جلوگیری از حملات Ddos در روترهای میکروتیک(قابل توجه دوستان هتزری)

[sssoheil]

با سلام
با توجه به ضعیف بودن شبکه دیتا سنتر هتزر در برابر حملات داس تصمیم گرفتم برای دوستان و همکاران عزیز اموزش جلوگیری از حملات داس با استفاده از روتر/فایروال میکروتیک رو قرار بدم.


توضیح مختصری درباره حملات داس:


(DoS (Denial of Service: نوعی حمله است که باعث افزایش بار بر روی روتر یا سرور میشود به این معنی که مصرف سی پی یو به 100% میرسد و سرور یا روتر توسط time out از دسترس خارج میشود.یا بطور کل تمام عملیاتهایی که میتونند روی مصرف سی پی یو تاثیر بذارند مثل فایروال و لاگینگ که میتونند باعث overload روتر بشوند اگر تعداد بسیار بالایی packet در ثانیه به روتر برسه.


SYN flood:نوعی از حمله Dos است که حمله کننده جانشینی از درخواستهای syn رو در تلاش به مصرف منابع بدون در نظر گرفتن ترافیک مجاز به سیستم هدف میفرسته.

Syn cookies:یک تکنیک کلیدی در دفاع در برابر حملات dos میباشد.اساس کار ان بر اساس صف بندی شماره TCP سرورها است به این صورت که syn coockie اجازه میده هنگامی که صف syn پر میشه سرور از اتصال کانکشنها جلوگیری کنه.


نحوه تشخیص:
با استفاده از کدهای CLI زیر میتونید نوع حمله رو تشخیص بدید:


اگر اتصالات بسیار زیادی به سرور شما از طریق syn فرستاده شده وجود دارد:


ip firewall connection print/


اگر پکتهای زیادی به شبکه شما وارد میشود:


interface monitor-traffic ether3/


اگر مصرف سی پی یو شما 100% است:


system resource monitor/


اگر اتصالات بسیار زیاد مشکوکی به سرور خود دارید:


tool torch/




نحوه محافظت در برابر این حملات:


نحوه محدود کردن کانکشن ها:
ای پی ادرسی رو که کانکشنهای زیادی به سرور شما زده به بلک لیست اضافه کنید:

/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d


به این نکته توجه داشته باشید که تعداد اتصالات رو با توجه به اتصالات مختلف ...,http,p2p,torrent محدود کنید.


عملیات tarpit:
روتر شما میتونه با دستور زیر به سادگی پکتهای حمله کننده رو drop کنه و اتصالات رو نگه داره تا به اهستگی به اصطلاح حمله رو بخوابونه:


/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit


/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes


/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no


/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no


قرار دادن syn=400 در اینجا فقط به عنوان یک استانه است جهت drop کردن پکتهای syn.

استفاده از تکنیک SYN coockies:

برای میکروتیک ورژن 6:

ip settings set tcp-syncookies=yes/

برای میکروتیک های ورژنهای قدیمی تر:

ip firewall connection tracking set tcp-syncookie=yes/


این آموزش 100% عملی و تست شده است.امیدوارم جواب بگیرید و ما رو هم دعا کنید
به زودی راهکارهای دیگه ای رو هم برای جلوگیری هر چه بیشتر در برابر حملات داس با استفاده از میکروتیک قرار میدهم.


یا حق

[MOHSEN-1]

اگر می تونستی توی وینباکس هم با نمایش عکس تکمیل کنی حرف نداشت

[taha_2011]

موافقم.
اگه با عکس توی وین باکس آموزش میدادید عالی بود چون الان واقعا گیج میشیم

[sssoheil]

:l از شماها دیگه بعیده.زدن 4 تا دستور CLI توی new terminal میکروتیک اینقدر سخته؟!!!

وینباکس باز کنید.به میکروتیک وصل بشید.از منوی سمت چپ new terminal برید.سپس طبق اموزش دستورات رو کپی پیست کنید.اگر به عنوان virtualization از سروراتون استفاده میکنید پیشنهاد میکنم dos attack نبندید چون 1 هسته از سی پی یو سرورتون رو اشغال میکنه میکروتیک و برای مجازی سازی یه صرفه نیست.این اموزش بیشتر برای عزیزانی بود که از سرورشون با کاربری هاستینگ استفاده میکنند.

[sssoheil]

ضمنا دقت کنید توی دستور اول که میخوایید ای پی ddos کننده رو به بلک لیست بدید باید ای پی مورد نظر خودتونو بدید.و توی

interface monitor-traffic ether3/ این دستور هم باید اسم کارت شبکه خودتونو بدید.مثلا اگر کارت شبکه شما 0 یا ether1 هست باید به جای ether3 کارت شبکه خودتونو بزنید.

[taha_2011]

آقا عکس بزارید خواهشا

[mhiizadi]

:l از شماها دیگه بعیده.زدن 4 تا دستور cli توی new terminal میکروتیک اینقدر سخته؟!!!
/

سایر دوستان بلد نیستند
بزارید دیگه

[d3m0n3y3z]

بسیار عالی بود.
از استارتر بسیار سپاس گزارم.

[farogh_90]

سلام و درود .
استارتر عزیز اول اینکه ممنون بابت آموزش .
مطلب بعدی اینکه راه های دیگه ای هم هست برای مقابله با Ddos ??????
چند روز پیش سرورم به احتمال قوی تحت حمله قرار گرفت، تو اون بازه مصرف ترافیکش نامتقارن شد .
یعنی 32 گیگ دانلود ثبت شده بود در حالی که آپلود 7 گیگ بود !
ممنون میشم راهنمایی بفرمایید .

[sssoheil]

دورد

بله راه کارهای دیگر هم هست.متاسفانه به دلیل مشغله کاری فرصت آماده کردن آموزش در این زمینه پیدا نکردم.