Cara Mengatasi Flooding Traffic Port 8080 di Mikrotik

- 9/22/2016
Cara Mengatasi Flooding Traffic di Mikrotik - Beberapa waktu lalu router mikrotik saya sempat dibanjiri flooding traffic dengan destination port 8080 (web proxy internal mikrotik), impact dari flooding traffic ini bisa menyebabkan resource router terutama CPU load melonjak sampai 100%, bandwidth download maupun upload mentok sampai habis sehingga menyebabkan performa koneksi internet jadi drop.

Saya sempat menemui case serupa mengenai flooding traffic ini, namun perbedaannya adalah dulu router mikrotik saya mengalami Flooding DNS atau DNS Poisoning di mana si attacker menyerang router mikrotik melalui protocol UDP dan port 53 sehingga menyebabkan CPU load naik 100% dan bandwidth upload full, langkah-langkah untuk mengamankan router mikrotik dari serangan Flooding DNS ini sudah saya tulis pada tutorial sebelumnya, kamu bisa membaca tutorialnya disini (Baca : Cara drop flood DNS di mikrotik dengan query DNS).

Cara Kerja & Penyebab Terjadinya Flooding Traffic Port 8080

Dari hasil diskusi saya dengan para member Forum Mikrotik Indonesia terutama kang Arie Wijayanto yang sudah memberikan pencerahan, bisa disimpulkan kalau penyebab terjadinya flooding traffic ini dikarenakan router mikrotik menggunakan IP Public dan port 8080 untuk web proxy internalnya dienable, dengan kondisi seperti itu maka IP Public kita bisa dimanfaatkan oleh attacker maupun abuser dengan cara menggunakan IP Public kita sebagai proxy server untuk keperluan spamming maupun kegiatan cyber crime lainnya.

Kerugian Yang Terjadi Apabila Terkena Flooding Attack

Banyak sekali kerugian apabila kamu terkena flooding attack baik dari dalam maupun dari luar jaringan, apa saja impactnya? seperti yang sudah saya jelaskan di awal impact dari terkena flooding attack ini yaitu resource router atau server yang terkena flooding akan mengalami overload, lalu lintas data di lokal network akan mengalami full traffic sehingga mengakibatkan koneksi internet menjadi down, IP Public yang terkena flooding akan dianggap melakukan aktifitas spamming dan masuk ke dalam blacklist sehingga IP Public harus didelisting agar bersih dari spam. (Baca juga : Cara delisting IP Public dari spamhaus).

Cara Mendeteksi Adanya Flooding Attack

Di router mikrotik sendiri kamu bisa dengan mudah mendeteksi setiap lalu lintas dari dan ke router dengan memanfaatkan fitur Torch, karena di tutorial ini saya membahas mengenai flooding traffic dari luar jaringan maka yang saya analisa dengan torch yaitu interface yang mengarah ke WAN (interface ether1).

Untuk mendeteksi flooding dengan torch caranya login ke router mikrotik via winbox, kemudian klik menu Interface, lalu klik interface yang akan ditorch, kemudian klik kanan dan pilih Torch.

Setelah jendela torch muncul, centang opsi Port dan Protocol kemudian klik tombol Start untuk memulai proses analisa traffic menggunakan torch.
Cara melakukan torch di interface router mikrotik
Dari hasil analisa di atas bisa dilihat adanya aktifitas flooding attack yang berasal dari IP luar ke IP Public di dalam router dengan protocol TCP dan Dst. Port 8080, dari analisa tersebut bisa disimpulkan bahwa si attacker menyerang port web proxy internal mikrotik.

Cara Mengatasi Flooding Traffic Port 8080 di Mikrotik

Setelah mengetahui penyebab terjadinya dan kerugian yg ditimbulkan akibat flooding attack, sekarang kita harus menangkal serangan ini agar tidak terus menerus membanjiri traffic di jaringan lokal, bagaimana caranya? silahkan dibaca sampai selesai ya.

Ada 2 cara yg bisa dilakukan untuk menghentikan terjadinya flooding traffic yang menyerang port 8080 pada router mikrotik. Pertama yaitu dengan cara men-disable web proxy internal dan yang kedua yaitu menambahkan filter rules untuk mendrop semua IP Attacker yang melakukan Flooding Attack.

1. Disable Proxy Internal Pada Router Mikrotik
Untuk alasan keamanan, sangat tidak dianjurkan mengaktifkan fitur web proxy internal pada router mikrotik yang menggunakan IP Public. Jadi, kalau tidak di pakai silahkan disable saja atau port web proxynya diganti.
/ip proxy set port=8080 src-address=:: enabled=no
Seharusnya dengan mematikan fitur web proxy internal mikrotik sudah bisa didrop flooding attack ini, tapi kalau dengan cara tersebut ternyata masih ada saja attacker yg berusaha membanjiri traffic jaringan dengan flooding, silahkan gunakan cara yang kedua, yaitu memfilter IP yang mencoba melakukan flooding ke dalam router kita.

2. Menambahkan Filter Rules Untuk Drop Flooding Attack

Biasanya IP Attacker yang melakukan flooding attack jumlahnya bisa ratusan, ribuan bahkan lebih, sehingga tidak mungkin kalau kita menyerang balik ke masing-masing IP Attacker tersebut satu-persatu, lebih baik cari aman saja.

Untuk mendropnya kita buat tambahkan rules di bawah ini pada router mikrotik agar setiap IP Attacker yang berusaha melakukan flooding bisa didrop, buka New Terminal lalu copas script di bawah ini, oh ya jangan lupa disesuaikan juga port interface yang mengarah ke WAN di router mikrotik kamu.
/ip firewall filter
add action=add-src-to-address-list address-list="Flooding attack " \
    address-list-timeout=2w chain=input comment=\
    "Drop Flooding Traffic Port 8080" dst-port=8080,80 in-interface=ether1 \
    protocol=tcp
add action=drop chain=input dst-port=8080,80 in-interface=ether1 protocol=tcp \
    src-address-list="Flooding attack"
Penjelasan rule filter di atas :

  • Rule pertama, berfungsi untuk menangkap alamat IP dari luar yang menyerang router melalui protocol TCP dan destination port 8080 & 80, IP IP tersebut nantinya oleh router akan dimasukkan ke dalam address-list selama 14 hari.
  • Rule kedua, berfungsi untuk mendefinisikan koneksi atau aktifitas flooding attack yang berasal dari interface ether1 (interface wan) dengan protocol tcp dan destination port 8080 & 80 dan berasal dari IP yang sudah dikarantina di address list tadi, selanjutnya oleh router akan didrop.

Implementasi dari rule filter di atas hasilnya akan seperti ini.
Cara membuat rule untuk drop flooding di router mikrotik
Jika ada IP luar yang menyerang router, maka secara otomatis router akan memasukkan setiap IP Attacker ke address list mikrotik untuk di karantina dan selanjutnya didrop.
Flooding attack yang di drop oleh router mikrotik di address list

Kesimpulan

Sekarang router mikrotik kamu seharusnya sudah aman dari flooding attack yang berasal dari luar jaringan yang menyerang router melalaui protocol TCP dan destination port 8080 & 80.

Tapi harus diingat, banyak vulnerability yang bisa dimanfaatkan oleh Attacker untuk merusak system, membanjiri traffic dan kegiatan illegal cyber crime lainnya. So, ada baiknya sebagai network administrator kita berusaha memproteksi router mikrotik dari segala sisi agar lebih secure.

Baca juga artikel terkait :

Akhir kata, semoga tutorial sederhana ini bisa bermanfaat bagi kita semua. Masih bingung ? Please leave a comment bro, i will try to answer any questions you.
Advertisement
 

Start typing and press Enter to search