Trafik Ghaib pemberat Router

Beberapa hari yang lalu router kantor cabang mengalami trafik yang tinggi hingga mempengaruhi ping ke 8.8.8.8, hasilnya bisa mencapai ratusan dan kadang kehabisan waktu(time out). Ada laporan dari rekan-rekan yang mengatakan bahwa salah satu aplikasinya(harus daring) sering gagal, padahal jika untuk membuka situs lain terasa normal.

Awalnya, saya kira ini disebabkan pengguna yang melakukan streaming video, karena jika dilihat melalui interface terdapat trafik yang stabil di angka 2MB pada jaringan lokal menuju internet, padahal queue jarang mencapai "merah" yang terlalu lama, iseng-iseng saya cek pada malam hari ketika tidak ada pengguna, ternyata trafik masih stabil di angka 2MB, saya jadi curiga kalau router-nya bermasalah.

Setelah googling dan membaca tutorial di laman https://www.dodiventuraz.net/2016/09/cara-mengatasi-flooding-traffic-di-mikrotik.html, saya coba-coba mendisable web proxy(saya juga tidak ingat mengaktifkannya kapan?) dengan cara:

/ip proxy set port=8080 src-address=:: enabled=no
Saya cek trafik interfaces menuju internet di bawah 53kbps saat tidak ada pengguna. Saya pikir, normal saja kalau masih segitu, karena memang tidak mungkin juga jika bisa stabil sampai nol kbps.
Dan respon teman-teman di keesokan harinya lebih cepat, aplikasi daring yang sebelumnya gagal diakses pun dapat berjalan lancar. Saya tes sendiri melakukan speedtest juga mengalami peningkatan. Untuk ping google hanya membutuhkan 2 digit, tidak seperti sebelumnya yang mencapai 3 digit.

Tambahan

Ternyata ada yang kurang saat saya mempraktekkan tutorial pada tautan di atas, saya lupa bagian implementasi menangkap IP penyerang ke dalam address list. Jadi sudah ditutup proxy-nya namun IP dari penyerang belum di-drop, pada praktik yang saya lakukan ada sedikit modifikasi yaitu penambahan port telnet dan ssh. Setelah saya amati, IP dari serangan flooding maupun SSH & Telnet ternyata sama, meskipun beberapa ada yang berbeda. Ini saya manfaatkan sekalian sebagai penangkal masuk IP penyerang yang mencoba melakukan bruteforce ke router, bagi anda yang memiliki router terhubung dengan IP Publik pasti pernah mendapati serangan semacam ini, berusaha mengambil alih perangkat. Berikut Filter Rules yang saya gunakan:
/ip firewall filter
add action=add-src-to-address-list address-list="Flooding attack " \
    address-list-timeout=2w chain=input comment=\
    "Drop Flooding Traffic Port 8080" dst-port=8080,80 in-interface=ether1 \
    protocol=tcp
add action=drop chain=input dst-port=8080,80,22,23 in-interface=ether1 protocol=tcp \
    src-address-list="Flooding attack"
Baris pertama mancatat IP penyerang ke dalam address list bernama "Flooding Attack" dengan indikasi serangan ke port 8080, sedangkan baris kedua memblok serangan dari IP yang tercatat dalam "Flooding Attack" dengan port 8080,80,22, dan 23.

Postingan terkait:

Belum ada tanggapan untuk "Trafik Ghaib pemberat Router"

Posting Komentar