Mengatasi Serangan DNS Amplification Pada Router Mikrotik

Serangan DNS Amplification merupakan salah satu serangan distributed denial of service (DDoS) yang mamanfaatkan open DNS resolver pada target untuk membanjiri trafik (flooding) pada target sehingga membuat layanan pada target menjadi terganggu bahkan tidak bisa diakses.

Bagaimana serangan DNS amplification terjadi

Amplification attack biasanya mengeksploitasi dengan cara melakukan request DNS yang relatif kecil ke target namun menghasilkan respon data yang cukup besar, sehingga apabila terdapat request yang cukup banyak maka resource pada target bisa saja habis untuk melayani respon pada serangan.

Normalnya request DNS memiliki respon yang relatif kecil karena hanya melakukan request alamat IP pada domain, namun pada serangan amplification penyerang tidak hanya melakukan permintaan alamat IP pada domain namun hampir semua keseluruhan informasi pada domain (misalkan menggunakan request DNS untuk record type “ANY”) , sehingga respon juga berisikan informasi detail tentang subdomain, backup server, domain alias, dll. Tentu hal ini dapat mengakibatkan request menghasilkan respon 10 bahkan 50 kali lebih besar dibanding dengan request normal.

Pada Mikrotik serangan DNS amplification terjadi karena fitur Allow remote request DNS pada router diaktfikan, dengan fitur ini IP mikrotik bisa dijadikan sebagai alamat DNS yang kemudian akan diteruskan ke server publik DNS yang ada di mikrotik.

Mengetahui Serangan Pada Mikrotik

Serangan DNS amplification biasanya ditandai dengan tingginya penggunaan bandwidth unggah pada interface yang mengarah ke internet dan bila diperhatikan terdapat banyak request paket UDP pada port 53 yang berasal dari internet dan juga terdapat perbandingan penggunaan bandwidth unggah yang signifikan pada interface internet dan lokal.

Penggunaan bandwidth unggah pada ether1 berbeda jauh dengan penggunaan pada interface lokal.

Apabila dilakukan torch pada interface yang mengarah ke internet maka terlihat terdapat beberapa request dns (port 53) dan alamat IP asal request bila ditelusuri kebanyakan berasal dari negara Tiongkok.

Mengatasi Serangan Pada Mikrotik

Unutk mengatasi serangan DNS amplification pada mikrotik terdapat 2 pilihan, yang pertama dengan mematikan fitur allow remote request pada DNS, namun dengan mematikan fitur tersebut maka mikrotik tidak dapat dijadikan sebagai dns server.

Uncheck pada Allow Remote Request

Apabila fitur allow remote request DNS pada mikrotik masih diperlukan kita bisa menambahkan rule pada firewall mikrotik untuk memblokir request dns yang berasal dari internet.

/ip firewall filter
add chain=input protocol=udp dst-port=53 in-interface=ether1-inet action=drop
add chain=input protocol=tcp dst-port=53 in-interface=ether1-inet action=drop

Perintah diatas akan melakukan drop request pada port 53 yang berasal dari interface internet (ether1-inet).

Jika langkah-langkah tersebut sudah dilakukan coba cek kembali apakah penggunaan bandwidth sudah normal kembali?

Leave a Reply

Your email address will not be published. Required fields are marked *