Mikrotik Tools Packet Sniffer untuk mencari sumber pengirim ddos

masih ingat kasus DDoS yang saya ceritakan beberapa hari yang lalu? ternyata masih belum redah juga.

Akhirnya saya coba menggunakan “/tools packet sniffer” yang ada di Mikrotik

caranya /tools sniffer dan setting pada bagian general ceklist Only Headers dan Memory Scoll , tentukan File Name , misalnya kasih nama ddos1, File Limit biarkan defaultnya 1000

di bagian Filter pilih Interface yang akan di sniff, dalam contoh kasus saya akan menjalankan sniffer di vlan927, direction any (tx/rx) lalu klik Start ketika traffic flood terdeteksi di interface vlan927

ketika traffic flood di vlan927 terjadi dan Packet Sniffer running maka informasi packet sniffer akan di simpan di file ddos1

bisa di cek di menu File terdapat ddos1 dengan ukuran 1000KB , file ini harus di download ke notebook/komputer kita untuk selanjutnya di analisa menggunakan aplikasi WireShark, cara mendownloadnya cukup aktivkan service ftp di mikrotik dimana kita menjalakan Packet Sniffer.

Setelah di download kita bisa open file ddos1 menggunakan aplikasi WireShark

Hasilnya saya mendapatkan Mac-Address sumber Src: Vmware_a1:d8:04 (00:50:56:a1:d8:04)

Ternyata Mac Address tersebut digunakan oleh vm-webserver-1

Langkah selanjutnya saya mengisolir Network dari vm-webserver-1 tersebut untuk selanjutnya dilakukan pembersihan mallware/trojan di vmware tersebut.

dan hasilnya flood/ddos tersebut sudah redah, dengan demikian kita bisa memanfaatkan tools packet sniffer di mikrotik untuk melakukan analisa packet dan hasilnya bisa di analisa menggunakan aplikasi WireShark

Leave a Reply

Your email address will not be published. Required fields are marked *