Regras Mikrotik para deter ataque DDoS e Synfood
O Que é DDoS?
DDoS é o acrônimo para Distributed Denial of Service que, traduzido do inglês, significa algo aproximado a Negação Distribuída de Serviço, termo que evidencia a natureza coordenada destes tipos de ataques maliciosos.
O DDoS é uma derivação, na verdade, de DoS (Denial of Service, ou Negação de Serviço, do português) um tipo de ataque malicioso que envolve apenas um atacante, que pode ser um único servidor ou computador controlado por um hacker.
O DDoS nada mais é do que um conjunto de ataques DoS, só que diversos atacantes (como computadores ou servidores) distribuem e coordenam os ataques em um alvo, sobrecarregando todo sistema, deixando-o fora do ar.
O que é um Ataque DDos?
Um ataque do tipo DDoS é um ataque malicioso que tem como objetivo sobrecarregar um servidor ou um computador, esgotar seus recursos como memória e processamento e fazê-lo ficar indisponível para acesso de qualquer usuário a internet.
Eles são diferentes dos ataques tradicionais, em que hackers e agentes maliciosos infestam computadores com pragas virtuais para danificar arquivos. Os ataques DDoS são apenas para fins de sobrecarga, deixando servidores e sites lentos e indisponíveis para acesso.
Um ataque DDoS exige a cooperação de vários atacantes para ser classificado como tal. No caso, um computador comandado por uma pessoa má intencionada é capaz de controlar vários outros computadores infectados para direcionar uma rede de ataques a um alvo muito específico.
Como resultado, os servidores de um site atacado simplesmente não aguenta a demanda das requisições de acesso e simplesmente sai do ar, impossibilitando qualquer tipo de acesso ou interação com ele.
Um ataque DDoS é geralmente motivado por hackers que, por algum motivo especial, tenham um objetivo malicioso em comum, fazendo de tudo para que um alvo fique indisponível na internet e o prejudique de várias maneiras diferentes.
Caso o ataque tenha sucesso, os estragos podem ser grandes. Se um site de uma rede varejista for atacado, por exemplo, as perdas nas vendas totais e no retorno de investimento em campanhas de marketing e reposição de produtos podem ser catastróficas.
Algo semelhante pode acontecer com um grande portal de notícias. Um veículo de comunicação fora do ar significa que toda a publicidade nele investido não estará visível para seus usuários, o que não gerará retorno para o site e muito menos para quem investiu nele.
SYN Flood
SYN Flood (ou de fragmentação) é um método de ataque DDoS que causa uma sobrecarga direta na camada de transporte (camada 4) e indireta na camada 7 (camada de aplicação).
Basta abrir o terminal no mikrotik e colar as regras:
/ip firewall filter add chain=input protocol=tcp connection-limit=400,32 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d comment="SYN Flood protect"
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr connection-limit=3,32 action=tarpit comment="SYN Flood protect"
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="SYN Flood protect" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="SYN Flood protect" disabled=no
/ip settings set tcp-syncookies=yes
IP FIREWALL FILTER
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=detect-ddos comment="DDoS protect"
/ip firewall filter
add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return comment="DDoS protect"
add chain=detect-ddos src-address=192.168.0.1 action=return comment="DDoS protect"
/ip firewall filter
add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m comment="DDoS protect"
add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m comment="DDoS protect"
/ip firewall filter
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop comment="DDoS protect"