NGUYEN XUAN CUONG
Cấu hình cơ bản Mikrotik
Cấu hình cơ bản cho Mikrotik, gán địa chỉ IP, DNS, NTP, SNMP, rule firewall block đăng nhập sai sau 3 lần....
Đặt Name cho thiết bị: thay TenThietBi bằng tên thiết bị muốn đặt
Gán địa chỉ IP vào interface ether2 : Thay các thông tin cần thiết như tên interface, địa chỉ IP, network cho môi trường thiết lập
Cài đặt DNS Server : Thay ip dns theo môi trường cài đặt
Tắt các dịch vụ không cần thiết : trong danh sách ip service, chỉ cho phép sử dụng winbox, nếu muốn dùng thêm dịch vụ như ssh thì xóa nó khỏi lệnh dưới
Cấu hình SNMP chỉ cho phép địa chỉ 123.123.123.123 lấy thông tin SNMP, thay các tham số như IP, SNMP string contact phù hợp với môi trường
Cấu hình NTP: Nếu địa chỉ NTP Server là IP thì thay vào, Nếu không thiết lập DNS ở trên thì phải dùng địa chỉ IP
Tạo bộ lọc firewall chặn IPv4 sau 3 lần đăng nhập sai mật khẩu đối với các port 22,80,8291
Tạo bộ lọc firewall chặn IPv6 sau 3 lần đăng nhập sai mật khẩu
Chuyển các kết nối mới sang DDoS_Detection
So sánh địa chỉ nguồn và địa chỉ đích trên mỗi giây, nếu vượt 32 gói trên mỗi giây thì sẽ cập nhật ip nguồn và ip đích vào DDoS_Detection
Những IP nào có trong danh sách IPs_DDOS_attack - tớiIPs_Victim đều chặn lại hoàn toàn.
Giải thích từng phần của kịch bản:
Thử nghiệm kịch bản trên môi trường thử nghiệm trước khi triển khai vào hệ thống thực tế.
Theo dõi log và danh sách ddos-attackers thường xuyên để đảm bảo rằng không có IP hợp lệ bị chặn nhầm.
/system identity
set name=TenThietBi
set name=TenThietBi
Gán địa chỉ IP vào interface ether2 : Thay các thông tin cần thiết như tên interface, địa chỉ IP, network cho môi trường thiết lập
/ip address
add address=123.123.123.123/24 interface=ether2 network=123.123.123.123.0
add address=123.123.123.123/24 interface=ether2 network=123.123.123.123.0
Cài đặt DNS Server : Thay ip dns theo môi trường cài đặt
/ip dns
set servers=8.8.8.8
set servers=8.8.8.8
Tắt các dịch vụ không cần thiết : trong danh sách ip service, chỉ cho phép sử dụng winbox, nếu muốn dùng thêm dịch vụ như ssh thì xóa nó khỏi lệnh dưới
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
Cấu hình SNMP chỉ cho phép địa chỉ 123.123.123.123 lấy thông tin SNMP, thay các tham số như IP, SNMP string contact phù hợp với môi trường
/snmp community
add addresses=123.123.123.123/32 name=SNMPString
/snmp
set contact=nxcuong@ued.vn enabled=yes location=Da-Nang trap-community=SNMPString
add addresses=123.123.123.123/32 name=SNMPString
/snmp
set contact=nxcuong@ued.vn enabled=yes location=Da-Nang trap-community=SNMPString
Cấu hình NTP: Nếu địa chỉ NTP Server là IP thì thay vào, Nếu không thiết lập DNS ở trên thì phải dùng địa chỉ IP
/system clock
set time-zone-name=Asia/Ho_Chi_Minh
/system ntp client
set enabled=yes
/system ntp client servers
add address=1.vn.pool.ntp.org
set time-zone-name=Asia/Ho_Chi_Minh
/system ntp client
set enabled=yes
/system ntp client servers
add address=1.vn.pool.ntp.org
Firewall
Tạo bộ lọc firewall chặn IPv4 sau 3 lần đăng nhập sai mật khẩu đối với các port 22,80,8291
/ip firewall filter
add action=drop chain=input dst-port=22,80,8291 protocol=tcp \
src-address-list=Deny_Address
add action=add-src-to-address-list address-list=Deny_Address \
address-list-timeout=1w3d chain=input connection-state=new dst-port=\
22,80,8291 log=yes protocol=tcp src-address-list=Attempt_3
add action=add-src-to-address-list address-list=Attempt_3 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp \
src-address-list=Attempt_2
add action=add-src-to-address-list address-list=Attempt_2 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp \
src-address-list=Attempt_1
add action=add-src-to-address-list address-list=Attempt_1 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp
add action=drop chain=input dst-port=22,80,8291 protocol=tcp \
src-address-list=Deny_Address
add action=add-src-to-address-list address-list=Deny_Address \
address-list-timeout=1w3d chain=input connection-state=new dst-port=\
22,80,8291 log=yes protocol=tcp src-address-list=Attempt_3
add action=add-src-to-address-list address-list=Attempt_3 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp \
src-address-list=Attempt_2
add action=add-src-to-address-list address-list=Attempt_2 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp \
src-address-list=Attempt_1
add action=add-src-to-address-list address-list=Attempt_1 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp
Tạo bộ lọc firewall chặn IPv6 sau 3 lần đăng nhập sai mật khẩu
/ipv6 firewall
add action=drop chain=input dst-port=22,80,8291 protocol=tcp \
src-address-list=Deny_Address
add action=add-src-to-address-list address-list=Deny_Address \
address-list-timeout=1w3d chain=input connection-state=new dst-port=\
22,80,8291 log=yes protocol=tcp src-address-list=Attempt_3
add action=add-src-to-address-list address-list=Attempt_3 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp \
src-address-list=Attempt_2
add action=add-src-to-address-list address-list=Attempt_2 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp \
src-address-list=Attempt_1
add action=add-src-to-address-list address-list=Attempt_1 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp
add action=drop chain=input dst-port=22,80,8291 protocol=tcp \
src-address-list=Deny_Address
add action=add-src-to-address-list address-list=Deny_Address \
address-list-timeout=1w3d chain=input connection-state=new dst-port=\
22,80,8291 log=yes protocol=tcp src-address-list=Attempt_3
add action=add-src-to-address-list address-list=Attempt_3 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp \
src-address-list=Attempt_2
add action=add-src-to-address-list address-list=Attempt_2 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp \
src-address-list=Attempt_1
add action=add-src-to-address-list address-list=Attempt_1 address-list-timeout=1m \
chain=input connection-state=new dst-port=22,80,8291 log=yes protocol=tcp
Phát hiện và phòng chống DDOS
Chuyển các kết nối mới sang DDoS_Detection
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=DDoS_Detection
add chain=forward connection-state=new action=jump jump-target=DDoS_Detection
So sánh địa chỉ nguồn và địa chỉ đích trên mỗi giây, nếu vượt 32 gói trên mỗi giây thì sẽ cập nhật ip nguồn và ip đích vào DDoS_Detection
/ip firewall filter
add chain=DDoS_Detection dst-limit=32,32,src-and-dst-address/1s action=return
/ip firewall filter
add chain=DDoS_Detection action=add-dst-to-address-list address-list=IPs_Victim address-list-timeout=10m
add chain=DDoS_Detection action=add-src-to-address-list address-list=IPs_DDOS_attack address-list-timeout=10m
add chain=DDoS_Detection dst-limit=32,32,src-and-dst-address/1s action=return
/ip firewall filter
add chain=DDoS_Detection action=add-dst-to-address-list address-list=IPs_Victim address-list-timeout=10m
add chain=DDoS_Detection action=add-src-to-address-list address-list=IPs_DDOS_attack address-list-timeout=10m
Những IP nào có trong danh sách IPs_DDOS_attack - tớiIPs_Victim đều chặn lại hoàn toàn.
/ip firewall filter
add chain=forward connection-state=new src-address-list=IPs_DDOS_attack dst-address-list=IPs_Victim action=drop
add chain=forward connection-state=new src-address-list=IPs_DDOS_attack dst-address-list=IPs_Victim action=drop
Kịch bản chống DDoS cho MikroTik RouterOS
Để bảo vệ hệ thống mạng trước một cuộc tấn công DDoS, bạn có thể sử dụng tính năng firewall của MikroTik RouterOS để phát hiện và chặn các địa chỉ IP thực hiện cuộc tấn công. Dưới đây là một kịch bản giúp nhận diện và ngăn chặn các nguồn IP tấn công bằng cách sử dụng kỹ thuật hạn chế số lượng kết nối và phát hiện lưu lượng không bình thường.
Kịch bản này sử dụng các quy tắc cơ bản để phát hiện và giảm thiểu tấn công DDoS phổ biến, bao gồm các kết nối SYN flood hoặc số lượng kết nối vượt mức.
# Đặt các biến cấu hình chính
:local maxConnections 100 # Số lượng kết nối tối đa từ mỗi IP
:local blacklistTime 1d # Thời gian block IP trong danh sách đen (1 ngày)
# Xóa các danh sách hiện tại
/ip firewall address-list remove [/ip firewall address-list find list="blacklist"]
/ip firewall filter remove [/ip firewall filter find comment="DDoS Protection"]
# Bước 1: Phát hiện các IP có lượng kết nối SYN quá nhiều và đưa vào danh sách "ddos-attackers"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn connection-limit=$maxConnections,32 \
action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=$blacklistTime \
comment="DDoS Detection - SYN flood protection"
# Bước 2: Phát hiện các IP tạo quá nhiều kết nối và đưa vào danh sách "ddos-attackers"
/ip firewall filter add chain=input protocol=tcp connection-limit=$maxConnections,32 \
action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=$blacklistTime \
comment="DDoS Detection - Connection limit exceeded"
# Bước 3: Chặn toàn bộ các IP trong danh sách "ddos-attackers"
/ip firewall filter add chain=input src-address-list=ddos-attackers action=drop \
comment="DDoS Protection - Block ddos attackers"
# Bước 4: Tùy chọn - Bảo vệ các gói ICMP để hạn chế tấn công DDoS sử dụng ping flood
/ip firewall filter add chain=input protocol=icmp limit=10,5 action=accept comment="Allow limited ICMP"
/ip firewall filter add chain=input protocol=icmp action=drop comment="Drop excessive ICMP packets"
# Bước 5: Giới hạn số lượng kết nối mới từ một IP trong một khoảng thời gian nhất định
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn limit=100,10 \
action=accept comment="Allow limited new TCP connections"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn action=drop \
comment="Drop excessive new TCP connections"
# Tùy chọn - Kiểm tra và log các địa chỉ IP trong danh sách "ddos-attackers"
/system scheduler add name="ddos-attackers-log" interval=1h on-event="/log info message=\\"DDoS attackers list:\\"
/log print where topics~\\"firewall ddos-attackers\\""
:local maxConnections 100 # Số lượng kết nối tối đa từ mỗi IP
:local blacklistTime 1d # Thời gian block IP trong danh sách đen (1 ngày)
# Xóa các danh sách hiện tại
/ip firewall address-list remove [/ip firewall address-list find list="blacklist"]
/ip firewall filter remove [/ip firewall filter find comment="DDoS Protection"]
# Bước 1: Phát hiện các IP có lượng kết nối SYN quá nhiều và đưa vào danh sách "ddos-attackers"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn connection-limit=$maxConnections,32 \
action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=$blacklistTime \
comment="DDoS Detection - SYN flood protection"
# Bước 2: Phát hiện các IP tạo quá nhiều kết nối và đưa vào danh sách "ddos-attackers"
/ip firewall filter add chain=input protocol=tcp connection-limit=$maxConnections,32 \
action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=$blacklistTime \
comment="DDoS Detection - Connection limit exceeded"
# Bước 3: Chặn toàn bộ các IP trong danh sách "ddos-attackers"
/ip firewall filter add chain=input src-address-list=ddos-attackers action=drop \
comment="DDoS Protection - Block ddos attackers"
# Bước 4: Tùy chọn - Bảo vệ các gói ICMP để hạn chế tấn công DDoS sử dụng ping flood
/ip firewall filter add chain=input protocol=icmp limit=10,5 action=accept comment="Allow limited ICMP"
/ip firewall filter add chain=input protocol=icmp action=drop comment="Drop excessive ICMP packets"
# Bước 5: Giới hạn số lượng kết nối mới từ một IP trong một khoảng thời gian nhất định
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn limit=100,10 \
action=accept comment="Allow limited new TCP connections"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn action=drop \
comment="Drop excessive new TCP connections"
# Tùy chọn - Kiểm tra và log các địa chỉ IP trong danh sách "ddos-attackers"
/system scheduler add name="ddos-attackers-log" interval=1h on-event="/log info message=\\"DDoS attackers list:\\"
/log print where topics~\\"firewall ddos-attackers\\""
Giải thích từng phần của kịch bản:
1. Giới hạn số lượng kết nối SYN và kết nối TCP:
Quy tắc đầu tiên giới hạn số lượng kết nối SYN và số lượng kết nối TCP tối đa từ mỗi IP. Khi một IP vượt quá số lượng kết nối cho phép, nó sẽ bị thêm vào danh sách ddos-attackers với thời gian block được cấu hình (ở đây là 1 ngày).
2. Chặn các IP trong danh sách ddos-attackers:
Một quy tắc chặn tất cả các gói tin từ các IP có trong danh sách ddos-attackers.
3. Giới hạn gói ICMP:
Giới hạn số lượng gói ICMP (ping) để ngăn chặn cuộc tấn công dạng ping flood, nhưng vẫn cho phép một lượng nhỏ ping cho mục đích kiểm tra.
4. Giới hạn số lượng kết nối TCP mới:
Giới hạn số lượng kết nối mới từ một IP nhất định trong một khoảng thời gian để ngăn chặn các cuộc tấn công dựa trên việc mở nhiều kết nối TCP.
5. Log danh sách ddos-attackers:
Tùy chọn, sử dụng một công cụ scheduler chạy định kỳ mỗi giờ để log các IP trong danh sách ddos-attackers, giúp bạn theo dõi các địa chỉ IP đang bị chặn.
Quy tắc đầu tiên giới hạn số lượng kết nối SYN và số lượng kết nối TCP tối đa từ mỗi IP. Khi một IP vượt quá số lượng kết nối cho phép, nó sẽ bị thêm vào danh sách ddos-attackers với thời gian block được cấu hình (ở đây là 1 ngày).
2. Chặn các IP trong danh sách ddos-attackers:
Một quy tắc chặn tất cả các gói tin từ các IP có trong danh sách ddos-attackers.
3. Giới hạn gói ICMP:
Giới hạn số lượng gói ICMP (ping) để ngăn chặn cuộc tấn công dạng ping flood, nhưng vẫn cho phép một lượng nhỏ ping cho mục đích kiểm tra.
4. Giới hạn số lượng kết nối TCP mới:
Giới hạn số lượng kết nối mới từ một IP nhất định trong một khoảng thời gian để ngăn chặn các cuộc tấn công dựa trên việc mở nhiều kết nối TCP.
5. Log danh sách ddos-attackers:
Tùy chọn, sử dụng một công cụ scheduler chạy định kỳ mỗi giờ để log các IP trong danh sách ddos-attackers, giúp bạn theo dõi các địa chỉ IP đang bị chặn.
Lưu ý khi triển khai:
Cấu hình biến maxConnections và blacklistTime dựa trên lưu lượng truy cập của hệ thống để tránh chặn nhầm IP hợp lệ.Thử nghiệm kịch bản trên môi trường thử nghiệm trước khi triển khai vào hệ thống thực tế.
Theo dõi log và danh sách ddos-attackers thường xuyên để đảm bảo rằng không có IP hợp lệ bị chặn nhầm.
Danh mục
Thống kê truy cập
- Đang truy cập5
- Hôm nay320
- Tháng hiện tại7,750
- Tổng lượt truy cập92,194