Artyom
投票:6发布日期:2018年9月5日05:05:33
MikroTik RouterOS是一个易于使用但功能强大的接口,它为网络管理员提供了轻松部署网络功能和功能的能力。在MikroTik RouterOS的帮助下,你可以把一台普通的个人电脑变成一个强大的网络路由器。
MikroTik RouterOS是一个基于Linux的操作系统,专门为瘦路由器设计。术语指的是在我们的桌面计算机上运行的软件数量和操作系统的大小。
是的,使用Mikrotik路由器,您可以非常有效地对抗DDoS攻击。使用Mikrotik路由器,您可以使用防火墙特性来限制连接的数量。当发生DDoS攻击时,当连接请求数超过限制时,系统将检测到入侵。
让我们学习一下如何捕获所有新连接并将它们重定向到防火墙
/ ip防火墙过滤
add chain=forward connection-state=new action=jump jump-target=detect-ddos
在RouterOS中,任何单一的UDP包都被认为是一个新的连接,在任何防火墙部分(NAT除外)的连接跟踪,直到相反方向的包被发送。
然后我们允许每个“SrcIP:DstIP”对一定数量的新连接。确保也添加异常,如DNS服务器。没有好的理由去阻止它们。
/ ip防火墙过滤
add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return
add chain=detect-ddos src-address=192.168.0.1 action=return
现在我们只有数据包超过了我们的限制-我们添加他们的源到'ddoser'和目标到'ddosed'地址列表:
/ ip防火墙过滤
add chain=detect-ddos action=add-dst-to-address-list address-list=ddos address-list-timeout=10m
add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m
然后数据包处理返回到“转发”链,在这里我们阻塞任何从ddosers(罪犯)到ddosed(受害者)资源的数据包:
/
知识产权
防火墙过滤
add chain=forward connection-state=new src-address-list=ddoser
dst
地址列表= ddos action =下降