Agora que você já sabe que é uma blackhole BGP (se caso ainda saiba, confira nosso artigo sobre RTBH – Blackhole). Agora é hora de configurar ela em Mikrotik e conseguir se proteger dos ataques DDoS.
Para resumir a Blackhole, é uma técnica de enviar uma rota para o “buraco negro” ou simplesmente fazer o roteador descartar os pacotes direcionados a esse IP.
Agora que já sei o que, agora vem a pergunta como fazer blackhole no meu roteador? No artigo de hoje vamos mostrar como configurar a Blackhole em Roteadores Mikrotik rodando o RouterOS.
Para fazer a Blackhole de forma manual temos alguns passos que são:
- Identificar o IP atacado
- Criar a rota para blackhole
- Anunciar essa rota em blackhole via BGP para suas operadoras/upstreams
Você pode automatizar tudo isso com o Made4Flow, já fechando uma sessão direta e não precisando fazer o trabalho manual.
Se quiser saber como automatizar tudo com o Made4Flow confira esse nosso próximo artigo.
Vamos lá então para as configurações:
1 – Identificar o IP atacado
Você pode usar algumas ferramentas do próprio Mikrotik como o Torch ou utilizar um Software de Netflow que possua sensor de ataques DDoS como o Made4Flow
Via Torch, acesse em Tools -> Torch e escolha a interface onde você está sendo atacado
Ou no Made4Flow de forma simples acessando o Anti-DDoS -> Anomalias Ativas
O IP atacado foi o: 200.189.56.55 (Exemplo)
2) Criar uma rota para blackhole
Após identificar o IP atacado via Torch ou via Made4Flow agora é hora de criar a rota em seu Roteador
Para isso acesse IP -> Routes e adicione uma nova Rota
Vamos supor que o IP atacado seja o 200.200.200.1, vamos criar a rota da seguinte maneira
Adicionar o Dst-address como 200.200.200.1/32, para identificar que é somente o IP especifico e o type Blackhole
Ou via terminal com o seguinte comando:
/ip route
add distance=1 dst-address=200.200.200.1/32 type=blackhole
Após aplicar a rota em blackhole esse IP irá PARAR DE FUNCIONAR!
3 – Anunciar essa rota em blackhole via BGP para suas operadoras/upstreams
Após identificar e colocar em blackhole a rota você precisa anunciar via BGP para suas operadoras/upstreams.
Para isso temos alguns passos:
- Criar a Rota para o BGP
Para fazer isso entre em Routing -> BGP -> Networks e adicione a rota que está em blackhole
No nosso exemplo o IP atacado foi o: 200.200.200.1/32
Ou via comando:
/routing bgp network
add network=200.200.200.1/32 synchronize=no
- Configurar sua Route-Map ou Filters para enviar o anuncio
Entre em Routing -> Filters e adicione o novo Filtro. No nosso exemplo o Filtro da nossa operadora XPTO está com o nome TRÂNSITO-XPTO-OUT e vamos adicionar para enviar a nossa rota de blackhole:
Adicionar em Prefix o IP atacado com a mascara /32
Em Actions vamos marcar como Accept para aceitar enviar essa rota
E por último em em BGP Actions e adicionar a community da nossa operadora:
Nossa operadora XPTO usa a community BGP 666:666 para enviar o trafego para Blackhole
Via cli fica da seguinte forma:
/routing filter
add action=accept chain=TRANSITO-XPTO-OUT prefix=200.200.200.1 set-bgp-communities=666:666
Dica 1: Não esqueça de mudar a ordem (Numero) da regra para que fique antes do filtro de discard/reject total. O RouterOS le as regras do Filters em sequência numérica, da regra 0 para frente.
Dica 2: Fale com a sua operadora para saber qual community BGP de blackhole ela usa
Feito isso o IP irá ficar em blackhole e anunciado para sua operadora, o ataque irá cessar caso ele for para este único IP.
Para facilitar a vida, temos o vídeo abaixo, mostrando na pratica como configurar o Mikrotik com Blackhole
Se tiver duvidas não deixe de falar conosco pelo WhatsApp, Redes Sociais ou E-mail
Até a próxima!
