COMO SE PROTEGER DE ATAQUE DDoS NO MIKROTIK ROUTEROS?
Vložit
- čas přidán 25. 08. 2024
- Nesse vídeo mostro a você como identificar e evitar um ataque DDoS explorando o serviço de DNS, também conhecido como ataque de amplificação de DNS.
O que são ataques de DDoS?
Negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante utiliza um equipamento conectado à rede para tirar de operação um serviço, um computador ou uma rede conectada à Internet. Quando usada de forma coordenada e distribuída, ou seja, quando um conjunto de equipamentos é utilizado no ataque, recebe o nome de Ataque Distribuído de Negação de Serviço (DDoS - Distributed Denial of Service).
Um ataque DDoS não tem o objetivo direto de invadir e nem de coletar informações, mas sim de exaurir recursos e causar indisponibilidade ao alvo. Os usuários desses recursos são diretamente afetados e ficam impossibilitados de acessar ou realizar as operações desejadas, já que o alvo do ataque não consegue diferenciar os acessos legítimos dos maliciosos e fica sobrecarregado ao tentar tratar todas as requisições recebidas.
Os ataques DDoS têm sido um dos grandes problemas enfrentados pelas organizações e usuários de Internet. Apesar de não ser possível impedir que eles ocorram, com um planejamento adequado, é possível torná-los menos eficazes e danosos.
Links citados no vídeo:
CERT.BR
www.cert.br/do...
WIKI MIKROTIK
wiki.mikrotik....
BOAS PRÁTICAS DE SEGURANÇA
• Boas práticas ao confi...
Redes sociais e contatos:
linktr.ee/bren...
Sobre
● Sou graduado em Redes de Computadores e cursando especialização em Engenharia de Redes de Telecomunicações.
Trabalho na área desde de 2014 com experiência em diversos equipamentos como Mikrotik, Cisco, Huawei, Ubiquiti, Intelbras, Cambium Networks, Parks, Furukawa, Datacom e outros.
● Instrutor em minicursos e workshops voltados à Redes de Computadores.
● Consultor e certificado oficial da Mikrotik - Área de atuação: Implantações de Projetos, suporte e solução de problemas, otimização de Redes e Internet, Firewall, Segurança de Redes, Túneis e VPNs (PPTP, L2TP, SSTP, EoIP, IPIP, GRE, IPSec), Alta disponibilidade (VRRP, LACP, Bonding), Balanceamento de Carga (ECMP, PCC,PBR), Roteamento (Static, OSPF, BGP),VLAN (dot1q), Bridge e Switching, QoS Controle de Banda, FailOver, Wireless (Interno / Externo), The Dude, Hotspot, BRAS (concentrador PPPoE), CGNAT, Radius e outros.
Parabéns pelo vídeo. Pra quem nao sabe nada do assunto, que é meu caso, deu pra pegar bem suas dicas.
Que legal esse vídeo, em tempo real a solução. Parabéns pelo vídeo!
Obrigado Pedro....
Compartilhe com seus amigos em grupo ... Me ajuda bastante... ✌️☺️
Ganhou mais um inscrito e seguidor, otima didatica, e ti falar tava com mil regras e nao conseguia deter os ataques apliquei essa regra no RAW e kabum cpu foi la pra baixo cada dia mais encantando com MKT, olha que fiz MTCNA mas so no dia a dia pra ver os problemas e cada um mais cabeludo que o outro kkkkk parabens o/
Obrigado por curti e se inscrever no canal.
Parabéns, muito bom!
Parabéns pelo vídeo, realmente muito interessante!
Obrigado amigo
Tô sofrendo esses ataques aí toda hora velho, mas não tenho pc pra poder configurar do mesmo jeito que você não, se não eu já teria feito alguma coisa
Muito bom valeu! imagino que o cliente não gostou muito da demora durante a gravação kk mas foi didático
Kkkk
Estou trabalhando um pouco com isso e seu vídeo está me ajudando
Muito obrigado !
@@enortetecnologia de nada mano se quiser chamar pra bater um papo qualquer dia sobre hacker e segurança kkkk no zap
Vídeo muito bom. Parabéns pela disposição. Valeu, cara.
Agradeço! 👏🏻
Vc falou que mesmo que opção para não responder dns estiver desmarcada e bom ter a regra, mais se a porta do dns não tiver aberta qual seria o sentido de ter essa regra?
Mesmo assim gera tráfego na interface, não tenho aberto o allow remoto dns, e msm assim chega requisições nessa porta, importante msm e por numa lista de endereços, todos os endereços que fazem requisições nessa porta, e depois Drop no RAW dessa lista.
Obrigado pelas dicas!
Excelente explicação e solução.... faz um vídeo sobre IPv6 🤙
Show Filipe.... Seria como receber IPV6 em seu MIKROTIK ? 😁👍
@@enortetecnologia sim mano... Abordar fundamentos tbm, pra quem nao prestou atenção nas aulas rsrs
@@FilipeDeCarvalhoAlmeida kkkk blz mano. Boa dica ✌️
Muito bom parabéns! Tenho como criar uma regra assim para todo ip externo que tentar acessar minhar rede ir para uma lista, e depois dessa lista para me ter eles salvos colocar para bloquear todos os acessos desses ips a minha RB ?
Muito bom. Valeu
Excelente vídeo! Parabéns! + 1 inscrito no canal! 😁
Bom dia Breno, gostei de seu video nada mecânico, bem imparcial e de boa dinâmica. Já me inscrevi e fiz minha parte no joinha! Tenho um desktop rizen 8 núcleos para jogos, coisa básica, estou tendo perda de upload. Para Tu ter uma ideia minha velocidade contratada é 500 mg, com IP FIXO; entretanto, meu download medi 510 e up 340. Muito semelhante ao presente video. Utilizo um roteador intelbras giga e estou querendo troca-lo. Qual marca e modelo Tu poderias me recomendar para evitar perdas, ataques e que a configuração não seja difícil de interagir? Desde já agradeço a atenção.
Obrigado por curtir e se inscrever no nosso canal!
Sobre roteador, uma ótima solução seria UniFi da Ubiquiti, porém pouco complexo de configurar. Existe vários modelos e fabricantes que atende sua necessidade muito bem, inclusive roteador da Intelbras. Posso lhe dá uma dica de acompanhar o canal do @maxdicas (czcams.com/users/MAXdicas)!
Lá ele mostra vários modelos e fabricantes com os teste de velocidade. Muito top 🔝
Show de bola
Valeu Andrew 🤝
Muito bom, mais acredito que se vc desabilitasse o allow remote.. no dns vc já resolveria o problema sem fazer regra nenhuma, pois o seu roteador tava como servidor de ddns
Sim, também poderia desativar. 👍🏻
Dessa forma a RB não ficaria como servidor DNS recursivo.
Obrigado por comentar 🤝
Top, o melhor
Obrigado Diego ... 🤝
O ideal é aplicar politicas de bloqueio total e então liberar o necessário. Se for bloquear todas as 65535 portas para tcp e udp vai dar regra pra caramba.
Isso ai amigo. Esse vídeo foi apenas uma demonstração como se aplicar. Mas, o mais indicado é como vc falou, fazer o firewall como default-drop e ir liberando os serviços e portas necessárias. Obrigado por comentar!
Olá tudo bem !
Parabéns pelo vídeo !
Estou começando agora com MIkroTik, e gostei muito do seu vídeo !
Uma pergunta, esse procedimento vai impedir a funcionalidade de acesso remoto e da VPN do cliente ?
Agradeço antecipadamente, e já me inscrevi em seu canal 👍
Ola, nessa regra não. Fiz apenas bloqueio de requisições de DNS.
@@enortetecnologia muito obrigado 👍
Você poderia fazer um vídeo com algumas regras básicas de segurança no Mikrotik pra iniciantes 🙏
Muito eficiente
Obrigado meu amigo....
Esse Allow Request DNS funciona como DNS externo se a RB estiver recebendo IP Publico ou se tiver atras de um modem tambem:?
Não sei se ´ o caso mas aqui uma impressora IP quando eu pingava ela na rede local recebia resposta de um IP de fora, Isso quando eu pingava de um PC mas quando pingava do mikrotik a impressora respondia com o IP correto.. O que pode estar acontecendo?
tipo ai vc dropou td q vem de fora nessa porta.
um ex: 654.545.454.544:27000 porta 27000. esta em uso.
ai a pessoa ataca essa porta se eu dropar tudo que esta comunicando com 27000, os clientes perde a comunicacao com meu servidor.
tem alguma forma de bloquear somente aqueles 1milao de ips que envia informação ao msm tempo?
Olá.
Nesse caso, dá de bloquear tudo exceto o IP público que vai acessar esse servidor.
Olá!
Gostei muito do vídeo e já estou estudando o conteúdo da NICBR na outra aba. Quanto a essas regras que você criou, não corro o risco de meu DNS parar de receber pacotes dos clientes PPPoE e ele não cumprir seu papel, tendo que ser substituído por um DNS externo?
Se vc tem servidor DNS recursivo que não seja na própria mikrotik, não pode bloquear essa porta 53 para ele ou para seus cliente.
No ataque DDoS cada robo tem um IP diferente?
Se for isso, o ataque depende que o atacante invada milhares de computadores e use-os coordenadamente contra um alvo específico.
As vezes uma máquina com muito processamento, consegue alterar os IPs no cabeçalho e enviar um DoS parecido com DDoS... No log de tráfego daria para ver vários IPs diferentes de forma aleatória.
Top top
quando tento colocar aparece essa mensagem sobre a regra criada: in/out-interface matcher not possible when interface ether7 is slave - use master instead (bridge), meu link chega pela interface direto mesmo.
Conforme a mensagem, a interface que você escolheu para fazer o drop da porta 53 foi a ether7, porém possivelmente essa ether7 está adicionada em uma bridge.
Então veja la em Bridge > Ports
Fiz exatamente o mesmo mas continuo com 100% de cpu na minha rb750gl, as vezes a conexao cai .. estou sofrendo ataque ddos udp na porta 27015 (servidor de hl2 deathmatch) e icmp
Bom, você fazer a mesma regra, so mudando a porta de 53 para 27015.
Mas, tem outra coisa a ser analisada, você informou que tem uma RB750GL, esse modelo tem processamento muito pequena, CPU400MHz, ou seja, dependendo do tráfego, das configurações que tem e os serviços rodando nela, vai ficar com processamento alto mesmo. Então no seu caso , PODE ATÉ NÃO SER ATAQUE gerando esse consumo alto.
Aconselho verificar a possibilidade de substituir pelo menos uma RB 750Gr3.
@@enortetecnologia acredito que seja sim, pois no torch tem Muitos ips diferentes atacando a porta 27015 udp
Qua seria a diferença eu fazer na aba filter rules ao invés de fazer na aba Raw?
Na RAW é mais eficiente porque o pacote não vai para tabela de rota, ou seja, mata o pacote no prerouting, evitando assim uso maior do processador.
RAW é a conexão em estado bruto ou seja ainda não tem estado definido
eu poderia usar in-interfaces-list=??? por exemplo bilhar no lugar de usar in-interfaces
eu tenho 2 links em um balance PCC um link e dedicado e outro pppoe-out e ambos eu criei uma interface-list= WAN
ira funcionar certinho ???/
muito obrigado
Isso mesmo Rafael, melhor prática... 👍 Infelizmente não lembrei desse detalhe de comentar isso no vídeo kkkk Mas a resposta é sim, você pode usar a in-interface-list 👍👍👍
Cara parabéns pelo video, muito bom mesmo.
Teria algum roteador desta marca para me indicar por favor?
Pois estou montando um servidor caseiro e quero evitar esses problemas futuros.
Obrigado Michel. Não esquece de inscrever e dá um like....rsrs
Bom, sobre o roteador você pode adquirir o modelo RB750Gr3, é um modelo bastante usando. Mas tem outros mais barato com menos processamento. Por exemplo RB941-2nd
@@enortetecnologia Obrigado, achei um desse RB750Gr3 usado por 450 pila acho que ta valendo ne?
Qual a vantagem entre RB750Gr3 e RB941-2nd na pratica contra estes ataques usando esta configuração que vc usou?
@@michelsiqueira85 a RB750 ela tem mais processamento.
Mas a configuração de qualquer RB da Mikrotik é a mesma.
@@enortetecnologia vc acha que vou precisar de algum software ou hardware ant DDOS ou só este roteador já da conta?
Esta porta do DNS é padrão ou podem fazer ataques DDOS em outras portas?
Muito obrigado pelas dicas.
@@michelsiqueira85 Com esse firewall da RB Mikrotik já serve bem para evitar esses ataques mais simples como esse que mostrei no vídeo. Geralmente esses ataques usam portas padrões do protocolo. No exemplo do vídeo foi a protocolo DNS que usa porta 53. Mas pode vim ser atacado por outras portas, aí já é um aquele mais específico.
como faço pra ver em um servidor unbuntu?
Isso funciona com o fariwall do próprio windows também
Se vc estiver usando DNS recursivo no Windows, tem como fazer sim no firewall. Acredito que para se usar isso você vai usar o Windows Server.
brigado
Qual a diferença entre dropar em Filter Input e na RAW?
A ação na tabela RAW ocorre antes do rastreador de conexões (connections tracking), dessa forma, consome menos processamento.
@@enortetecnologia obrigado pela excelente resposta, vou começar a usar esse recurso
estou tendo ataque em um link da oi do nosso provedor , qual a melhor alternativa mais rapida? mudar enlace ? firewall de ponta tipo fortigate poderia resolver isso? ou qd ddos é direto no link quem deve se responsabilizar é a prestadora do link? no meu caso a Oi
Fortinet para provedor não seria o adequado!
Então, é tentar analisar qual porta e ip de origem do ataque e fazer o firewall, ou se tiver ASN verificar o bloco ou ip de destino de ataque e criar uma blackhole, ou se seu link for dedicado com um único ip público fixo, pedi para a operadora ver a possibilidade de mudar.
Tem várias ações a ser feita, mas depende muito de como é a topologia e configuração do seu link.
@@enortetecnologia qual firewall vc me recomendaria?
@@ZeeThGaMer Você é provedor ?
@@enortetecnologia Sim, porem sou da area de campo / backbone, só quero auxiliar o pessoal la com alguma informação, pois o ataque ja se prolonga a 4 dias
no caso do ssh e o mesmo procedimento ?
Pode ser aplicada para o ssh. Mas tem também regra específica para força bruta em ssh, segue o link das regras: help.mikrotik.com/docs/display/ROS/Bruteforce+prevention
ola nao sei se estou recebendo ataque ddos mas minhar internet esta lenta mesmo so eu usando ela e de 100 Mega voce poderia me ajudar com isso?
Qual seu wpp ? Posso ajuda-lo.
Olá, mt obrigado pelas dicas. Estou suspeitando que há uma pessoa derrubando minha internet as vezes, e acho que ele faz isso através do discord. Fazendo isto que você explica no video, eu posso evitar isto?
Se o ataque estiver sendo feito pela porta 53 (DNS) pode evitar sim. Mas acredito que nesse caso estão fazendo de outra forma esse ataque como por exemplo SYN Flood, Service Port Flood, ICMP Flood e entre outros....
Breno Bilhar Obrigado por me responder e explicar, estão derrubado minha internet mas como eu não entendo muito de evitar isso estou meio perdido e estava vendo vários vídeos no CZcams de como evitar. Mas até agora nada... tentei baixar esse programa que vc usou mas não consegui também ..
@@KadGw2 Na verdade isso que estou acessando é um Roteador específico da marca Mikrotik, ai uso esse programa chamado de WinBox para eu ter acesso a ele.
@@enortetecnologia Ata entendi, de toda forma muito obrigado. Vou ver oq posso fazer
@@KadGw2 Obrigado pela sua inscrição amigo...
Qual é o nome do programa?
Boa noite!
Na verdade isso ai que estou acessando é um roteador da marca Mikrotik. Através do programa Winbox acesso as configurações dele.
@@enortetecnologia Ah blz..
Valeu ae! Boa noite
tksja.com/essential-firewall-rules/
Fala Breno. Achei essas regras de firewall nesse site. Estão corretas? Vale implementar?
Vale sim. Inclusive uma boa parte dessas regras é o firewall que a própria mikrotik implementa de fábrica nas RBs.
Mas, seria bom estudar essas regras e fazer ela uma por uma e não usar o script ainda.
Oi , como eu consigo esse programa que você usa ?
Isso é um equipamento. Um roteador da fabricante MikroTik
Boa noite, tenho esta regra no Filter Rules devo trocar para RAW?
Boa noite,
É bastante indicado, até mesmo pela própria MIKROTIK usar na tabela RAW devido a ação da regra ser antes do rastreador de conexões (connectrack), assim, usa menos processamento do seu roteador. Mas, nada impede também de vc usar nas duas tabelas.
@@enortetecnologia Boa tarde, tem uma outra duvida: Tenho um MK na borda e não tenho o Dude instalado. Porem de uns dias para cá, estao tentando acessar minha RB via "winbox/Dude", como consigo fazer o Bloqueio desta porta. a porta do winbox foi alterada. E estão tentando acessar mesmo assim.
De boas, eu não vi nem 2 minutos do vídeo já sei que deve ser configuração errada. Teve uma vez que um responsável por um provedor deu drop em solicitações tipo essas ai de DNS. Duvido muito que é um ataque vou nem ver o resto.
Não entendi amigo.
Se não é um ataque, seria o quê?
Sinto cheiro de clickbait
A thumbnail realmente é para chamar a atenção. Porém, o ataque que mostro no vídeo é classificado como um DDoS. Claro que de uma proporção bem menor comparada aos ataques em um Sistema Autônomo.
Pq fake? Ele mostrou o ataque kk
@@safest8960 Né kkkk
O Cara se passar pra comentar isso, sei não viu!!
Passei Por isso e Fiz as Regras de Bloqueio e resolveu bastante!
@@Negodaporra88 show! Maravilha 👏🏻