แจกสคริปต์ป้องกัน DNS Amplifier Attack สำหรับ Mikrotik

 

เอา Script ป้องกัน DNS Amplifier Attack ของ Mikrotik มาฝากกันครับ ซึ่งสิ่งที่น่าสนใจคือวิธีทำงานของสคริปต์นี้ เพราะสคริปต์นี้สามารถนำไปใช้งานได้หมด ไม่ว่ากับการเชื่อมต่อ WAN ในลักษณะไหน (DHCP, PPPOE และอื่นๆ) รวมถึงสามารถทำงานได้กับทั้ง Wan เดียว หรือหลาย WAN ไม่ว่าจะมีการทำ Load Balance หรือไม่ก็ทำได้หมด – ผมเลยทำวิธีใช้งาน และบรรยายวิธีการ config Mikrotik ในลักษณะเป็น module ที่มีความยืดหยุ่นในการทำงานมาฝากกันไปด้วยเลย 🙂

/ip firewall address-list
#แก้ไขบรรทัดนี้ให้เป็น Network ID ของ LAN
add address=192.168.1.0/24 list=LAN
/ip firewall filter
add action=drop chain=input src-address-list=block_hack_from_internet comment= "Prevent DNS amplification attack"
add action=add-src-to-address-list address-list=block_hack_from_internet address-list-timeout=2m chain=input dst-port=53 src-address-list=!LAN protocol=udp
add action=add-src-to-address-list address-list=block_hack_from_internet address-list-timeout=2m chain=input dst-port=53 src-address-list=!LAN protocol=tcp
add action=drop chain=input src-address-list=block_hack_from_internet