Cara Mengatasi Flooding Traffic di Mikrotik
- Beberapa waktu lalu router mikrotik saya sempat dibanjiri flooding
traffic dengan destination port 8080 (web proxy internal mikrotik),
impact dari flooding traffic ini bisa menyebabkan resource router
terutama CPU load melonjak sampai 100%, bandwidth download maupun upload
mentok sampai habis sehingga menyebabkan performa koneksi internet jadi
drop.
Saya
sempat menemui case serupa mengenai flooding traffic ini, namun
perbedaannya adalah dulu router mikrotik saya mengalami Flooding DNS
atau DNS Poisoning di mana si attacker menyerang router mikrotik melalui
protocol UDP dan port 53 sehingga menyebabkan CPU load naik 100% dan
bandwidth upload full, langkah-langkah untuk mengamankan router mikrotik dari serangan
Flooding DNS ini sudah saya tulis pada tutorial sebelumnya, kamu bisa
membaca tutorialnya disini (Baca : Cara drop flood DNS di mikrotik dengan query DNS).
Cara Kerja & Penyebab Terjadinya Flooding Traffic Port 8080
Dari hasil diskusi saya dengan para member Forum Mikrotik Indonesia terutama kang Arie Wijayanto
yang sudah memberikan pencerahan, bisa disimpulkan kalau penyebab
terjadinya flooding traffic ini dikarenakan router mikrotik menggunakan
IP Public dan port 8080 untuk web proxy internalnya dienable, dengan
kondisi seperti itu maka IP Public kita bisa dimanfaatkan oleh attacker
maupun abuser dengan cara menggunakan IP Public kita sebagai proxy server untuk keperluan spamming maupun kegiatan cyber crime lainnya.
Kerugian Yang Terjadi Apabila Terkena Flooding Attack
Banyak
sekali kerugian apabila kamu terkena flooding attack baik dari dalam
maupun dari luar jaringan, apa saja impactnya? seperti yang sudah saya
jelaskan di awal impact dari terkena flooding attack ini yaitu resource
router atau server yang terkena flooding akan mengalami overload, lalu
lintas data di lokal network akan mengalami full traffic sehingga
mengakibatkan koneksi internet menjadi down, IP Public yang terkena
flooding akan dianggap melakukan aktifitas spamming dan masuk ke dalam
blacklist sehingga IP Public harus didelisting agar bersih dari spam.
(Baca juga : Cara delisting IP Public dari spamhaus).
Cara Mendeteksi Adanya Flooding Attack
Di
router mikrotik sendiri kamu bisa dengan mudah mendeteksi setiap lalu
lintas dari dan ke router dengan memanfaatkan fitur Torch, karena di
tutorial ini saya membahas mengenai flooding traffic dari luar jaringan
maka yang saya analisa dengan torch yaitu interface yang mengarah ke WAN
(interface ether1).
Untuk mendeteksi flooding dengan torch caranya login ke router mikrotik via winbox, kemudian klik menu Interface, lalu klik interface yang akan ditorch, kemudian klik kanan dan pilih Torch.
Setelah jendela torch muncul, centang opsi Port dan Protocol kemudian klik tombol Start untuk memulai proses analisa traffic menggunakan torch.
Untuk mendeteksi flooding dengan torch caranya login ke router mikrotik via winbox, kemudian klik menu Interface, lalu klik interface yang akan ditorch, kemudian klik kanan dan pilih Torch.
Setelah jendela torch muncul, centang opsi Port dan Protocol kemudian klik tombol Start untuk memulai proses analisa traffic menggunakan torch.
Cara Mengatasi Flooding Traffic Port 8080 di Mikrotik
Setelah
mengetahui penyebab terjadinya dan kerugian yg ditimbulkan akibat
flooding attack, sekarang kita harus menangkal serangan ini agar tidak
terus menerus membanjiri traffic di jaringan lokal, bagaimana caranya?
silahkan dibaca sampai selesai ya.
Ada
2 cara yg bisa dilakukan untuk menghentikan terjadinya flooding
traffic yang menyerang port 8080 pada router mikrotik. Pertama yaitu
dengan cara men-disable web proxy internal dan yang kedua yaitu menambahkan filter rules
untuk mendrop semua IP Attacker yang melakukan Flooding Attack.
1. Disable Proxy Internal Pada Router Mikrotik
Untuk
alasan keamanan, sangat tidak dianjurkan mengaktifkan fitur web proxy
internal pada router mikrotik yang menggunakan IP Public. Jadi, kalau
tidak di pakai silahkan disable saja atau port web proxynya diganti.
/ip proxy set port=8080 src-address=:: enabled=no
Seharusnya
dengan mematikan fitur web proxy internal mikrotik sudah bisa didrop
flooding attack ini, tapi kalau dengan cara tersebut ternyata masih ada
saja attacker yg berusaha membanjiri traffic jaringan dengan flooding, silahkan gunakan cara yang kedua, yaitu memfilter IP yang mencoba melakukan flooding ke dalam router kita.
2. Menambahkan Filter Rules Untuk Drop Flooding Attack
Biasanya IP Attacker yang melakukan flooding attack jumlahnya bisa ratusan, ribuan bahkan lebih, sehingga tidak mungkin kalau kita menyerang balik ke masing-masing IP Attacker tersebut satu-persatu, lebih baik cari aman saja.
Untuk mendropnya kita buat tambahkan rules di bawah ini pada router mikrotik agar setiap IP Attacker yang berusaha melakukan flooding bisa didrop, buka New Terminal lalu copas script di bawah ini, oh ya jangan lupa disesuaikan juga port interface yang mengarah ke WAN di router mikrotik kamu.
Implementasi dari rule filter di atas hasilnya akan seperti ini.
Jika ada IP luar yang menyerang router, maka secara otomatis router akan memasukkan setiap IP Attacker ke address list
mikrotik untuk di karantina dan selanjutnya didrop.
Biasanya IP Attacker yang melakukan flooding attack jumlahnya bisa ratusan, ribuan bahkan lebih, sehingga tidak mungkin kalau kita menyerang balik ke masing-masing IP Attacker tersebut satu-persatu, lebih baik cari aman saja.
Untuk mendropnya kita buat tambahkan rules di bawah ini pada router mikrotik agar setiap IP Attacker yang berusaha melakukan flooding bisa didrop, buka New Terminal lalu copas script di bawah ini, oh ya jangan lupa disesuaikan juga port interface yang mengarah ke WAN di router mikrotik kamu.
/ip firewall filter
add action=add-src-to-address-list address-list="Flooding attack " \
address-list-timeout=2w chain=input comment=\
"Drop Flooding Traffic Port 8080" dst-port=8080,80 in-interface=ether1 \
protocol=tcp
add action=drop chain=input dst-port=8080,80 in-interface=ether1 protocol=tcp \
src-address-list="Flooding attack"- Rule pertama, berfungsi untuk menangkap alamat IP dari luar yang menyerang router melalui protocol TCP dan destination port 8080 & 80, IP IP tersebut nantinya oleh router akan dimasukkan ke dalam address-list selama 14 hari.
- Rule kedua, berfungsi untuk mendefinisikan koneksi atau aktifitas flooding attack yang berasal dari interface ether1 (interface wan) dengan protocol tcp dan destination port 8080 & 80 dan berasal dari IP yang sudah dikarantina di address list tadi, selanjutnya oleh router akan didrop.
Implementasi dari rule filter di atas hasilnya akan seperti ini.
Kesimpulan
Sekarang router mikrotik kamu seharusnya sudah aman dari flooding attack yang
berasal dari luar jaringan yang menyerang router melalaui protocol TCP dan destination port 8080 & 80.
Tapi harus diingat, banyak vulnerability yang bisa dimanfaatkan oleh Attacker untuk merusak system, membanjiri traffic dan kegiatan illegal cyber crime lainnya. So, ada baiknya sebagai network administrator kita berusaha memproteksi router mikrotik dari segala sisi agar lebih secure.
Baca juga artikel terkait :
Akhir kata, semoga tutorial sederhana ini bisa bermanfaat bagi kita semua. Masih bingung ? Please leave a comment bro, i will try to answer any questions you.
Tapi harus diingat, banyak vulnerability yang bisa dimanfaatkan oleh Attacker untuk merusak system, membanjiri traffic dan kegiatan illegal cyber crime lainnya. So, ada baiknya sebagai network administrator kita berusaha memproteksi router mikrotik dari segala sisi agar lebih secure.
Baca juga artikel terkait :
- Drop port scanner di router mikrotik
- Drop FTP, SSH dan Telnet Brute Force di mikrotik
- Mengamankan jaringan dengan protokol ARP di Mikrotik
Akhir kata, semoga tutorial sederhana ini bisa bermanfaat bagi kita semua. Masih bingung ? Please leave a comment bro, i will try to answer any questions you.
Advertisement