Bismillah ,
Kemarin mail server kami melakukan flooding dengan traffic yang bisa sampai 1Gbps
dan membuat semua interface di mikrotik meng-restart (disable-enable) sehingga jaringan menjadi down . Awal kami sempat kebingungan apa penyebab semua interface router tiba tiba disable enable sendiri , langkah awal kami coba untuk melakukan troubleshooting dengan cara trial error melepas satu satu kabel yang terkoneksi langsung ke router , dan ketika kami melepas kebel yang mengarah ke mail server kabel interface router kembali normal (problem ada di mail server ) .
hasil di mail server terdapat historical lonjakan trafic yang sanga besar dari interface ,
kami simpulkan penyebab interface router mendisable/enable secara tiba tiba karena kriman flooding traffic dari mail server. untuk menangani nya langkah awal kami install iftop yang nanti nya di gunakan untuka menganalisa traffik yang lewat di interface mail server .
dapat di lihat flooding zimbra ini dengan src port 11211 dan jka kita cari port 11211 merupakan port memcached , flooding port tersebut merupakan jenis serangan baru yang pertama publish dari cloudflare https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/ di publish tgl 27 Feb 2018 by Marek Majkowski , jadi problem ada di memchaced zimbra ( https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack ) .
sesuai dengan solusi di wiki zimbra di atas maka kita akan aktifkan firewall di ubuntu dan bind memcached hanya untuk localhost,
su - zimbra /opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1 /opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1
zmmemcachedctl restart
aktifkan firewall di ubuntu
root@mail:~# ufw enable
buat file untuk rule firewal zimbra
root@mail:~# pico /etc/ufw/applications.d/zimbra
buat rule seperti berikut di file /etc/ufw/applications.d/zimbra
[Zimbra] title=Zimbra Collaboration Server description=Open source server for email, contacts, calendar, and more. ports=22,25,80,110,143,161,389,443,465,514,587,993,995,7071,8443,11211/tcp
port di atas adalah port port yang di butuhkan untuk zimbra dan server (rule di atas adalah white list port ) jadi sebelum anda enable rule nya pastikan port ssh anda sudah di masukan dalam whitelist.
allow zimbra root@mail:~# ufw allow zimbra
drop semua koneksi ke port 11211
root@mail:~# ufw deny 11211
Accept koneksi ke 11211 dari localhost
root@mail:~# ufw allow from 127.0.0.1 to any port 11211
aktifkan ufw
root@mail:~# ufw enable
untuk melihat status ufw
root@mail:~# ufw status verbose WARN: "Invalid ports in profile 'Zimbra'" Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22,25,80,110,143,161,389,443,465,514,587,993,995,7071,11211/tcp (Zimbra) ALLOW IN Anywhere 11211 DENY IN Anywhere 11211 ALLOW IN 127.0.0.1 5666 ALLOW IN Anywhere 8443 ALLOW IN Anywhere 22,25,80,110,143,161,389,443,465,514,587,993,995,7071,11211/tcp (Zimbra (v6)) ALLOW IN Anywhere (v6) 11211 (v6) DENY IN Anywhere (v6) 5666 (v6) ALLOW IN Anywhere (v6) 8443 (v6) ALLOW IN Anywhere (v6) root@mail:~#
grafik setelah beberapa hari dilakukan penanganan di atas
trafik kembali normal , alhamdulillah 🙂
referensi
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack
No Comments, Be The First!