Ticker

6/recent/ticker-posts

🚀 Como Configurar Proteção Anti-DDoS no MikroTik (Passo a Passo)

powernet telecomunicacoes abril 27, 2026


 

🚀 Como Configurar Proteção Anti-DDoS no MikroTik (Passo a Passo)

Se você usa MikroTik em provedores ou redes corporativas, proteger contra ataques DDoS é essencial. Neste tutorial, você vai aprender como criar uma proteção eficiente usando firewall e address-list.

📌 O que é um ataque DDoS?

DDoS (Distributed Denial of Service) é quando vários dispositivos tentam sobrecarregar sua rede com muitas conexões simultâneas, derrubando serviços como internet, VPN ou servidores.

🧠 Como funciona a proteção

Vamos usar 3 estratégias:

  • Detectar excesso de conexões
  • Identificar IP atacante e alvo
  • Bloquear automaticamente por tempo determinado

⚙️ Passo 1 – Criar regra de detecção

Acesse o terminal do MikroTik e execute:

/ip/firewall/filter/add chain=forward connection-state=new action=jump jump-target=detect-ddos

👉 Essa regra envia conexões novas para análise.

⚙️ Passo 2 – Definir limite de conexões

/ip/firewall/filter/add chain=detect-ddos dst-limit=100,100,src-and-dst-addresses/10s action=return

👉 Permite até 100 conexões em 10 segundos por IP.

⚙️ Passo 3 – Criar listas de ataque

/ip/firewall/address-list/add list=ddos-attackers
/ip/firewall/address-list/add list=ddos-targets

⚙️ Passo 4 – Bloquear ataque no RAW (alto desempenho)

/ip/firewall/raw/add chain=prerouting action=drop src-address-list=ddos-attackers dst-address-list=ddos-targets

👉 Bloqueio direto antes de consumir CPU.

⚙️ Passo 5 – Marcar IP alvo

/ip/firewall/filter add chain=detect-ddos action=add-dst-to-address-list address-list=ddos-targets address-list-timeout=10m

⚙️ Passo 6 – Marcar IP atacante

/ip/firewall/filter add chain=detect-ddos action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m

🔒 Proteção extra (RECOMENDADO)

🔐 Proteger acesso ao MikroTik (SSH, Winbox)

/ip/firewall/filter add chain=input connection-state=new src-address-list=ddos-attackers action=drop

🚫 Bloquear port scan (Nmap)

/ip/firewall/filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port-scanners address-list-timeout=1d
/ip/firewall/filter add chain=input src-address-list=port-scanners action=drop

📊 Resultado final

Após configurar:

  • ✔ Ataques são detectados automaticamente
  • ✔ IPs maliciosos são bloqueados
  • ✔ CPU do MikroTik fica protegida
  • ✔ Rede mais estável

⚠️ Dicas importantes

  • Ajuste o limite conforme sua rede (100 pode ser pouco ou muito)
  • Monitore em:
/ip/firewall/address-list/print


📄 Comando identificado

/ip/firewall/filter add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s protocol=tcp tcp-flags=syn,ack




O que esse comando faz


📌 1. chain=detect-ddos


👉 Essa regra está dentro da chain que você criou para detectar ataques.




📌 2. protocol=tcp


👉 Aplica apenas para conexões TCP.




📌 3. tcp-flags=syn,ack


👉 Aqui está o ponto mais importante:


    

  • 
SYN = início de conexão

    • 

  • 
ACK = confirmação

    • 



⚠️ Problema:

Você está filtrando pacotes com SYN + ACK juntos, que normalmente são:


    

  • 
respostas do servidor (não o início do ataque)

    • 



👉 Ou seja: isso pode não detectar corretamente um SYN flood




📌 4. dst-limit=32,32,.../10s


👉 Limita:


    

  • 
32 conexões em 10 segundos

    • 

  • 
por par IP origem/destino

    • 



✔ Se estiver dentro → return (libera)

❌ Se ultrapassar → cai nas próximas regras (bloqueio)




📌 5. action=return


👉 Se estiver dentro do limite:


    

  • 
para o processamento

    • 

  • 
considera tráfego normal

    • 





⚠️ Problema real dessa regra


Essa parte aqui:


tcp-flags=syn,ack


👉 Está errada para detecção de DDoS SYN flood




✅ Correção recomendada


Use apenas SYN:


tcp-flags=syn


✔ Porque:


    

  • 
ataques começam com SYN

    • 

  • 
SYN flood usa conexões incompletas

    • 





🔥 Versão corrigida


/ip/firewall/filter add action=return chain=detect-ddos dst-limit=100,100,src-and-dst-addresses/10s protocol=tcp tcp-flags=syn




💡 Dica profissional


Se quiser algo mais eficiente ainda:


/ip/firewall/filter add chain=detect-ddos protocol=tcp tcp-flags=syn connection-limit=30,32 action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m


👉 Isso detecta melhor ataques reais




🧠 Resumo direto


    

  • syn,ack → errado para DDoS

    • 

  • syn → correto

    • 

  • 
⚠️ limite 32 é baixo (pode dar falso positivo)

    • 

  • 
🔥 ideal: 100+ dependendo da sua rede

  • Sempre teste antes de aplicar em produção

🧑‍💻 Conclusão

Com essas regras simples, você já tem uma proteção eficiente contra ataques DDoS no MikroTik. Para provedores de internet (ISP), isso é essencial para manter estabilidade e qualidade do serviço.

📞 Precisa de ajuda profissional?

💼 Consultoria em redes, NOC, SOC e monitoramento
📊 Zabbix | Grafana | MikroTik
🌐 Site: b7telecom.com.br
📱 WhatsApp: (83) 99316-6390
📷 Instagram: @b7telecom

✍️ Gostou do tutorial? Compartilhe e acompanhe mais conteúdos!

Postar um comentário

0 Comentários