ตัวเลือกไฟร์วอลล์ "ดิบ" ใน MikroTik RouterOS เป็นเครื่องมือที่มีประสิทธิภาพในการบรรเทาการโจมตี รวมถึงที่ใช้ ICMP (Internet Control Message Protocol)

ไฟร์วอลล์ดิบทำงานในระยะเริ่มต้นของการประมวลผลแพ็กเก็ต ช่วยให้สามารถจัดการกับแพ็กเก็ตที่ไม่ต้องการได้อย่างมีประสิทธิภาพก่อนที่จะใช้ทรัพยากรระบบนอกเหนือจากการประมวลผลขั้นพื้นฐาน

หากต้องการบรรเทาการโจมตี ICMP เช่น Ping Flood (การโจมตี DDoS ประเภทหนึ่งที่ผู้โจมตีกระจายเหยื่อด้วยแพ็กเก็ต ICMP เพื่อใช้ทรัพยากรจนหมด) คุณสามารถใช้กฎในตาราง Raw เพื่อละทิ้งหรือจำกัดการรับส่งข้อมูลนี้

เนื่องจากกฎในตารางนี้ได้รับการประมวลผลก่อนกฎในตัวกรองและตาราง nat ซึ่งช่วยให้สามารถแทรกแซงได้ตั้งแต่เนิ่นๆ และลดผลกระทบต่อประสิทธิภาพของเราเตอร์ให้เหลือน้อยที่สุด

การกำหนดค่ากฎในไฟร์วอลล์ Raw เพื่อลดการโจมตี ICMP

ต่อไปนี้คือตัวอย่างวิธีกำหนดค่ากฎในไฟร์วอลล์ดิบเพื่อจำกัดแพ็กเก็ต ICMP:

1. เข้าถึงเราเตอร์ MikroTik ของคุณ ผ่าน Winbox, WebFig หรือ SSH
2. ไปที่ส่วนไฟร์วอลล์ "ดิบ":
   • ใน Winbox หรือ WebFig: ไปที่ IP > Firewall จากนั้นไปที่แท็บ Raw.
   • บนบรรทัดคำสั่ง: ใช้คำสั่ง /ip firewall raw.
3. เพิ่มกฎเพื่อจำกัดการรับส่งข้อมูล ICMP:
   • สำหรับ Winbox หรือ WebFig: คลิก + เพื่อเพิ่มกฎใหม่ ในแท็บ Generalเลือก icmp สนาม Protocol. บนแท็บ Actionเลือก drop o limit เป็นการดำเนินการและกำหนดค่าพารามิเตอร์ตามความต้องการของคุณ
   • บนบรรทัดคำสั่ง: ใช้คำสั่งที่คล้ายกับ /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

โดยทั่วไปตัวอย่างนี้ระบุว่า: “ทิ้งแพ็กเก็ต ICMP ประเภท 8 (คำขอเสียงสะท้อน) ที่เกินขีดจำกัด 10 แพ็กเก็ตต่อวินาที โดยมีจำนวนแพ็กเก็ตออกมา 20 แพ็กเก็ต” ปรับขีดจำกัดและขยายตามการรับส่งข้อมูลปกติที่คาดไว้และความจุเครือข่ายของคุณ

การพิจารณา

• ความแม่นยำ: ตรวจสอบให้แน่ใจว่าคุณกำหนดค่ากฎอย่างแม่นยำเพื่อหลีกเลี่ยงการบล็อกการรับส่งข้อมูล ICMP ที่ถูกต้องตามกฎหมาย ซึ่งมีประโยชน์สำหรับการวินิจฉัยเครือข่ายและการควบคุมโฟลว์
• การตรวจสอบ: ขอแนะนำให้ตรวจสอบการรับส่งข้อมูล ICMP เป็นประจำเพื่อปรับกฎตามพฤติกรรมที่สังเกตและหลีกเลี่ยงผลบวกลวง
• ความสมบูรณ์: แม้ว่าไฟร์วอลล์ดิบจะมีประสิทธิภาพในการบรรเทาการโจมตี แต่ให้พิจารณาใช้ร่วมกับมาตรการรักษาความปลอดภัยอื่นๆ เช่น กฎไฟร์วอลล์ในตารางตัวกรอง เพื่อการป้องกันที่สมบูรณ์

การใช้ไฟร์วอลล์ดิบอาจเป็นมาตรการที่มีประสิทธิภาพในการลดการโจมตี ICMP แต่จะต้องเป็นส่วนหนึ่งของแนวทางเชิงกลยุทธ์ที่กว้างขึ้นในการรักษาความปลอดภัยเครือข่าย