Menghindari DDOS DNS Email Zimbra dari Flooding Traffik di Mikrotik

Beberapa hari ini terganggu dengan traffik flooding besar-besaran yang masuk ke mikrotik yang digunakan untuk mail server zimbra, dari log yang masuk diketahui bahwa trafik tersebut berasal dari alamat hinet.net dan ip-ip nya berasal dari negara taiwan dan china.
Trafik tersebut tidak berhasil menembus email zimbra tapi membanjiri mikrotik sehingga Tx nya pun menjadi sangat besar, bisa dibayangkan jika Tx mikrotik mencapai 4Mbps maka bandwith akan tersedot semua oleh traffik tersebut yang berakibat user dari publik akan kesulitan untuk mengakses webmail dari luar jaringan dan user dalam jaringan pun terhambat dalam mengirim email, karena 'berbagi' bandwith dengan trafik flooding tersebut.
Analisa pertama bahwa ip tersebut menyerang port 80 yang mana saya NAT kan ke webmail zimbra yang berada dibawah mikrotik, setelah NAT tersebut saya disable dan saya lakukan drop pada port 80 ternyata masih tetap mendapatkan traffik tak diundang tersebut.
Selanjutnya kecurigaan saya mengarah kepada port 53 (DNS) , akhirnya saya lakukan drop pada port 53 UDP (IP > Firewall > Filter Rules >
buat rule: general> chain input, protocol 6 (tcp) dst port : 53 in interface : pppoe-out1action: drop) dan hasilnya trafik tersebut berhasil diusir dan tidak kembali lagi, akan tetapi permasalahannya adalah email keluar tidak bisa terkirim karena DNS menjadi error. 
Selanjutnya kembali mencari solusi akhirnya ditemukan cara yang lebih simple dari blog mas rmuliadi, yaitu dengan meng uncheck opsi Allow Remote Request pada menu IP -> DNS , karena jika opsi ini di centang akan dapat dilakukan flood menggunakan port tcp dan udp (53)
Selanjutnya ketika melakukan pengiriman email keluar, terjadi error DNS, disebabkan sewaktu opsi Allow Remote Requests dicentang maka email server yang meng gateway dan DNS ke mikrotik akan otomatis diteruskan ke DNS Server publik diatas, akan tetapi jika opsi tersebut di uncheck maka tidak otomatis diteruskan, sehingga perlu dimasukkan DNS Server nya di email server.
Setelah DNS Server IP 203.130.196.155 ditambahkan ke email server, maka pengiriman keluar kembali lancar.

Demikian sedikit coretan, semoga bermanfaat



Previous
Next Post »
Thanks for your comment