MikroTik Schutz vor DNS Amplification Attacken

Es gibt unterschiedliche Gründe warum man den Mikrotik Router als chaching Server verwenden. Anfragen vom Client sind nur etwas schneller, was der Benutzerfreundlichkeit nur marginal hilft. Es erlaubt aber auch das schnelle Ändern der vorgelagerten DNS-Server bei einem Ausfall oder Angriff.

Es gibt sicherlich mehrere Möglichkeiten wenn man über den DNS Schutz des Mikrotik AP nachdenkt. Hiermit geben wir Euch eine einfache Möglichkeit, vor DNS Amplification Angriffen (DNS-Verstärkungsangriff), an die Hand. DNS Amplification Angriffe sind Denial-of-Service-Angriffe, bei dem große Datenmengen auf den Internetanschluss des Opfers gelenkt werden. Das Ziel der Aktion ist es den Internetanschluss zu überlasten, sodass dieser nicht mehr verwendet werden kann.

1. Möglichkeit

Es kommen eingehende Anfragen an den Router auf Port 53 (DNS). Nur Clients aus dem internen Netz sollen Anfragen an den Mikrotik Router stellen können. Wenn Port ether1 des Router die ISP-Verbindung darstellt, die Clients werden an allen anderen Ports (etherx) angeschlossen sein.

In diesem Fall könnten wir sagen, dass alle Port 53 Anfragen von außen unterbunden (drop) werden sollen. Das kann mit folgendem Code realisiert werden. Wobei ether1 ggf. an die eigenen Bedürfnisse angepasst werden muss.

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop

Mit diesen Einstellungen kann der Mikrotik Router immer noch DNS Anfragen nach außen senden. Wir blockieren lediglich die Anfragen an Port 53 von außen.

Alle Angaben sind ohne Gewähr, die Veränderung Ihrer Systeme erfolgt auf eigene Gefahr.