firewall mikrotik mengatasi UDP Flooding

hai sob, hari ini saya akan posting bagaimana cara mengatasi serangan UDP Flooding, tapi ngomong-ngomong UDP flood itu apa sih? ini nih penjelasan dari situs radware berikut kutipannya

A UDP flood is a network flood and still one of the most common floods today. The attacker sends UDP packets, typically large ones, to single destination or to secara acak ports. In most cases the attackers spoof the SRC IP which is easy to do since the UDP protocol is ?Connectionless? And does not have any type of handshake mechanism or session.

The main intention of a UDP flood is to saturate the Internet pipe. Another impact of this attack is on the network and security elements on the way to the target server, and most typically the firewalls. Firewalls open a state for each UDP packet and will be overwhelmed by the UDP flood connections very fast.  jadi dari kutipan di atas akibat dari serangan UDP Flooding ini menyebabkan pipa bandwidth yang diserang full atau dengan kata lain bandwidth tersedot habis. berikut gambar dibawah ini salah satu contoh akibat serangan UDP Flood

UDP Flood Mikrotik

dari gambar pada atas ether1-modem koneksi bandwidth RX nya terkuras habis, sedangkan dalam ether2-lan tidak terdapat koneksi yg hingga menghabiskan bandwidth TX misalnya pada ether1-modem. Dan menggunakan tools torch pada mikrotik, ether1-modem dipandang protocol yang habis menggunakan adalah UDP. Ini merupakan keliru satu ciri terkena UDP Flood sob.

Ok kita sudah tau definisi dan karakteristik-ciri UDP Flood Attack, kini kita coba mengatasinya agar UDP Flooding ini mampu pada block. Buat mengatasinya saya menggunakan fitur firewall pada mikrotik, lebih tepatnya yaitu filter rule. Menggunakan filter rule kita gampang memilah-milih koneksi mana yg akan pada drop. Di bawah ini adalah rule sederhana yang akan langsung drop koneksi apabila sama dengan rule yg masuk pada address-list "udp_flooddanquot;

			
		

chain=input action=drop src-address-list=udp_flood log=no log-prefix=""

chain=input action=add-src-to-address-list protocol=udp

address-list=udp_flood address-list-timeout=0s dst-port=!53 log=no

log-prefix=""

filter rule di atas akan menutup semua koneksi UDP kecuali port 53 (DNS), memang ekstrim sih ini rule nir ada jarak pribadi main drop. Ok bagaimana apabila kita memberi waktu buat memastikan apa itu benar-sahih UDP flood? Baik, akan kita coba buatkan filter rule sama halnya menggunakan SSH brute force, berikut rulenya

			
		

chain=input action=drop protocol=udp src-address-list=ssh_blacklist

dst-port!=53 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new

protocol=udp src-address-list=udp_stage2 address-list=udp_stage3

address-list-timeout=0s dst-port!=53 log=no

log-prefix=""

chain=input action=add-src-to-address-list connection-state=new

protocol=udp src-address-list=udp_stage1 address-list=udp_stage2

address-list-timeout=0s dst-port!=53 log=no

log-prefix=""

chain=input action=add-src-to-address-list connection-state=new

protocol=udp address-list=udp_stage1

address-list-timeout=0s dst-port!=53 log=no

log-prefix=""

nah sob filter rule di atas akan memberi keringanan terhadap UDP flood hingga tiga stage, apabila 3x berturut-turut, langkah selanjutnya adalah drop IP yang melakukan UDP flood tersebut.

Ok sob sampai disini dulu tipsnya, jika kurang terhadap filter rule yang saya buat mampu didiskusikan lagi di form kementar blog ini.

Regards,

cangkal.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *