.
سلام روزبخیر،
ممنون از پست خوبتون در این رابطه، توی قسمت اول که یک سری rule تعریف میکنید برای تشخیص DDOS یه آیپی 192.168.0.1 تعریف کردین ولی توضیح خاصی ندادین میخواستم بدونم به منظور چیه؟ تک آیپی خاصی یا رنج شبکمون یا چیز دیگه ای؟
ممنون
سلام و عرض ادب ، عذرخواهی بابت تاخیر در جواب نتونستم زودتر پاسخ بدم
اون قسمت rule در واقع برای شما یک exclusion یا یک جدا کردن در نظر میگیره ، مثلا شما سروری دارید که تعداد کانکشن های خیلی بالایی به اون سرور همیشه صورت میگیره و شما نمیخواید که بلاک بشه مثل dns سرور که تعداد درخواست های خیلی زیادی همیشه به سمتش میره و شما نمیتونید اونو بلاکش کنید در نتیجه اگر خواستید یک همچین جداسازی یا exclusion ای در نظر بگیرید با اون خط رول فایروال میتونید این کار رو انجام بدید
موفق و موید باشید و تشکر از نظر شما