Mit Mikrotik DDOS Attacken erkennen und filtern
Um DDoS Attacken aus Botnetzen zu erkennen und sich davor ein wenig zu schützen sind nur wenige Eingriffe im RouterOS nötig.
Wir legen erst einmal eine Regel an, die alle eingehenden Pakete zu einer neuen Regel sendet.
Mithilfe der neuen Regel werden unkritische Pakete weitergeleitet – Anschließend können noch Ausnahmen für DNS und NTP Server erstellt werden.
Alle Absender deren Pakete nicht durchgereicht worden sind kommen 10min auf die Sperrliste. Genau das gleiche mit den Angreifenden IPAdressen.
Hört der Angriff auf verschwinden die IP-Adressen wieder aus der Adressliste da wir die oft unwissenden befallenen Rechner nicht auf ewig blocken möchten.
Im Routerboard folgendes einfügen:
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=detect-ddos
add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return
add chain=detect-ddos src-address=192.168.178.10 action=return
add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop
Eine weitere Möglichkeit die Attacken später nachzuvollziehen bieten Icinga oder Zabbix indem man einfach die Adresslisten einbindet und entsprechende Regeln erstellt.
Mit Mikrotik DDOS Attacken erkennen und filtern was originally published on opblog