Konfigurasi
Anda bisa ikuti langkah dibawah ini:
Langkah pertama, kita bisa membuat rule firewall filter dengan action drop terhadap alamat ip asal “ddoser” dengan tujuan alamat ip “ddosed”.
/ip firewall filter
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop
Langkah berikutnya, maka kita akan menangkap semua koneksi “new” dan membuat chain baru yaitu “detect-ddos”.
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=detect-ddos
Kemudian kita akan membuat rule firewall sebagai berikut:
/ip firewall filter
add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/1s action=return
add chain=detect-ddos src-address=192.168.0.1 action=return
Dengan rule firewall diatas, maka ketika terdapat paket new yang tidak wajar, misalnya diatas 32 paket selama satu detik, maka firewall akan melakukan penandaan terhadap alamat asal dan alamat tujuan menggunakan address list. Sebagai contoh untuk alamat IP penyerang maka akan dilakukan grouping dengan nama “ddoser”, kemudian untuk alamat IP target maka akan dilakukan grouping dengan nama “ddosed”.
/ip firewall filter
add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m