Tutorial Pencegahan Serangan UDP Flood/DNS Amplification

Target: Memblokir serangan dari IP DNS ISP dan mengamankan jaringan Anda.

---

Langkah 1: Cek Sumber Serangan

1. Identifikasi IP Penyerang:

   • Lihat log di perangkat Ruijie Anda, cari pola IP yang muncul terus-menerus (contoh: Blocked attacks: 8014).

   • Catat alamat IP sumber yang tercantum di log (misal: 192.168.x.x atau IP publik ISP).

2. Verifikasi Jenis Serangan:

   • Jika serangan berasal dari port 53/UDP (port DNS), maka ini adalah DNS Amplification Attack.

   • Jika tidak, mungkin serangan UDP Flood biasa.

---

Langkah 2: Blokir Manual via Web Interface Ruijie (GUI)

1. Login ke Dashboard Ruijie:

   • Buka browser, ketik alamat IP perangkat Ruijie (misal: 192.168.1.1).

   • Masuk dengan username/password admin.

2. Buat Access Control List (ACL):

   • Navigasi ke menu Security > ACL.

   • Buat ACL baru:

     • Nama ACL: BLOCK-UDP-FLOOD

     • Rule 1: Blokir semua traffic UDP dari IP sumber serangan (masukkan IP yang dicatat di Langkah 1).

     • Rule 2: Blokir traffic UDP ke port 53 (DNS) jika tidak digunakan di jaringan Anda.

   • Simpan konfigurasi.

3. Terapkan ACL ke Interface:

   • Pilih interface yang terhubung ke internet (misal: GigabitEthernet 0/1).

   • Arahkan ACL BLOCK-UDP-FLOOD sebagai Inbound Policy.

---

Langkah 3: Hubungi ISP untuk Mitigasi

1. Laporkan Serangan:

   • Kirim log dan detail IP sumber serangan ke ISP.

   • Minta mereka untuk:

     • Memperbaiki server DNS yang menjadi open resolver (sumber amplifikasi).

     • Memblokir traffic mencurigakan dari sisi mereka.

2. Minta Implementasi BCP38:

   • Pastikan ISP mengaktifkan anti-spoofing untuk mencegah pemalsuan alamat IP.

---

Langkah 4: Aktifkan Fitur Bawaan Anti-DDoS di Ruijie

1. Aktifkan DDoS Protection:

   • Di dashboard Ruijie, cari menu Security > Anti-DDoS.

   • Aktifkan fitur UDP Flood Protection dan atur parameter:

     • Threshold: 500 paket/detik (sesuaikan dengan kebutuhan).

     • Action: Block atau Limit.

2. Aktifkan Geo-Blocking (Opsional):

   • Jika serangan berasal dari luar negeri, blokir traffic dari negara tertentu via menu Firewall > Geo-IP Filtering.

---

Langkah 5: Hardening Jaringan

1. Matikan Layanan DNS Lokal (Jika Tidak Dipakai):

   • Jika tidak pakai DNS server sendiri, matikan layanan DNS di Ruijie via menu Services > DNS.

2. Ganti Port DNS (Jika Memakai DNS Lokal):

   • Ubah port DNS default (53/UDP) ke port acak (misal: 5353) untuk hindari target serangan.

3. Pasang Pembatas Bandwidth:

   • Di menu QoS > Bandwidth Management, batasi bandwidth untuk traffic UDP (misal: maksimal 10% dari total bandwidth).

---

Langkah 6: Monitoring & Peringatan Dini

1. Pasang Network Monitoring Tool:

   • Gunakan tools gratis seperti Wireshark atau PRTG untuk pantau traffic UDP.

   • Setel alert jika ada lonjakan traffic UDP melebihi 500 paket/detik.

2. Cek Log Rutin:

   • Buka menu Log > Security Log di Ruijie setiap hari untuk lacak serangan baru.

---

Langkah 7: Backup dan Update

1. Backup Konfigurasi:

   • Di menu Maintenance > Backup, simpan konfigurasi terbaru ke komputer Anda.

2. Update Firmware Ruijie:

   • Cek update firmware di Maintenance > System Update.

   • Firmware terbaru biasanya menyertakan patch keamanan untuk serangan DDoS.

---

Contoh Kasus Praktis

Masalah: Serangan UDP Flood dari IP 203.160.92.1 (DNS ISP) ke port 53.
Solusi:

1. Blokir IP 203.160.92.1 via ACL di Ruijie.

2. Hubungi ISP untuk minta mereka mematikan open resolver di IP tersebut.

3. Aktifkan QoS untuk batasi bandwidth UDP maksimal 5 Mbps.

4. Setel alert di PRTG jika traffic UDP > 1.000 paket/detik.

---

Poin Penting!

• Jangan sembarangan blokir port 53/UDP jika jaringan Anda memakai DNS internal.

• Koordinasi dengan ISP adalah kunci utama untuk serangan DNS Amplification!

• Jika serangan masih parah, sewa layanan cloud-based DDoS protection seperti Cloudflare.