hai sob, hari ini saya akan posting bagaimana cara mengatasi serangan UDP Flooding, tapi ngomong-ngomong UDP flood itu apa sih? ini nih penjelasan dari situs radware berikut kutipannya
dari gambar di atas ether1-modem koneksi bandwidth RX nya terkuras habis, sedangkan pada ether2-lan tidak ada koneksi yang sampai menghabiskan bandwidth TX seperti di ether1-modem. dan menggunakan tools torch di mikrotik, ether1-modem dilihat protocol yang habis menggunakan adalah UDP. ini adalah salah satu ciri terkena UDP Flood sob.
ok kita sudah tau definisi dan ciri-ciri UDP Flood Attack, sekarang kita coba mengatasinya agar UDP Flooding ini bisa di block. untuk mengatasinya saya menggunakan fitur firewall di mikrotik, lebih tepatnya yaitu filter rule. dengan filter rule kita mudah memilah-milih koneksi mana yang akan di drop. di bawah ini adalah rule sederhana yang akan langsung drop koneksi apabila sama dengan rule yang masuk pada address-list "udp_flood"
filter rule di atas akan menutup semua koneksi UDP kecuali port 53 (DNS), memang ekstrim sih ini rule tidak ada jeda langsung main drop. ok bagaimana jika kita memberi waktu untuk memastikan apa itu benar-benar UDP flood? baik, akan kita coba buatkan filter rule sama halnya dengan SSH brute force, berikut rulenya
nah sob filter rule di atas akan memberi keringanan terhadap UDP flood sampai 3 stage, apabila 3x berturut-turut, langkah selanjutnya adalah drop IP yang melakukan UDP flood tersebut.
ok sob sampai disini dulu tipsnya, apabila kurang terhadap filter rule yang saya buat bisa didiskusikan lagi di form kementar blog ini.
regards,
cangkal.
A UDP flood is a network flood and still one of the most common floods today. The attacker sends UDP packets, typically large ones, to single destination or to random ports. In most cases the attackers spoof the SRC IP which is easy to do since the UDP protocol is “connectionless” and does not have any type of handshake mechanism or session.jadi dari kutipan di atas akibat dari serangan UDP Flooding ini menyebabkan pipa bandwidth yang diserang full atau dengan kata lain bandwidth tersedot habis. berikut gambar dibawah ini salah satu contoh akibat serangan UDP Flood
The main intention of a UDP flood is to saturate the Internet pipe. Another impact of this attack is on the network and security elements on the way to the target server, and most typically the firewalls. Firewalls open a state for each UDP packet and will be overwhelmed by the UDP flood connections very fast.
 |
| UDP Flood Mikrotik |
dari gambar di atas ether1-modem koneksi bandwidth RX nya terkuras habis, sedangkan pada ether2-lan tidak ada koneksi yang sampai menghabiskan bandwidth TX seperti di ether1-modem. dan menggunakan tools torch di mikrotik, ether1-modem dilihat protocol yang habis menggunakan adalah UDP. ini adalah salah satu ciri terkena UDP Flood sob.
ok kita sudah tau definisi dan ciri-ciri UDP Flood Attack, sekarang kita coba mengatasinya agar UDP Flooding ini bisa di block. untuk mengatasinya saya menggunakan fitur firewall di mikrotik, lebih tepatnya yaitu filter rule. dengan filter rule kita mudah memilah-milih koneksi mana yang akan di drop. di bawah ini adalah rule sederhana yang akan langsung drop koneksi apabila sama dengan rule yang masuk pada address-list "udp_flood"
;;; Drop_UDP_BruteForce
chain=input action=drop src-address-list=udp_flood log=no log-prefix=""
chain=input action=add-src-to-address-list protocol=udp
address-list=udp_flood address-list-timeout=0s dst-port=!53 log=no
log-prefix=""filter rule di atas akan menutup semua koneksi UDP kecuali port 53 (DNS), memang ekstrim sih ini rule tidak ada jeda langsung main drop. ok bagaimana jika kita memberi waktu untuk memastikan apa itu benar-benar UDP flood? baik, akan kita coba buatkan filter rule sama halnya dengan SSH brute force, berikut rulenya
;;; Drop_UDP FLOODING
chain=input action=drop protocol=udp src-address-list=ssh_blacklist
dst-port!=53 log=no log-prefix=""
chain=input action=add-src-to-address-list connection-state=new
protocol=udp src-address-list=udp_stage2 address-list=udp_stage3
address-list-timeout=0s dst-port!=53 log=no
log-prefix=""
chain=input action=add-src-to-address-list connection-state=new
protocol=udp src-address-list=udp_stage1 address-list=udp_stage2
address-list-timeout=0s dst-port!=53 log=no
log-prefix=""
chain=input action=add-src-to-address-list connection-state=new
protocol=udp address-list=udp_stage1
address-list-timeout=0s dst-port!=53 log=no
log-prefix="" nah sob filter rule di atas akan memberi keringanan terhadap UDP flood sampai 3 stage, apabila 3x berturut-turut, langkah selanjutnya adalah drop IP yang melakukan UDP flood tersebut.
ok sob sampai disini dulu tipsnya, apabila kurang terhadap filter rule yang saya buat bisa didiskusikan lagi di form kementar blog ini.
regards,
cangkal.