BẢO vệ máy CHỦ KHỎI các CUỘC tấn CÔNG DDOS
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (382.72 KB, 6 trang )
BẢO VỆ MÁY CHỦ KHỎI
CUỘC TẤN CÔNG DDOS
BẰNG BỘ ĐỊNH TUYẾN
MIKROTIK
Phải bảo mật cho bộ định tuyến là một trong những nghĩa vụ mà quản trị viên mạng
phải thực hiện. Là một quản trị viên mạng, bên cạnh khả năng định cấu hình, khắc
phục sự cố, v.v., quản trị viên mạng cũng được yêu cầu cung cấp bảo mật cho các
thiết bị mạng như bộ định tuyến, máy chủ, v.v.
Trước khi cấu hình Router với Internet, trước tiên chúng ta phải bảo mật cho Router.
Có thể bắt đầu từ việc đơn giản nhất, đó là thay đổi tên người dùng và mật khẩu của
Router, sau đó đóng các dịch vụ khơng dùng đến và vơ hiệu hóa tính năng khám phá
Neighbors. Bạn có thể xem chi tiết về cách bảo mật Bộ định tuyến Mikrotik trong bài
viết của chúng tôi có tựa đề [10 BƯỚC] BẢO VỆ BỘ ĐỊNH TUYẾN MIKROTIK.
Trong bài viết này, chúng tôi sẽ cung cấp một vài thủ thuật để ngăn chặn các thiết bị
Máy chủ khỏi bị tấn công DDOS bằng Bộ định tuyến Mikrotik.
DDOS là viết tắt của từ chối dịch vụ phân tán (Distributed Denial of Service), trong
đó DDOS là một kiểu tấn công được thực hiện bằng cách làm ngập lưu lượng truy
cập trên mạng. Với DDOS này, lưu lượng trên mạng sẽ bị đầy và khiến tài nguyên
thiết bị tăng lên.
Ví dụ, chúng tôi sẽ cung cấp bảo vệ chống lại các thiết bị máy chủ khỏi các cuộc
tấn công DDOS.
2
Cách 1: Thao tác nhanh hơn - Áp dụng cho mọi dịng Router Mikrotik.
Trước tiên, chúng tơi sẽ bắt tất cả kết nối mới thiết lập và chuyển chúng sang trình Phát hiện
DDoS bên dưới.
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=PhatHienDDoS
Trong trình phát hiện DDoS, mỗi địa chỉ IP nguồn và địa chỉ IP đích được so sánh mỗi giây.
Khi vượt hơn 32 gói/mỗi giây, tường lửa sẽ ghi nhận địa chỉ IP nguồn vào danh sách Kẻ Tấn
Công DDoS, địa chỉ IP đích vào danh sách Nạn Nhân.
/ip firewall filter
add chain=PhatHienDDoS dst-limit=32,32,src-and-dst-address/1s action=return
/ip firewall filter
add chain=PhatHienDDoS action=add-dst-to-address-list address-list=NanNhan address-listtimeout=10m
add chain=PhatHienDDoS action=add-src-to-address-list address-list=KeTanCongDDOS
address-list-timeout=10m
Những IP nào có trong danh sách Kẻ Tấn Cơng - tới Nạn Nhân đều chặn lại hồn toàn.
/ip firewall filter
add chain=forward connection-state=new src-address-list=KeTanCongDDOS dst-addresslist=NanNhan action=drop
Phần kết luận
Với quy tắc trên, khi có gói mới khơng hợp lý, tường lửa sẽ tiến hành phân nhóm bằng danh
sách địa chỉ với tên "KeTanCongDDOS" và "NanNhan", sau khi địa chỉ IP của kẻ tấn cơng và địa
chỉ IP đích bị bắt bằng danh sách địa chỉ, địa chỉ IP sẽ bị firewall loại bỏ bởi bộ lọc mà chúng tôi
đã tạo trước đó. Bằng cách đó, các thiết bị khách như máy chủ có thể tránh được các cuộc tấn
cơng DDOS bởi những người không xác định.
Bằng cách sao chép nhanh các lệnh và dán vào cửa sổ Terminal, tường lửa phát huy
tác dụng bảo vệ các máy chủ khỏi các cuộc tấn cơng DdoS từ bên ngồi Internet và
trong hệ thống mạng LAN.
3
Cách 2: Thao tác chậm hơn.
Sử dụng phương pháp trực quan bằng minh họa.
4
5
Phần kết luận
Với quy tắc trên, khi có gói mới khơng hợp lý, tường lửa sẽ tiến hành phân nhóm
bằng danh sách địa chỉ với tên "KeTanCongDDOS" và "NanNhan", sau khi địa chỉ
IP của kẻ tấn công và địa chỉ IP đích bị bắt bằng danh sách địa chỉ, địa chỉ IP sẽ bị
firewall loại bỏ bởi bộ lọc mà chúng tơi đã tạo trước đó. Bằng cách đó, các thiết
bị khách như máy chủ có thể tránh được các cuộc tấn công DDOS bởi những
người không xác định.
6
