cara mengatasi flooding yang menyebabkan traffic tinggi di mikrotik

Cara Mengatasi Flooding Yang Menyebabkan Traffic Tinggi pada Router Mikrotik - Flooding atau Sync Flooding Attack menurut wikipedia adalah istilah teknologi informasi dalam bahasa Inggris yang mengacu kepada salah satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN.


Tidak hanya di perangkat router lain, di mikrotik pun sama hal tersebut kemungkinan besar akan mengalami, apalagi yang menggunakan IP public langsung di terapkan di interface mikrotik itu sendiri resiko serangannya besar.

Flooding Attack Pada Interface WAN ether1 Mikotik

Flooding sering kali merugikan dan membingungkan kita terutama para admin jaringan, kasus nya cukup aneh, koneksi upload yang digunakan memakan bandwith sampai tinggi, contoh kasus saya disini sampai 40mbps untuk traffic pemakaian upload, padahal disini saya mempunyai paketan internet 10mbps upload dan 10mbps donwload. Lumayan panik, karena hal tersebut mempengaruhi kualitas internet pada jaringan kita, dan anehnya ketika saya Torch tidak ada user yang memakai bandwith sampai segitu besarnya, jadi kesimpulannya traffick tinggi pada mikrotik terjadi pada interface WAN/Koneksi ke Public.

Untuk mengatasai traffic tinggi pada mikrotik terutama yang sering terjadi pada port WAN atau biasa di sebut Flooding Attack cukup mudah dan saya rasa ampuh, disini saya akan memperaktekannya untuk koneksi TCP port 8080, 80 dan UDP port 53.

Untuk mendeteksi adanya flooding attack sobat bisa memanfaatkan fitur torch di mikrotik, caranya cukup mudah pilih menu Tools > Torch arahkan interface pada ehter WAN disini saya menggunakan ether1.

Hasil Diteksi Lewat Torch Di Mikrotik

Selanjutnya cara mengatasi flooding attack yang mengakibatkan traffic tinggi pada koneksi upload / download siliahkan di simak. Buatlah filter rule baru agan bisa langsung memasukan perintah berikut di termianl :

TCP - Untuk TCP pada port 8080 dan 80 :

/ip firewall filter
add action=add-src-to-address-list address-list="Flooding attack " \
    address-list-timeout=2w chain=input comment=\
    "Drop Flooding Traffic Port 8080" dst-port=8080,80 in-interface=ether1 \
    protocol=tcp
add action=drop chain=input dst-port=8080,80 in-interface=ether1 protocol=tcp \
    src-address-list="Flooding attack"

Rule pertama berfungsi ketika ada ip attacker akan langsung di karantina ke address list selama 14 hari dan Rule kedua berfungsi untuk drop ip yang sudah di karantina.

Hasil implementasi di atas hasilnya kurang lebih seperti berikut:



Bilamana rule tersebut sudah ada atau terisi rule counter traffic nya, berarti rule tersebut sudah berfungsi, dan selanjutnya ip flooding yang coba menyerang akan di pindahkan ke address list untuk di karantina



Dan selama dua pekan di karantina dan selanjutnya akan di drop menggunakan rule kedua tadi.

UDP - Selanjutnya untuk UDP pada port 53 menggunakan metode Allow DNS

Tambahkan terlebih dahulu IP DNS sobat pada address list

Buat rule baru di tab filter rule yang berfungsi pemblock/drop paket DNS yang bukan berasal dari DNS yang sudah kita Allow, berikut langkahnya:




Bilamana counter traffic nya sudah terisi berarti rule sudah mulai berfungsi.



Cara tersebut cukup manjur dan berfungsi baik, bilamana ada yang perlu di pertanyakan silahkan berkomentar. Terima kasih.