[ratings]

روتر میکروتیک و دفاع در برابر حمله DoS

حمله ی DoS (Denial of Service) باعث لود بیش از حد روتر (از جمله روتر میکروتیک) می شود. بدین معنی که استفاده از CPU روتر تا ۱۰۰ درصد افزایش پیدا کرده و روتر می تواند خارج از دسترس گردد. هنگامی که تعداد پکت های در ثانیه دریافتی افزایش پیدا می کند،  تمامی عملیات روی پکت ها که نیازمند قدرت CPU بالا می باشند مانند firewalling (filter, NAT, mangle), logging, queues میتوانند باعث لود بیش از حد شوند.

در واقع هیچ راه کار کاملی در برابر حمله های DoS وجود ندارد. هر سرویسی می تواند با دریافت درخواست های زیاد خارج از دسترس گردد. ولی راه هایی وجود دارد که می تواند توان حملات را کمتر کند.

  • در اختیار داشتن روتر یا سروری قوی تر
  • داشتن آپ لینک با سرعت بیشتر
  • کاهش تعداد رول های فایروال، صف و سایر کارهایی که روی پکت ها انجام می شود.
  • حمله ها را ردیابی کنید و آنها را در نزدیکترین محل به مهاجم، بلاک کنید.

انواع حملات DoS

TCP SYN flood

تشخیص دستورات:

تعداد زیادی کانکشن با syn-sent state وجود دارد؟ پس از این دستور استفاده کنید:

/ip firewall connection print

تعداد زیادی پکت در ثانیه به سمت اینترفیس می رود؟

/interface monitor-traffic ether3

مصرف CPU ، ۱۰۰% است؟

/system resource monitor

تعداد زیادی کانکشن مشکوک وجود دارد؟

/tool torch

حفاظت:

  • محدود کردن کانکشن های وارد شده

یک آدرس IP که تعداد با تعداد کانکشن های بسیار زیاد می تواند به آدرس لیست ” black-list” برای جلوگیری از دسترس آن استفاده کرد.

ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32   action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d

  • Action tarpit

به جای آنکه پکت های مهاجمان را دراپ کنید (‘action=drop’) روتر می تواند پکت ها را دریافت و با بازنگه داشتن کانکشن ها باعث کاهش سرعت حمله ی مهاجم گردد.

/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \connection-limit=3,32 action=tarpit

  • SYN filtering

فیلتر های پیشرفته تر را می توان بر روی tcp packet state اعمال کرد.

ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new  action=jump jump-target=SYN-Protect comment=”SYN Flood protect” disabled=yes

ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment=”” disabled=no

ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment=”” disabled=no

 

برای v6.x :

/ip settings set tcp-syncookies=yes

برای RouterOS های ورژن های قدیمی:

/ip firewall connection tracking set tcp-syncookie=yes

۱
۲
۳
۴
۵
میانگین امتیازات ۵ از ۵
از مجموع ۱ رای
5/5 - (1 امتیاز)