Como configurar no DDoS Protection Mikrotik: Passo a Passo

· Atualizado em
A proteção contra ataques DDoS (Distributed Denial of Service) é essencial para garantir a estabilidade e a segurança de redes conectadas à internet. No Mikrotik, é possível configurar regras de firewall para mitigar ataques que sobrecarregam o roteador ou os serviços da rede com tráfego malicioso. Este guia apresenta um passo a passo para configurar medidas básicas e eficazes de DDoS Protection no Mikrotik.

Passo a Passo: Configurando a Proteção contra DDoS no Mikrotik

1. Acesse o RouterOS
  • Conecte-se ao Mikrotik usando WinBox ou terminal SSH.

2. Crie Regras para Bloquear Ataques de SYN Flood

  • O SYN Flood é um dos métodos mais comuns de DDoS. Adicione regras para limitar esse tipo de ataque:
  • /ip firewall filter add chain=input protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="Bloquear SYN Flood"

3. Limite Conexões Simultâneas por IP

  • Isso evita que um único IP crie muitas conexões simultâneas, característica típica de ataques:
  • /ip firewall filter add chain=forward protocol=tcp connection-limit=100,32 action=drop comment="Limitar conexões simultâneas por IP"

4. Habilite a Detecção de Scans de Porta

  • Ataques de varredura de porta geralmente precedem ataques DDoS. Crie uma regra para bloquear IPs que realizam scans:
  • /ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=DDoS_Attackers address-list-timeout=1h comment="Detectar Scan de Porta" /ip firewall filter add chain=input src-address-list=DDoS_Attackers action=drop comment="Bloquear IPs de Scanners"

5. Ative a Proteção Contra Conexões Inválidas

  • Bloqueie pacotes inválidos que frequentemente fazem parte de ataques DDoS:
  • /ip firewall filter add chain=input connection-state=invalid action=drop comment="Bloquear conexões inválidas"

6. Crie Limites de Taxa para Requisições ICMP (Ping)

  • Evite sobrecarga por ICMP (ping flood) com limites de taxa:
  • /ip firewall filter add chain=input protocol=icmp limit=10,5 action=accept comment="Permitir ICMP limitado" /ip firewall filter add chain=input protocol=icmp action=drop comment="Bloquear excesso de ICMP"
7. Monitore os Logs e a Lista de Atacantes Verifique regularmente os logs e a lista de endereços bloqueados para ajustar as regras, se necessário: 
  • /ip firewall address-list print /log print

Conclusão

Com as regras de proteção contra DDoS configuradas no Mikrotik, sua rede estará mais protegida contra ataques que buscam sobrecarregar os serviços e causar instabilidade. No entanto, para ataques mais sofisticados, considere soluções avançadas como firewalls dedicados ou serviços de proteção DDoS externos.