How to protection for Mikrotik Router from DDoS attacks by Mẽric

Để bảo vệ Router Mikrotik trước các cuộc tấn công của Mẽric botnet hoặc để làm sạch lại router đã bị nhiễm virus trước đó, chúng ta nên update RouterOS và kiểm tra lại toàn bộ cấu hình.

Gần đây các cuộc tấn công DDoS quy mô lớn bằng cách là sử dụng botnet mới có tên gọi là Mẽric đã đạt đỉnh gần 22 triệu requests mỗi giây. Theo nghiên cứu của Qrator, thiết bị Mikrotik đã tạo ra phần lớn botnet's traffic.

Sau khi nghiên cứu, phân tích, các Mikrotik experts (chuyên gia Mikrotik) không tìm thấy lỗ hổng nào mới trong thiết bị của họ. Tuy nhiên, các lỗ hổng cũ vẫn có thể gây ra mối đe dọa. Do đó, để đảm bảo Router của bạn không tham gia vào Mẽric botnet (hoặc bất kì 1 botnet nào khác) bạn cần làm theo 1 số khuyến nghị.

Tại sao thiết bị Mikrotik tham gia vào botnet?

Cách đây vài năm, theo nghiên cứu bảo mật của Kaspersky Nga đã phát hiện ra lỗ hổng trong thiết bị Router Mikrotik : Winbox, một công cụ hỗ trợ cấu hình cho thiết bị Mikrotik mà qua đó nhiều thiết bị đã bị xâm nhập. Vào năm 2018, Mikrotik đã sửa lỗ hổng bảo mật đó nhưng có vẻ như không phải tất cả người dùng đều update router của họ.

Hơn nữa, ngay cả những người đã update, không phải ai cũng tuân thủ các khuyến nghị thay đổi mật khẩu của nhà sản xuất. Nếu người dùng không thay đổi mật khẩu thì ngay cả việc update firmware cũng có thể bị những kẻ tấn công thâm nhập vào router và tiếp tục khai thác thông tin.

Theo Mikrotik, các thiết bị router hiện đang bị nhiễm Mẽric cũng chính là các thiết bị đã bị xâm nhập vào năm 2018. Bên Mikrotik cũng đã công bố các chỉ số về sự xâm phạm của thiết bị và đưa ra các khuyến nghị.

Cách nhận biết router Mikrotik có bị nhiễm botnet hay không

Khi router đã tham gia botnet, những kẻ tấn công lạ mặt đó sẽ thay đổi một số cài đặt của thiết bị. Do đó khuyến nghị đầu tiên của Mikrotik là xem xét lại toàn bộ cấu hình và kiểm tra các chi tiết sau:

Tồn tại script với phương thức fetch () . Hãy xóa ngay, nếu có (System -> Scheduler)
Socks procy server đã được bật (enabled). Nếu bạn không sử dụng nó thì hãy disable nó đi (IP -> SOCKS)
Tồn tại VPN L2TP Client nào đó mà bạn không quen, xóa nó ngay.
Trong firewall tồn tại rule allow remote access với port 5678, xóa nó ngay. (Tham khảo thêm)

Khuyến nghị để bảo vệ Router Mikrotik của bạn

Thường xuyên update là một phần quan trọng trong việc bảo vệ Router cũng như hệ thống mạng của bạn. Phần lớn việc giữ cho thiết bị Mikrotik an toàn là tuân theo các phương pháp hay nhất về bảo mật:

Đảm bảo thiết bị của bạn đang sử dụng firmware mới nhất hiện có và update nó thường xuyên (Việc update thường xuyên có thể chạy bằng cơm hoặc bằng scrip 😋).
Disable truy cập từ xa đến thiết bị, trừ khi bạn thật sự cần nó.
Cấu hình truy cập từ xa thông qua VPN (ví dụ như IPSec Protocol). Một lần nữa, nếu bạn thật sự cần nó.
Sử dụng mật khẩu quản lí thiết bị dài và mạnh. Hãy đổi mật khẩu của bạn ngay bây giờ vì có thể tôi đang xâm nhập vào nó đó 😂

Bên cạnh những khuyễn nghị trên đối với Router Mikrotik, thì bạn cũng phải đảm bảo hệ thống mạng nội bộ của bạn cũng an toàn. Giả sử có 1 máy tính nội bộ nào đó bị nhiễm, thì phần mềm độc hại đó có thể tấn công Router từ bên trong mạng nội bộ và giành quyền kiểm soát Router của bạn.

Đến đây là hết rồi, chúc các bạn thành công !!!

Đặt quảng cáo của bạn ở đây

Tìm kiếm Blog này

I'm Bùi Quang Chính