Ahora que sabe qué es un blackhole BGP (si aún lo sabe, consulte nuestro artículo sobre RTBH – Blackhole). Ahora toca configurarlo en Mikrotike para poder protegerte de los ataques DDoS.
Para resumir el Blackhole, es una técnica de enviar una ruta al “agujero negro” o simplemente hacer que el router descarte paquetes dirigidos a esa IP.
Ahora que sé qué, ahora viene la pregunta ¿cómo bloquear mi enrutador? En el artículo de hoy, mostraremos cómo configurar Blackhole en los enrutadores Mikrotik que ejecutan RouterOS.
Para hacer el Blackhole manualmente tenemos unos pasos que son:
- Identificar la IP atacada
- Crear ruta al blackhole
- Anuncie esta ruta de agujero negro a través de BGP a sus operadores/ascendentes
Puedes automatizar todo esto con Made4Flow, ya cerrando una sesión directa y sin tener que hacer trabajo manual.
Si desea saber cómo automatizar todo con Made4Flow, consulte nuestro próximo artículo.
Así que vamos a la configuración:
1 – Identificar la IP atacada
Puede usar algunas de las herramientas propias de Mikrotik como Torch o usar un software Netflow que tiene un sensor de ataque DDoS como Made4Flow
A través de Torch, vaya a Herramientas -> Torch y elija la interfaz en la que está siendo atacado
O en Made4Flow de forma sencilla accediendo a Anti-DDoS -> Anomalías Activas
La IP atacada fue: 200.189.56.55 (Ejemplo)
2) Crear una ruta al blackhole
Luego de identificar la IP atacada vía Torch o vía Made4Flow, ahora es momento de crear la ruta en tu Router
Para eso, vaya a IP -> Rutas y agregue una nueva Ruta
Supongamos que la IP atacada es 200.200.200.1, creemos la ruta de la siguiente manera
Agregue la dirección Dst como 200.200.200.1/32, para identificar que es solo la IP específica y el tipo Blackhole
O vía terminal con el siguiente comando:
/ip route
add distance=1 dst-address=200.200.200.1/32 type=blackhole
¡Después de aplicar la ruta en blackhole, esta IP DEJARÁ DE FUNCIONAR!
3 – Anuncie esta ruta de agujero negro a través de BGP a sus operadores/ascendentes
Después de identificar y bloquear la ruta, debe anunciar a través de BGP a sus operadores/upstreams.
Para ello tenemos unos pasos:
- Crear la ruta para BGP
Para ello ve a Enrutamiento -> BGP -> Redes y agrega la ruta que está en blackhole
En nuestro ejemplo la IP atacada fue: 200.200.200.1/32
O a través del comando:
/routing bgp network
add network=200.200.200.1/32 synchronize=no
- Configura tu Route-Map o Filters para enviar el anuncio
Ingrese Routing -> Filters y agregue el nuevo Filtro. En nuestro ejemplo, el Filtro de nuestro operador XPTO tiene el nombre TRANSITO-XPTO-OUT y lo vamos a agregar para enviar nuestra ruta blackhole:
Añadir la IP atacada con la máscara /32 en Prefijo
En Actions lo marcaremos como Accept para aceptar el envío de esta ruta
Y finalmente en BGP Actions y agregue nuestra comunidad de operadores:
Nuestro operador XPTO utiliza BGP 666:666 de la comunidad para enviar tráfico a Blackhole
A través de cli se ve así:
/routing filter
add action=accept chain=TRANSITO-XPTO-OUT prefix=200.200.200.1 set-bgp-communities=666:666
Consejo 1: No olvide cambiar el orden (Número) de la regla para que esté antes del filtro de descarte/rechazo total. RouterOS lee las reglas de filtros en secuencia numérica, desde la regla 0 en adelante.
Consejo 2: hable con su operador para averiguar qué comunidad de agujeros negros BGP utilizan
Una vez hecho esto, la IP permanecerá en blackhole y se anunciará a su operador, el ataque cesará si se dirige a esta única IP.
Para hacer la vida más fácil, tenemos el video a continuación, que muestra en la práctica cómo configurar el Mikrotik con Blackhole
Si tienes alguna duda, no dudes en ponerte en contacto con nosotros a través de WhatsApp, Redes Sociales o E-mail.
Hasta la próxima.
