Mengamankan Mikrotik Dari Serangan Flooding Attack

Hai Sobat Blues Pedia, tutorial kali ini kita akan membahas mengenai Flooding Traffic / hal yang dapat menyebabkan router mikrotik down. Flooding traffic adalah keadaan router mikrotik yang banjiri traffic dari luar dalam waktu yang bersamaan, dampak yang di timbulkan dari hal ini adalah naiknya CPU load mikrotik bahkan bisa mencapai 100%, sehingga kinerja mikrotik pun akan menurun, selain itu bisa membuat bandwidth download / upload terkuras habis yang membuat koneksi internet di jaringan anda lambat bahkan mati.

Salah satu hal yang menjadi penyebab terjadinya flooding traffic adalah penggunaan IP Public yang membuat mikrotik bisa di akses dimana, kapan dan oleh siapa saja, selain itu penyebab lainya adalah status web proxy dalam keadaan aktif. Jika seorang attacker mengetahui IP public yang anda gunakan maka attacker akan memasukan IP public ke dalam servernya, setelah itu dia akan menggunakan IP public tersebut untuk keperluan-keperluan dirinya, seperti spamming atau mengirim paket-paket data yang membuat traffic menjadi full.

Ada sebuah cara yang bisa kita lakukan untuk melindungi router mikrotik dari serangan flooding attack ini, yaitu dengan cara menonaktifkan proxy internal mikrotik dan membuat firewall untuk memblokir / drop IP attacker. Namun sebelum kita mulai pembahasanya, saya akan menjelaskan terlebih dahulu cara untuk mengetahui adanya aktifitas flooding attack di mikrotik, berikut caranya :

A. Cara Mengetahui Flooding Attack Di Mikrotik
Fitur yang di gunakan untuk mengetahui flooding attack adalah fitur torch dan secara default sudah ada di mikrotik.

1. Membuka Fitur Torch
Pada halaman utama mikrotik klik menu Tools > Torch

2. Jalankan Fitur Torch
Di halaman fitur torch, karena Flooding attack rentan terjadi di IP public maka isi kolom interfaces dengan interface yang menuju internet atau interface yang menggunakan IP Public, lalu pada option collect tandai Src. Address, Dst. Address, Protocols dan Port, jika sudah klik start.

3. Analisa Hasil

B. Cara Mencegah Flooding Attack
Berikut cara untuk mencegah terjadinya flooding attack di mikrotik dengan cara menonaktifkan web proxy internal dan membuat sebuah firewall.

1. Menonaktifkan Web Proxy
Untuk menonaktifkan web proxy internal, klik menu IP > Web Proxy di halaman utama mikrotik via winbox, lalu hilangkan tanda check list pada enable, isi kolom port dengan 8080, dan isi src address dengan :: atau bisa juga dengan script : ip proxy set enable=no src-address=:: port=8080

2. Konfigurasi Firewall : Menambahkan IP attacker Ke Address List
Klik memu IP > Firewall > Filter > Klik tanda +, untuk menambahkan
Pada tab general isi kolom chain = input, protocol = tcp, dst port = 8080, 80 dan isi kolom in-interfaces = interface public atau yang terhubung dengan internet.

Lanjut ke tab action, isi action = add src to address list dan beri nama untuk list yang akan di buat di kolom address list, sedangkan isi timeout dengan waktu karantina IP attacker (14d = 14 hari).
ip firewall filter add chain=input protocol=tcp dst-port=8080,80 in-interface=1-Bonet action=add-src-to-address-list address-list="Black List Flooding Attack" address-list-timeout=14d
Tujuan dari konfigurasi di atas adalah menambahkan sebuah IP attacker ke dalam sebuah list dan di karantina selama 14 hari, jika IP tersebut mencoba untuk melakukan Flooding attack melalui interfaces IP Public, dengan protocol tcp dan pada port 8080, 80

3. Konfigurasi Firewall : Memblok IP Attacker Yang Di Karantina
Tidak jauh beda dengan konfigurasi firewall yang pertama, perbedaanya hanya pada tab action dan advanced saja, untuk tab general konfigurasinya sama dengan konfigurasi firewall sebelumnya isi chain = input, protocol = tcp, dst port = 8080, 80 in-interfaces = interface public.

Klik tab advanced lalu isi kolom src address list = nama address list yang telah di buat sebelumnya pada tab action kolom address list. Sedangkan untuk tab action, isi kolom action = drop.

Dengan konfigurasi di atas maka IP attacker yang sudah di karantina / sudah tercatat dalam address list akan di blok (drop) oleh mikrotik jika IP tersebut melakukan hal yang sama untuk ke dua kalinya, yaitu melakukan flooding attack melalui interfaces public, port 8080, 80 dan pada protocol tcp.
ip firewall filter add chain=input protocol=tcp dst-port=8080,80 in-interface=1-Bonet src-address-list="Black List Flooding Attack" action=drop
C. Monitoring
Jika sudah di buat semuanya maka kita hanya tinggal monitoring saja, untuk mengecek berkerja / tidaknya konfigurasi firewall yang sudah di buat anda bisa melihatnya di kolom byte dan packet (sebelah kanan), atau bisa juga melalui tab address list, berikut screen-shoot dari konfigurasi yang sudah saya buat dan hasilnya lumayan juga, banyak IP yang masuk ke dalam daftar karantina sekitar 196 IP, untuk versi scriptnya, anda bisa menuliskan script ip firewall address-list print

D. Video Tutorial
Klik link di bawah ini untuk melihat video tutorialnya :
 Lihat Video Tutorialnya Di Youtube (Mohon untuk bantu subcribe ya :D)

Itulah tutorial kita kali ini mengenai salah satu security mikrotik, yaitu mencegah terjadinya flooding attack, semoga dengan tutorial ini keamanan mikrotik anda bisa menjadi semakin kuat, sekian dan terima kasih, salam Admin Blues Pedia :D.
Tutorial Menjaga Keamanan Mikrotik Lainya :
➥ Keamanan Mikrotik - Konfigurasi Drop Brute Force SSH, FTP, Telnet
➥ Konfigurasi Port Scanner Untuk Mengamankan Mikrotik
➥ Blokir Port Malware Ransomware WannaCrypt Di Mikrotik
➥ Menonaktifkan, Mengganti, & Membatasi Akses Service Port Mikrotik
➥ Melidungi User Dengan Memblokir Port Virus
➥ Memblokir / Mencegah User Mengganti DNS Secara Manual di Mikrotik
➥ Konfigurasi Untuk Memblokir / Menangkal Penggunaan Netcut

1 Response to "Mengamankan Mikrotik Dari Serangan Flooding Attack"

  1. Terimakasih artikelnya dan sangat membantu buat diri saya yang baru" buka usaha wifi hotspot di kampung :D

    ReplyDelete