Como Configurar Anti-DDoS no Mikrotik: Tutorial Completo

· Atualizado em
O Anti-DDoS no Mikrotik é uma medida essencial para proteger a sua rede contra ataques de Denial of Service (DDoS), onde um grande número de dispositivos é utilizado para sobrecarregar a rede e torná-la inacessível. Com a configuração adequada do Mikrotik, você pode mitigar esses ataques e garantir a disponibilidade e a segurança da sua rede. Neste tutorial, você aprenderá como configurar o Anti-DDoS no Mikrotik de forma eficaz.

Pré-requisitos para Configurar Anti-DDoS no Mikrotik

Antes de começar, verifique se você possui os seguintes itens:
  • Acesso ao dispositivo Mikrotik (via Winbox ou CLI).
  • Conhecimento básico sobre redes e segurança de rede.
  • Habilidade para configurar regras de firewall no Mikrotik.

1. Acessando o Mikrotik

Para configurar a proteção Anti-DDoS no Mikrotik, você precisará acessar o seu dispositivo:
  • Via Winbox: Baixe e execute o Winbox. Conecte-se ao seu Mikrotik usando o endereço IP ou MAC.
  • Via CLI: Use um terminal SSH para se conectar ao Mikrotik com seu nome de usuário e senha.

2. Habilitando a Proteção Básica contra DDoS

A primeira linha de defesa contra ataques DDoS é a configuração de regras básicas de firewall que limitam o tráfego proveniente de IPs suspeitos ou de fontes não confiáveis.
  1. No menu IP, clique em Firewall.
  2. Na aba Filter Rules, clique em Add para adicionar uma nova regra.
  3. Defina a Chain como Input para monitorar o tráfego de entrada.
  4. No campo Protocol, selecione TCP para monitorar tráfego de protocolo TCP, que é comum em ataques DDoS.
  5. No campo Limit, defina um limite para conexões simultâneas de um único IP, para bloquear IPs com comportamento anômalo.
  6. Defina a Action como drop para bloquear os IPs que ultrapassarem o limite definido.
  7. Clique em OK para salvar.

Exemplo de comando CLI para limitar conexões:

/ip firewall filter add chain=input protocol=tcp connection-limit=50,32 action=drop

3. Configurando Proteção contra Ataques SYN Flood

O SYN Flood é um tipo de ataque DDoS onde o atacante envia pacotes SYN para uma rede, tentando esgotar os recursos do sistema. No Mikrotik, você pode proteger sua rede contra esses ataques utilizando regras de firewall para identificar e bloquear pacotes SYN excessivos.
  1. No menu IP, clique em Firewall.
  2. Na aba Filter Rules, clique em Add para adicionar uma nova regra.
  3. Defina a Chain como Input.
  4. No campo Protocol, selecione TCP.
  5. No campo Flags, marque a opção SYN.
  6. Defina a Action como drop para bloquear pacotes SYN em excesso.
  7. Clique em OK para salvar a configuração.

Exemplo de comando CLI para bloquear SYN Flood:

/ip firewall filter add chain=input protocol=tcp tcp-flags=syn action=drop

4. Limitando Pacotes ICMP para Mitigar Ataques Ping of Death

O Ping of Death é um tipo de ataque onde pacotes ICMP malformados são enviados para sobrecarregar o sistema. Para proteger sua rede contra esse ataque, você pode limitar o tráfego ICMP com regras de firewall.
  1. No menu IP, clique em Firewall.
  2. Na aba Filter Rules, clique em Add para adicionar uma nova regra.
  3. Defina a Chain como Input e o Protocol como ICMP.
  4. No campo Action, defina como drop para bloquear pacotes ICMP maliciosos.
  5. Clique em OK para salvar a configuração.

Exemplo de comando CLI para bloquear pacotes ICMP:

/ip firewall filter add chain=input protocol=icmp action=drop

5. Configurando Limitação de Taxa para Proteger contra Ataques de Flood

Ataques de flood podem sobrecarregar os recursos do Mikrotik enviando pacotes em grande quantidade. Para proteger sua rede, você pode limitar a taxa de pacotes recebidos de uma única fonte.
  1. No menu IP, clique em Firewall.
  2. Na aba Filter Rules, clique em Add para adicionar uma nova regra.
  3. Defina a Chain como Input.
  4. Defina o Limit para limitar a quantidade de pacotes de entrada.
  5. Defina a Action como drop para bloquear pacotes além do limite.
  6. Clique em OK para salvar.

Exemplo de comando CLI para limitar a taxa de pacotes:

/ip firewall filter add chain=input src-address=192.168.1.100 limit=50,5 action=drop

6. Verificando a Configuração de Anti-DDoS

Após configurar as regras de firewall e proteção, é importante testar se a proteção contra DDoS está funcionando corretamente. Você pode verificar as tentativas de ataque através do log de firewall.
  1. No menu System, clique em Log.
  2. Filtre as entradas para visualizar as tentativas de DDoS bloqueadas.
  3. Verifique os logs para garantir que as regras de Anti-DDoS estão sendo aplicadas corretamente.

Exemplo de comando para visualizar os logs:

/log print where message~"drop"

7. Monitorando o Desempenho e Proteção Anti-DDoS

Após a configuração, é importante monitorar o tráfego da rede para garantir que a proteção Anti-DDoS esteja funcionando corretamente. Utilize as ferramentas de monitoramento do Mikrotik para observar o tráfego de rede em tempo real.
  1. No menu Tools, clique em Traffic Flow.
  2. Monitore a quantidade de pacotes e identifique comportamentos anômalos.
  3. Verifique se a quantidade de pacotes suspeitos está diminuindo após a configuração.

Exemplo de comando para monitorar o tráfego:

/tool traffic-flow set enabled=yes

8. Ajustando as Configurações de Anti-DDoS

Com o tempo, pode ser necessário ajustar as configurações de Anti-DDoS para se adequar a novas ameaças. Se você perceber que alguns ataques estão passando pelas regras configuradas, revise e ajuste as definições de Limite de Conexões, Taxa de Pacotes e Filtros de IP.
  1. No menu IP, clique em Firewall.
  2. Revise as Filter Rules e NAT Rules para ajustar conforme necessário.
  3. Realize ajustes nas regras de SYN Flood, Ping of Death e Flood Limitation para garantir maior proteção.

Exemplo de comando para ajustar regras:

/ip firewall filter set 0 limit=100,10

Conclusão sobre Configuração de Anti-DDoS no Mikrotik

A configuração de Anti-DDoS no Mikrotik é essencial para proteger sua rede contra ataques que podem comprometer a disponibilidade de serviços e a infraestrutura. Com as etapas apresentadas, você pode implementar medidas de segurança eficazes para mitigar ataques DDoS e garantir a estabilidade da sua rede. Gostou deste tutorial? Confira nossos outros guias sobre configuração de redes no Mikrotik e otimize sua segurança e conectividade!