{"id":11686,"date":"2021-08-12T12:00:00","date_gmt":"2021-08-12T15:00:00","guid":{"rendered":"https:\/\/made4it.com.br\/blackhole-bgp-mikrotik\/"},"modified":"2023-03-08T11:54:36","modified_gmt":"2023-03-08T14:54:36","slug":"blackhole-bgp-mikrotik","status":"publish","type":"post","link":"https:\/\/made4it.com.br\/es\/blackhole-bgp-mikrotik\/","title":{"rendered":"Blackhole BGP \u2013 Mikrotik"},"content":{"rendered":"\n

Ahora que sabe qu\u00e9 es un blackhole BGP<\/strong> (si a\u00fan lo sabe, consulte nuestro art\u00edculo sobre RTBH – Blackhole)<\/a>. Ahora toca configurarlo en Mikrotike<\/strong> para poder protegerte de los ataques DDoS.<\/p>\n\n

Para resumir el Blackhole, es una t\u00e9cnica de enviar una ruta al \u201cagujero negro\u201d<\/strong> o simplemente hacer que el router descarte paquetes dirigidos a esa IP.<\/p>\n\n

Ahora que s\u00e9 qu\u00e9, ahora viene la pregunta \u00bfc\u00f3mo bloquear mi enrutador? En el art\u00edculo de hoy, mostraremos c\u00f3mo configurar Blackhole en los enrutadores Mikrotik que ejecutan RouterOS.Para hacer el Blackhole manualmente tenemos unos pasos que son:<\/p>\n\n

  1. Identificar la IP atacada<\/li>
  2. Crear ruta al blackhole<\/li>
  3. Anuncie esta ruta de agujero negro a trav\u00e9s de BGP a sus operadores\/ascendentes<\/li><\/ol>\n\n

    Puedes automatizar todo esto con Made4Flow<\/a><\/strong>, ya cerrando una sesi\u00f3n directa y sin tener que hacer trabajo manual.<\/p>\n\n

    Si desea saber c\u00f3mo automatizar todo con Made4Flow, consulte nuestro pr\u00f3ximo art\u00edculo.<\/p>\n\n

    As\u00ed que vamos a la configuraci\u00f3n:<\/p>\n\n

    \n 1 \u2013 Identificar la IP atacada<\/strong>\n <\/p>\n\n

    Puede usar algunas de las herramientas propias de Mikrotik como Torch o usar un software Netflow que tiene un sensor de ataque DDoS como Made4Flow<\/p>\n\n

    A trav\u00e9s de Torch, vaya a Herramientas -> Torch y elija la interfaz en la que est\u00e1 siendo atacado<\/p>\n\n

    \"\"<\/a><\/figure>\n\n

    O en Made4Flow de forma sencilla accediendo a Anti-DDoS -> Anomal\u00edas Activas<\/p>\n\n

    \"\"<\/a><\/figure>\n\n

    La IP atacada fue: 200.189.56.55 (Ejemplo)<\/p>\n\n

    \n 2) Crear una ruta al blackhole<\/strong>\n <\/p>\n\n

    Luego de identificar la IP atacada v\u00eda Torch o v\u00eda Made4Flow, ahora es momento de crear la ruta en tu Router<\/p>\n\n

    Para eso, vaya a IP -> Rutas y agregue una nueva Ruta<\/p>\n\n

    Supongamos que la IP atacada es 200.200.200.1, creemos la ruta de la siguiente manera<\/p>\n\n

    \"\"<\/a><\/figure>\n\n

    Agregue la direcci\u00f3n Dst como 200.200.200.1\/32, para identificar que es solo la IP espec\u00edfica y el tipo Blackhole<\/p>\n\n

    O v\u00eda terminal con el siguiente comando:<\/p>\n\n

    \/ip routeadd distance=1 dst-address=200.200.200.1\/32 type=blackhole<\/p>\n\n

    \u00a1Despu\u00e9s de aplicar la ruta en blackhole, esta IP DEJAR\u00c1 DE FUNCIONAR!<\/strong><\/p>\n\n

    \n 3 – Anuncie esta ruta de agujero negro a trav\u00e9s de BGP a sus operadores\/ascendentes<\/strong>\n <\/p>\n\n

    Despu\u00e9s de identificar y bloquear la ruta, debe anunciar a trav\u00e9s de BGP a sus operadores\/upstreams.<\/p>\n\n

    Para ello tenemos unos pasos:<\/p>\n\n

    1. Crear la ruta para BGP<\/li><\/ol>\n\n

      Para ello ve a Enrutamiento -> BGP -> Redes y agrega la ruta que est\u00e1 en blackhole<\/p>\n\n

      \"\"<\/a><\/figure>\n\n

      En nuestro ejemplo la IP atacada fue: 200.200.200.1\/32<\/p>\n\n

      O a trav\u00e9s del comando:<\/p>\n\n

      \/routing bgp networkadd network=200.200.200.1\/32 synchronize=no<\/p>\n\n

      1. Configura tu Route-Map o Filters para enviar el anuncio<\/li><\/ol>\n\n

        Ingrese Routing -> Filters y agregue el nuevo Filtro. En nuestro ejemplo, el Filtro de nuestro operador XPTO tiene el nombre TRANSITO-XPTO-OUT y lo vamos a agregar para enviar nuestra ruta blackhole:<\/p>\n\n

        \"\"<\/a><\/figure>\n\n

        A\u00f1adir la IP atacada con la m\u00e1scara \/32 en Prefijo<\/p>\n\n

        \"\"<\/a><\/figure>\n\n

        En Actions lo marcaremos como Accept para aceptar el env\u00edo de esta ruta<\/p>\n\n

        Y finalmente en BGP Actions y agregue nuestra comunidad de operadores:Nuestro operador XPTO utiliza BGP 666:666 de la comunidad para enviar tr\u00e1fico a Blackhole<\/p>\n\n

        \"\"<\/a><\/figure>\n\n

        A trav\u00e9s de cli se ve as\u00ed:<\/p>\n\n

        \/routing filteradd action=accept chain=TRANSITO-XPTO-OUT prefix=200.200.200.1 set-bgp-communities=666:666<\/p>\n\n

        Consejo 1<\/strong>: No olvide cambiar el orden (N\u00famero) de la regla para que est\u00e9 antes del filtro de descarte\/rechazo total. RouterOS lee las reglas de filtros en secuencia num\u00e9rica, desde la regla 0 en adelante.<\/p>\n\n

        Consejo 2<\/strong>: hable con su operador para averiguar qu\u00e9 comunidad de agujeros negros BGP utilizan<\/p>\n\n

        Una vez hecho esto, la IP permanecer\u00e1 en blackhole y se anunciar\u00e1 a su operador, el ataque cesar\u00e1 si se dirige a esta \u00fanica IP.<\/p>\n\n

        Para hacer la vida m\u00e1s f\u00e1cil, tenemos el video a continuaci\u00f3n, que muestra en la pr\u00e1ctica c\u00f3mo configurar el Mikrotik con Blackhole<\/p>\n\n \n\n

        \n
        \n