Winbox Anda mendadak putus nyambung tidak karuan. Indikator CPU Load pada pojok kanan atas layar berkedip konstan di angka 100%. Lalu lintas jaringan kantor seketika lumpuh total padahal tidak ada karyawan yang sedang mengunduh file besar. Anda sedang menghadapi hantaman keras serangan Distributed Denial of Service (DDoS) yang menargetkan langsung jantung router Anda.
Definisi Masalah dan Mitigasi Darurat
Berdasarkan pedoman standar keamanan infrastruktur jaringan global, mitigasi serangan volumetric wajib dilakukan sebelum lalu lintas menyentuh prosesor inti. CPU Mikrotik mentok 100% saat diserang bot DDoS karena router berusaha memproses jutaan koneksi sampah; atasi dengan mengaktifkan fitur TCP SYN Cookies dan rule drop port scanner di Firewall Raw.
Mekanisme Pembunuhan CPU oleh Serangan Botnet
Kenapa router sekelas Mikrotik seri CCR (Cloud Core Router) sekalipun bisa tumbang hanya karena tumpukan data kecil? Jawabannya terletak pada cara kerja sistem operasi RouterOS menangani setiap paket yang masuk. Mikrotik memiliki modul bawaan yang bernama Connection Tracking. Modul ini adalah buku tamu digital.
Setiap kali ada IP dari luar mencoba mengetuk pintu IP Public Anda, router akan mencatat IP asal, port asal, IP tujuan, dan status koneksi tersebut di dalam RAM dan CPU. Normalnya, ini sangat berguna untuk memuluskan lalu lintas data (NAT). Namun, para peretas mengincar titik lemah sistem buku tamu ini.
Peretas menggunakan jaringan botnet—ribuan komputer zombie di seluruh dunia yang sudah terinfeksi malware. Mereka memerintahkan botnet ini menembakkan paket TCP SYN (permintaan kenalan) secara serentak ke IP Public Anda. Mikrotik Anda dengan polosnya akan mencatat jutaan permintaan kenalan palsu ini satu per satu. Buku tamu penuh, memori habis, prosesor kelelahan mengantre data. Hasil akhirnya adalah kemacetan total yang membuat router hang, restart sendiri, atau mati lemas.
Kejadian begini rasanya udah khatam banget buat saya. Kemaren pas lagi santai ngopi sore, tiba-tiba hape ditelepon bos rumah sakit swasta di daerah Jakarta Pusat. Suaranya panik luar biasa karena sistem pendaftaran pasien antrean online mereka mati total. Pas saya remote masuk pakai VPN cadangan, astaga naga CPU Mikrotik RB1100AHx4 mereka ngunci di angka 100 persen. Ternyata IP Public server antrean mereka lagi dibombardir serangan SYN Flood dari ratusan ribu IP luar negeri antah berantah. Gila bener emang kelakuan hacker jaman sekarang, rumah sakit aja diserang. Langsung saya eksekusi potong jalurnya pake Raw Firewall, lima menit kemudian sistem antrean dokter jalan lancar lagi dan pasien di lobi gak jadi pada ngamuk.
Cara Identifikasi IP Sumber Serangan di Tab Connections
Jangan asal tebak. Anda wajib melihat dengan mata kepala sendiri bentuk serangan yang sedang mencekik router. Mikrotik menyediakan alat bedah bawaan yang sangat presisi di dalam aplikasi Winbox.
Langkah pertama, tenangkan diri Anda. Buka Winbox dan paksa masuk. Jika sering terputus, gunakan koneksi MAC Address dari port LAN terdalam, jangan login menggunakan IP Address. Setelah berhasil masuk, segera navigasi ke menu IP, lalu pilih Firewall. Pindah ke tab Connections.
Di layar ini, Anda akan melihat ribuan baris data yang bergerak sangat liar. Perhatikan kolom Protocol dan Reply Dst. Address. Apa yang Anda cari?
- Jumlah Baris Masif: Jika total jumlah koneksi (Total Connections) melonjak dari rata-rata ratusan menjadi puluhan ribu atau ratusan ribu sesi.
- Status SYN_SENT atau Unreplied: Jika Anda melihat lautan status TCP State berupa “syn-sent”, itu artinya serangan SYN flood sedang terjadi. Router Anda menunggu balasan yang tidak akan pernah datang dari peretas.
- Protokol UDP Acak: Jika yang mendominasi adalah protokol UDP dengan tujuan port DNS (53) atau NTP (123) dalam jumlah gila-gilaan, Anda terkena serangan UDP Amplification.
Gunakan juga alat Torch (klik kanan pada interface WAN yang mengarah ke ISP). Centang opsi Src. Address dan Protocol. Biarkan menyala beberapa detik. Anda akan melihat secara waktu nyata (real-time) darimana mayoritas trafik sampah itu berasal. Sayangnya, memblokir satu per satu IP pelaku adalah pekerjaan sia-sia. Jaringan botnet selalu merotasi IP mereka setiap detik.
Mengapa Firewall Filter Biasa Gagal Total?
Kesalahan fatal dan paling umum yang dilakukan administrator jaringan pemula adalah menggunakan menu “Firewall Filter Rules” untuk menangkal DDoS. Mereka membuat aturan dengan aksi “Drop” pada rantai (chain) input atau forward. Konsep ini keliru besar secara struktur arsitektur.
Aturan pada Filter Rules bekerja setelah paket data melewati modul Connection Tracking. Artinya, biarpun Anda berhasil membuang paket sampah tersebut di ujung jalan, paket itu sudah telanjur dikunyah oleh CPU Anda di pintu depan. Menggunakan Filter Rules saat terjadi DDoS bervolume tinggi justru akan memperparah siksaan pada prosesor router.
Solusi Tingkat Lanjut: Firewall Raw dan TCP SYN Cookies
Di sinilah kita menggunakan senjata kelas berat. Mikrotik memperkenalkan fitur Firewall Raw. Fitur ini memotong kompas. Aturan yang Anda pasang di tabel Raw akan mengeksekusi paket data jauh sebelum paket tersebut menyentuh sistem pelacakan koneksi CPU. Membuang sampah langsung di depan pagar rumah, bukan di dalam garasi.
Eksekusi Aturan Drop Port Scanner
Banyak serangan dimulai dengan proses pemindaian titik lemah (Port Scanning). Anda harus memblokir bot yang mencoba mengetuk pintu Anda secara acak. Buka IP -> Firewall -> Raw. Tambahkan aturan baru.
Pada tab General, set Chain ke prerouting. Pada tab Advanced, cari opsi PSD (Port Scan Detection). Isi dengan nilai Weight Threshold: 21, Delay Threshold: 3, Low Port Weight: 3, High Port Weight: 1. Kemudian pindah ke tab Action, pilih aksi Drop. Aturan sederhana ini akan secara otomatis membuang paket dari peretas yang sedang mencari celah masuk tanpa membebani CPU secara berarti.
Mengaktifkan Benteng TCP SYN Cookies
Untuk menangkis SYN Flood attack, Anda wajib menyalakan fitur TCP SYN Cookies. Konsepnya brilian. Daripada router memakan RAM untuk menyimpan setiap permintaan masuk, router akan mengirimkan “cookie” kriptografi kembali ke penanya dan langsung melupakan sesi tersebut. Jika penanya adalah klien asli (bukan bot), ia akan membalas dengan cookie yang benar. Barulah router mengalokasikan memori CPU untuknya.
Cara mengaktifkannya sangat mudah namun sering terlewatkan. Buka menu IP -> Settings. Centang kotak kecil bertuliskan TCP Syncookies. Hanya dengan satu klik centang ini, ketahanan Mikrotik Anda terhadap serangan TCP akan meningkat ratusan kali lipat. CPU Load yang tadinya mentok 100% biasanya akan langsung anjlok perlahan kembali ke angka normal 15% – 20%.
Bahaya Laten Serangan Lapisan Aplikasi
Anda mungkin sudah berhasil mementahkan hantaman pada lapisan transport (Layer 4) dengan Firewall Raw. Tapi penjahat siber selalu punya cara licik lain. Mereka sering melancarkan serangan Layer 7 (Application Layer) seperti HTTP GET Flood. Serangan ini sangat halus karena menyerupai pengunjung web asli, namun mereka meminta halaman web terberat secara terus-menerus.
Mikrotik bisa diakali dengan fitur Layer 7 Protocols untuk membatasi laju (rate limit) permintaan. Namun jujur saja, menangkal serangan Layer 7 di dalam kotak router lokal adalah hal yang amat sangat menguras tenaga prosesor. Tugas utama menangkal tipe ancaman ini seharusnya dilakukan menggunakan Reverse Proxy khusus atau menuntut panduan komprehensif terkait mitigasi serangan ddos pada server perusahaan agar server aplikasi Anda tidak ikut hangust terbakar trafik palsu.
Perlunya Perlindungan Anti-DDoS dari Hulu (Level ISP)
Kita harus bicara kenyataan pahit lapangan. Semua ilmu pertahanan Firewall Raw dan SYN Cookies yang Anda pasang di Mikrotik memiliki satu kelemahan absolut: Batas Lebar Pipa Kabel Anda. Mengamankan router hanya menyelamatkan CPU dari kelumpuhan. Tapi bagaimana dengan kecepatan internetnya?
Jika lebar pita (Bandwidth) langganan internet kantor Anda adalah 100 Mbps, dan peretas menembakkan serangan DDoS sebesar 1 Gbps (1000 Mbps) dari luar negeri, maka pipa kabel fiber optik Anda sudah mampet total sebelum menyentuh Mikrotik. Akses internet Anda tetap akan putus. Karyawan tetap tidak bisa browsing. Klien tetap tidak bisa membuka website portal Anda.
Tidak peduli seberapa jago Anda mengkonfigurasi pengaturan jatuhkan paket (Drop rule), router tidak bisa membesarkan kapasitas kabel fisik. Pipa yang mampet penuh sampah tidak menyisakan ruang sedikitpun untuk paket email atau paket aplikasi akuntansi yang sah.
Solusi Enterprise: BGP Peering dan Scrubbing Center
Satu-satunya jalan keluar untuk perusahaan skala besar (seperti rumah sakit, e-commerce, atau payment gateway) adalah mitigasi di level hulu. Anda harus memindahkan beban pertahanan tersebut kepada penyedia jasa internet (ISP) langganan Anda.
Perusahaan besar tidak lagi menggunakan koneksi broadband rumahan, melainkan menggunakan layanan Internet Dedicated yang dilengkapi teknologi BGP Peering (Border Gateway Protocol). Dengan routing BGP, jika terjadi serangan besar-besaran, router Anda dapat secara otomatis mengirim pesan “tolong” ke router pusat milik ISP.
Pesan ini memicu protokol RTBH (Remotely Triggered Black Hole). Router raksasa milik ISP di Jakarta akan membuang trafik serangan tersebut langsung dari ujung gerbang internasional, jauh sebelum trafik itu memasuki kota Anda. Alternatif yang lebih canggih adalah melewatkan trafik tersebut ke dalam Scrubbing Center (Pusat Pencucian Data). Di sana, trafik jahat difilter menggunakan perangkat keras pendeteksi anomali seharga miliaran rupiah, dan hanya membiarkan trafik pengunjung asli yang bersih mengalir mulus ke kantor Anda.
Perbedaan fasilitas pengamanan jalur kelas atas inilah yang membuat korporat bersedia membayar mahal untuk menarik infrastruktur khusus. Jika Anda masih bingung menentukan media kabel tulang punggung untuk sistem keamanan berlapis, pahami terlebih dahulu keuntungan dark fiber vs lit fiber sewa optik agar tidak salah investasi jaringan.
sebenernya ngadepin ddos tuh kadang bikin males banget soalnya hacker yang nyerang tuh kadang cuma bocah iseng beli tools 5 dolar di forum gelap. tapi efek rusaknya di kita orang lapangan itu luar biasa pusingnya. Belum kelar nyeting raw firewall, bos udh telfon mulu nanyain kapan web bisa dibuka. Udah gitu kadang kita telat nyadar kalau routernya kena serang, dikira cuma kabel provider nya yg lagi putus. makanya saya sllu masangin monitoring notifikasi bot telegram buat ngecek utilitas cpu. Kalo tiba tiba naik diatas 80% lsg bunyi tuh alarm di hape saya biar bisa gerak cepet sebelum sistem ancur berantakan.
Penyesuaian Kapasitas Router dan Hardware
Mari kembali ke meja kerja Anda. Jika Anda memimpin IT departemen di sebuah perusahaan berkembang, mulailah mengevaluasi kapasitas perangkat keras. Menaruh aplikasi sensitif yang bisa diakses publik di belakang sebuah router SOHO murah adalah kelalaian yang mengundang bencana. Pastikan Anda memiliki rasio yang sehat antara kapasitas prosesor perangkat dengan lebar bandwidth langganan.
Gunakan arsitektur pemisahan tugas. Biarkan Mikrotik fokus pada perutean dasar dan manajemen antrean (Bandwidth Management). Taruh mesin Firewall terdedikasi (seperti Fortinet atau pfSense) di depan Mikrotik untuk menghajar paket-paket kotor. Dengan skema ini, Mikrotik Anda tidak akan pernah lagi menderita penyakit hang CPU 100% secara mengenaskan.
Layanan proaktif dari tenaga ahli bisa mengubah nasib infrastruktur Anda. Jangan biarkan operasional miliaran rupiah perusahaan Anda lumpuh hanya karena Anda salah centang satu kotak di Winbox. Lindungi server bisnis Anda dengan Dedicated Internet BGP Peering dari ahlinya sekarang juga.
FAQ
Apa bedanya serangan DoS biasa dengan DDoS?
Kuncinya ada di huruf ‘D’ pertama, yaitu Distributed (Terdistribusi). Kalau DoS biasa, itu cuma satu komputer iseng yang nyerang IP Anda. Mikrotik Anda masih kuat nahan dan gampang diblokir. Tapi kalau DDoS, serangan itu datang dari puluhan ribu komputer zombie (botnet) dari berbagai negara secara serentak di detik yang sama. Ribuan pasukan ini bikin mesin router kelabakan karena gak sanggup nyatet alamat mereka satu per satu.
Apakah mematikan router 10 menit bisa menghilangkan DDoS?
Bisa iya, bisa tidak. Kalau koneksi Anda pakai internet rumahan dengan sistem IP Dinamis, mematikan modem lumayan lama bisa mereset IP Anda dari sentral provider. Saat Anda nyalakan lagi, Anda dapat IP baru. Karena peretas cuma tau IP lama Anda, serangan mereka bakal nyasar ke tempat kosong. Tapi kalau kantor Anda pakai IP Public Statis yang alamatnya paten seumur hidup, mau dimatiin seharian pun, pas dinyalain serangan bakal langsung masuk lagi menghantam router Anda.
Kenapa fitur Anti-DDoS bawaan ISP kadang telat mendeteksi?
Mesin mitigasi di level ISP butuh waktu buat “belajar” dan membedakan mana trafik pengunjung asli yang lagi ramai dan mana trafik botnet palsu. Mereka menggunakan sistem pendeteksi anomali. Biasanya butuh waktu sekitar 1 sampai 5 menit sampai sistem ISP yakin bahwa grafik yang naik tajam itu adalah serangan. Barulah mesin ISP melakukan BGP diversion (pengalihan rute) buat nyuci trafik tersebut. Jeda waktu sekian menit inilah yang kadang bikin router lokal Anda sempet megap-megap dulu.
Aman gak sih kita nyalain TCP SYN Cookies terus-terusan?
Sangat aman dan malah direkomendasikan buat router yang terekspos langsung ke IP Publik. Mengaktifkan SYN Cookies gak bakal bikin internet karyawan jadi lambat atau game jadi lag. Ini cuma ngubah algoritma cara mikrotik ngerespon orang tak dikenal dari luar. Justru ini fitur pertahanan pasif yang paling murah meriah tenaga dan ampuh buat nangkis banjir paket tanpa mengorbankan siklus kerja memori prosesor.
