Home » ป้องกัน DNS Amplification Attack Mikrotik

ป้องกัน DNS Amplification Attack Mikrotik

เมื่อไม่นานมานี้ แพนด้าสังเกตเห็นว่ามี Package แปลกๆ วิ่งเข้า วิ่งออก ในระบบของแพนด้า และใช้ Port 53 (DNS) Protocol UDP ออกจากเครืองข่ายของแพนด้า จากการหาข้อมูลเป็นการบุกรุกแบบ DNS amplification attack (มีอีกชื่อหนึ่งว่า DNS reflection attack) ดังรูปที่ 1 ซึ่งเป็นวิธีการส่ง DNS request ไปยัง DNS resolver ที่ต่าง ๆ โดยปลอมแปลง IP address ต้นทางในแพ็คเก็ตเป็น IP address ของระบบเป้าหมาย ทำให้ DNS response ที่ตอบกลับมาจาก DNS resolver นั้น ถูกส่งไปยังระบบเป้าหมายแทนที่จะเป็นผู้โจมตี ยิ่งมีการส่ง DNS request ในทำนองนี้เป็นจำนวนมากเท่าใด ก็จะมี DNS response ตอบกลับไปยังระบบเป้าหมายมากยิ่งขึ้น จนกระทั่งถึงจุดหนึ่งที่ทำให้ Network bandwidth ของระบบเป้าหมายมีไม่เพียงพอต่อปริมาณข้อมูลจำนวนมากที่ได้รับ เลยใช้ฐานบ้านแพนด้าเป็นส่วนหนึ่งของการโจมตีด้วยเลย

รูปที่ 1 รูปแบบโดยทั่วไปของการโจมตีด้วยเทคนิค DNS amplification attack

DNS amplification is a Distributed Denial of Service (DDoS) attack in which the attacker exploits vulnerabilities in domain name system (DNS) servers to turn initially small queries into much larger payloads, which are used to bring down the victim’s servers.

DNS amplification is a type of reflection attack which manipulates publically-accessible domain name systems, making them flood a target with large quantities of UDP packets. Using various amplification techniques, perpetrators can “inflate” the size of these UDP packets, making the attack so potent as to bring down even the most robust Internet infrastructure.

Script ป้องกัน DNS Amplifier Attack ของ Mikrotik
เอา Script ป้องกัน DNS Amplifier Attack ของ Mikrotik มาฝากกันครับ ซึ่งสิ่งที่น่าสนใจคือวิธีทำงานของสคริปต์นี้ เพราะสคริปต์นี้สามารถนำไปใช้งานได้หมด ไม่ว่ากับการเชื่อมต่อ WAN ในลักษณะไหน (DHCP, PPPOE และอื่นๆ) รวมถึงสามารถทำงานได้กับทั้ง Wan เดียว หรือหลาย WAN ไม่ว่าจะมีการทำ Load Balance หรือไม่ก็ทำได้หมด – ผมเลยทำวิธีใช้งาน และบรรยายวิธีการ config Mikrotik ในลักษณะเป็น module ที่มีความยืดหยุ่นในการทำงานมาฝากกันไปด้วยเลย :)ถ้าเห็นว่ามีประโยชน์อย่างไร ฝาก Like ฝาก Share ให้ด้วยนะคร๊าบบ.. ^_^เนื่องจากเพจไม่สามารถอัพโหลดไฟล์ได้ ตัวไฟล์ของสคริปต์เลยไปเก็บไว้ที่ห้องสมุดไฟล์ของกรุ๊ป Mikrotik Tutorial โหลดได้จากลิงค์นี้ครับ https://www.facebook.com/groups/mikrotiktutorial/945610642275497/ถ้าไม่สามารถเข้าไปโหลดไฟล์ได้ ให้ทำการ Join Group ก่อนครับ 🙂
โพสต์โดย Mikrotik Tutorial เมื่อ วันพฤหัสบดีที่ 25 มกราคม 2018

จาก Mikrotik Tutorial ท่านอาจารย์ผมเอง

/ip firewall address-list
#แก้ไขบรรทัดนี้ให้เป็น Network ID ของ LAN
add address=192.168.1.0/24 list=LAN

/ip firewall filter
add action=drop chain=input 
src-address-list=block_hack_from_internet 
comment= "Prevent DNS amplification attack"

add action=add-src-to-address-list 
address-list=block_hack_from_internet 
address-list-timeout=2m chain=input dst-port=53 
src-address-list=!LAN protocol=udp

add action=add-src-to-address-list 
address-list=block_hack_from_internet 
address-list-timeout=2m chain=input dst-port=53 
src-address-list=!LAN protocol=tcp

add action=drop chain=input src-address-list=block_hack_from_internet

Open DNS by cisco

Cisco, dashboard, dns, Firewall, Mikrotik, opendns