Bagaimana cara melindungi Mikrotik dari DDoS?

Gunakan rule firewall anti-DDoS seperti connection-limit dan address list untuk memblokir sumber serangan.

Apakah perlu memblokir port yang tidak digunakan?

Ya, ini langkah wajib untuk memperkecil celah serangan dan meningkatkan keamanan.

Bagaimana menghentikan brute-force login?

Gunakan rule firewall untuk menambahkan IP pelaku brute-force ke address list lalu drop otomatis.

Home Mikrotik

Cara Mengamankan Mikrotik dari Serangan (Firewall Anti-DDoS)

Yosa

November 19, 2025

---

Cara Mengamankan Mikrotik dari Serangan (Firewall Anti-DDoS)

Mikrotik adalah router yang sangat populer digunakan di sekolah, kampus, kantor, café, dan RT/RW Net. Namun, semakin besar jaringan, risiko serangan juga semakin tinggi. Banyak router Mikrotik yang tiba-tiba lemot, CPU tinggi, internet putus-putus, hingga login Winbox tidak bisa — dan salah satu penyebab utamanya adalah serangan dari luar seperti DDoS, port scanning, brute-force, atau spoofing.

Sebagai guru Teknik Komputer dan Jaringan (TKJ), saya sering menemukan kasus ini baik di lab sekolah maupun jaringan komunitas. Untungnya, Mikrotik punya firewall sangat kuat yang bisa mengamankan router dari berbagai jenis serangan.

Dalam panduan ini, kamu akan belajar cara mengamankan Mikrotik dengan lengkap mulai dari firewall dasar, anti-DDoS, anti-brute force, sampai memblokir port berbahaya.

Sebelum masuk ke konfigurasi firewall, sebaiknya pahami dasar RouterOS dulu. Kalau belum, baca panduan ini:
Cara Setting Mikrotik dari Nol sampai Bisa Internet

Jika jaringan kamu memakai hotspot, kamu wajib baca proteksi hotspot di sini:
Cara Blokir Pengguna Hotspot Mikrotik Nakal

Untuk keamanan voucher & radius, baca panduan ini:
Cara Setting User Manager Mikrotik Sampai Bisa Cetak Voucher

Jika kamu ingin proteksi bandwidth, pelajari queue tree di artikel berikut:
Cara Setting Queue Tree untuk Pembagian Bandwidth Merata

Dan untuk proteksi browsing pengguna, kamu bisa memblokir situs di panduan ini:
Cara Blokir Situs di Mikrotik

Bahaya Serangan yang Mengincar Mikrotik

Berikut beberapa serangan yang sering menyerang Mikrotik:

DDoS (Distributed Denial of Service) → membuat CPU 100%
Brute-force login → mencoba masuk Winbox/SSH
Port scanning → mencari port terbuka
Spoofing → menyamar sebagai gateway
Ping flood → membanjiri router dengan ping besar
Botnet attack → router direkrut malware

Kalau router sampai terserang, efeknya bisa fatal: internet down total, router tidak responsif, sampai konfigurasi rusak.

1. Firewall Dasar yang Wajib Ada

Ini rule firewall dasar yang HARUS dipasang di semua router Mikrotik:

/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=tcp dst-port=8291,22,23 src-address-list=admin action=accept
add chain=input protocol=tcp dst-port=8291,22,23 action=drop

Rule ini memastikan:

Hanya admin yang boleh login
Traffic berbahaya otomatis diblokir

2. Anti-Port Scanning

Port scanner adalah alat hacker untuk mencari kelemahan router.

/ip firewall filter
add chain=input protocol=tcp tcp-flags=syn,!rst connection-limit=10,32 action=add-src-to-address-list \
address-list=port-scanner address-list-timeout=1d
add chain=input src-address-list=port-scanner action=drop

Jika ada orang scan router kamu → otomatis diblokir 1 hari.

3. Anti-DDoS Firewall Rule (WAJIB)

Ini script anti-DDoS yang paling efektif:

/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-limit=30,32 action=add-src-to-address-list \
address-list=ddos address-list-timeout=1h

add chain=forward src-address-list=ddos action=drop

Rule ini memblokir sumber serangan SYN Flood, jenis DDoS paling umum.

4. Anti Ping Flood

/ip firewall filter
add chain=input protocol=icmp limit=50,5 action=accept
add chain=input protocol=icmp action=drop

Banyak router down karena di-ping ribuan kali sampai CPU drop.

5. Anti Brute Force Login (Winbox, SSH, Telnet)

Rule ini memblokir siapa pun yang salah login lebih dari 3 kali:

/ip firewall filter
add chain=input protocol=tcp dst-port=22,23,8291 src-address-list=bruteforce action=drop
add chain=input protocol=tcp dst-port=22,23,8291 connection-state=new action=add-src-to-address-list \
address-list=bruteforce address-list-timeout=1d

6. Matikan Port yang Tidak Dipakai

Router akan makin aman jika port tidak digunakan:

/ip service disable telnet
/ip service disable ftp
/ip service disable www
/ip service set winbox address=IP_ADMIN

7. Gunakan Firewall Drop All di Akhir Rule

/ip firewall filter add chain=input action=drop

Rule pamungkas: semua yang tidak dikenali → drop.

8. Lindungi Router dengan Address List Admin

Tambahkan IP aman milik admin:

/ip firewall address-list
add list=admin address=192.168.1.10

9. Cek Log Serangan

Mikrotik menyimpan aktivitas serangan di log:

/log print

Jika terlihat drop flood banyak → firewall bekerja.

Kesimpulan

Mengamankan Mikrotik dari serangan bukan hal sulit. Dengan firewall dasar, anti-DDoS, anti-brute-force, dan address list admin, router bisa aman dari serangan umum yang sering terjadi pada jaringan sekolah, kantor, atau RT/RW Net. Pastikan router selalu diperbarui dan service yang tidak digunakan dimatikan.

Mikrotik