MikroTik

How to Configure Anti-DDoS on MikroTik: Complete Tutorial

· Atualizado em 5 min de leitura
O Anti-DDoS no Mikrotik é uma medida essencial para proteger a sua rede contra ataques de Denial of Service (DDoS), onde um grande número de dispositivos é utilizado para sobrecarregar a rede e torná-la inacessível. Com a configuração adequada do Mikrotik, você pode mitigar esses ataques e garantir a disponibilidade e a segurança da sua rede. Neste tutorial, você aprenderá como configurar o Anti-DDoS no Mikrotik de forma eficaz.

Prerequisites for Configuring Anti-DDoS on MikroTik

Antes de começar, verifique se você possui os seguintes itens:
  • Acesso ao dispositivo Mikrotik (via Winbox ou CLI).
  • Basic knowledge of networking and network security.
  • Ability to configure firewall rules on MikroTik.

1. Accessing MikroTik

Para configurar a proteção Anti-DDoS no Mikrotik, você precisará acessar o seu dispositivo:
  • Via Winbox: Baixe e execute o Winbox. Conecte-se ao seu Mikrotik usando o endereço IP ou MAC.
  • Via CLI: Use um terminal SSH para se conectar ao Mikrotik com seu nome de usuário e senha.

2. Enabling Basic DDoS Protection

A primeira linha de defesa contra ataques DDoS é a configuração de regras básicas de firewall que limitam o tráfego proveniente de IPs suspeitos ou de fontes não confiáveis.
  1. No menu IP, clique em Firewall.
  2. Na aba Filter Rules, clique em Add para adicionar uma nova regra.
  3. Defina a Chain como Input para monitorar o tráfego de entrada.
  4. No campo Protocol, selecione TCP para monitorar tráfego de protocolo TCP, que é comum em ataques DDoS.
  5. No campo Limit, defina um limite para conexões simultâneas de um único IP, para bloquear IPs com comportamento anômalo.
  6. Defina a Action como drop para bloquear os IPs que ultrapassarem o limite definido.
  7. Clique em OK para salvar.

Example CLI command to limit connections:

RouterOS
/ip firewall filter add chain=input protocol=tcp connection-limit=50,32 action=drop

3. Configuring Protection Against SYN Flood Attacks

O SYN Flood é um tipo de ataque DDoS onde o atacante envia pacotes SYN para uma rede, tentando esgotar os recursos do sistema. No Mikrotik, você pode proteger sua rede contra esses ataques utilizando regras de firewall para identificar e bloquear pacotes SYN excessivos.
  1. No menu IP, clique em Firewall.
  2. Na aba Filter Rules, clique em Add para adicionar uma nova regra.
  3. Defina a Chain como Input.
  4. No campo Protocol, selecione TCP.
  5. No campo Flags, marque a opção SYN.
  6. Defina a Action como drop para bloquear pacotes SYN em excesso.
  7. Clique em OK para salvar a configuração.

Example CLI command to block SYN Flood:

RouterOS
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn action=drop

4. Limiting ICMP Packets to Mitigate Ping of Death Attacks

O Ping of Death é um tipo de ataque onde pacotes ICMP malformados são enviados para sobrecarregar o sistema. Para proteger sua rede contra esse ataque, você pode limitar o tráfego ICMP com regras de firewall.
  1. No menu IP, clique em Firewall.
  2. Na aba Filter Rules, clique em Add para adicionar uma nova regra.
  3. Defina a Chain como Input e o Protocol como ICMP.
  4. No campo Action, defina como drop para bloquear pacotes ICMP maliciosos.
  5. Clique em OK para salvar a configuração.

Example CLI command to block ICMP packets:

RouterOS
/ip firewall filter add chain=input protocol=icmp action=drop

5. Configuring Rate Limiting to Protect Against Flood Attacks

Ataques de flood podem sobrecarregar os recursos do Mikrotik enviando pacotes em grande quantidade. Para proteger sua rede, você pode limitar a taxa de pacotes recebidos de uma única fonte.
  1. No menu IP, clique em Firewall.
  2. Na aba Filter Rules, clique em Add para adicionar uma nova regra.
  3. Defina a Chain como Input.
  4. Defina o Limit para limitar a quantidade de pacotes de entrada.
  5. Defina a Action como drop para bloquear pacotes além do limite.
  6. Clique em OK para salvar.

Example CLI command to limit packet rate:

RouterOS
/ip firewall filter add chain=input src-address=192.168.1.100 limit=50,5 action=drop

6. Verifying the Anti-DDoS Configuration

Após configurar as regras de firewall e proteção, é importante testar se a proteção contra DDoS está funcionando corretamente. Você pode verificar as tentativas de ataque através do log de firewall.
  1. No menu System, clique em Log.
  2. Filter the entries to view the blocked DDoS attempts.
  3. Check the logs to ensure that the Anti-DDoS rules are being applied correctly.

Example command to view logs:

RouterOS
/log print where message~"drop"

7. Monitoring Performance and Anti-DDoS Protection

Após a configuração, é importante monitorar o tráfego da rede para garantir que a proteção Anti-DDoS esteja funcionando corretamente. Utilize as ferramentas de monitoramento do Mikrotik para observar o tráfego de rede em tempo real.
  1. No menu Tools, clique em Traffic Flow.
  2. Monitor the packet count and identify anomalous behavior.
  3. Verify that the number of suspicious packets is decreasing after the configuration.

Example command to monitor traffic:

RouterOS
/tool traffic-flow set enabled=yes

8. Adjusting Anti-DDoS Settings

Com o tempo, pode ser necessário ajustar as configurações de Anti-DDoS para se adequar a novas ameaças. Se você perceber que alguns ataques estão passando pelas regras configuradas, revise e ajuste as definições de Limite de Conexões, Taxa de Pacotes e Filtros de IP.
  1. No menu IP, clique em Firewall.
  2. Revise as Filter Rules e NAT Rules para ajustar conforme necessário.
  3. Realize ajustes nas regras de SYN Flood, Ping of Death e Flood Limitation para garantir maior proteção.

Example command to adjust rules:

RouterOS
/ip firewall filter set 0 limit=100,10

Conclusion on Anti-DDoS Configuration in MikroTik

A configuração de Anti-DDoS no Mikrotik é essencial para proteger sua rede contra ataques que podem comprometer a disponibilidade de serviços e a infraestrutura. Com as etapas apresentadas, você pode implementar medidas de segurança eficazes para mitigar ataques DDoS e garantir a estabilidade da sua rede. Gostou deste tutorial? Confira nossos outros guias sobre configuração de redes no Mikrotik e otimize sua segurança e conectividade!