Используйте BGP для защиты от DDoS-атаки, исходящей из удаленного AS

У меня есть вопрос относительно BGP и как достичь этой конфигурации.

Мой корпоративный маршрутизатор подключен к интернет-провайдеру (single homed). Этот маршрутизатор уже обменял специальные публичные IP-префиксы на ISP в обновлениях BGP. Теперь давайте скажем, что есть AS, несколько ударов, которые наводняют мои локальные AS DDoS-атакой. В этой AS существует несколько сетей, предназначенных для веб-серверов в локальной локальной сети.

Как мы можем остановить этот трафик на нашем маршрутизаторе с помощью BGP?

Цените свой ответ !! :)

15 голосов | спросил Harish Reddy 8 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 08 Sep 2014 09:00:17 +0400 2014, 09:00:17

6 ответов


12

Есть две вещи, которые вы можете сделать с BGP:

RTBH - дистанционно-запущенная черная дыра

Первый вариант является радикальным: Blackhole (остановить трафик) для IP-атаки. Недостаток: IP-адрес становится недоступным. Преимущество: остальная часть вашей сети остается. У Packetlife есть хорошее объяснение того, как это работает и как это сделать. Второй вариант основывается на первом:

Исходный RTBH

RTBH также может использоваться (в определенных конфигурациях) для блокирования трафика, исходящего от определенных IP-адресов (в реальном DDoS, что не помогло бы, поскольку трафик поступал от тысяч IP-адресов). Опять же, у Packetlife есть объяснение.

В вашем случае вы можете получить все префиксы для AS из базы данных маршрутизации, например RADB , и заблокировать их с помощью RTBH на основе исходного кода. Однако трафик по-прежнему попадает в вашу сеть на границе.

Когда вы используете «простую» RTBH, преимущество состоит в том, что вы можете отправлять эти маршруты RTBH своему интернет-провайдеру Upstream (если они его поддерживают), который затем может заблокировать трафик в своей сети, поэтому вам не придется его обрабатывать.

ответил Sebastian 8 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 08 Sep 2014 10:49:59 +0400 2014, 10:49:59
5

Метод RTBH, описанный @Sebastian через Packetlife полезен, но этот метод будет работать, только если ваша восходящая линия не насыщена трафиком атаки. Если ваша восходящая линия насыщена, тогда черная дыра должна быть реализована в точке до , трафик атаки достигнет вашей сети.

Вы можете выполнить это с помощью сообществ черных дыр.

Hurricane Electric предлагает простое объяснение /пример вызванного клиентом blackholing с BGP сообщество:

  
  1. Атака начинается
  2.   
  3. Клиент идентифицирует IP или IP-диапазон под атакой
  4.   
  5. Клиент статирует маршруты ip или ip до Null0 и добавляет объявление   соответствующий префикс с картой маршрута, которая привязывает его к 6939: 666.
  6.   

Пример конфигурации Cisco (где X.X.X.X - атака ip):

  conf t
ip route X.X.X.X 255.255.255.255 Null0
маршрутизатор bgp YourAS
сеть X.X.X.X маска 255.255.255.255 маршрутная карта черная дыра
разрешающая способность для люминесцентных карт 10
сообщество 6939: 666
конец
 

Обратите внимание, что 6939: 666 - это сообщество черных дыр, характерное для Hurricane Electric. Вы должны изменить это значение, чтобы оно соответствовало сообществу черных дыр вашего поставщика восходящего потока.

Конечно, есть несколько способов настроить это. На моем устройстве Brocade я использую следующую конфигурацию:

  маршрутизатор bgp
!
перераспределять статическую карту маршрутной карты
!
!
разрешающая способность для черно-белых карт 5
 совпадение тега 66
 установить сообщество 55555: 666
 

Где 55555: 666 - сообщество черных дыр вашего провайдера. Затем верхняя черная дыра может применяться с помощью простой команды:

  ip route 123.123.123.123 255.255.255.255 null0 тег 66
 
ответил Elliot B. 11 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 11 Sep 2014 04:04:07 +0400 2014, 04:04:07
3

С точки зрения BGP, вы не можете многое сделать. Вы можете прекратить рекламировать свой префикс, но затем вы просто завершаете DoS-атаку, потому что никто не сможет получить доступ к вашему сервису.

Если у вас несколько префиксов, вы можете перенумеровать, но, скорее всего, атака переместится и на новый префикс.

Что вам нужно сделать, так это работать с вашим потоком вверх. Есть ли у них служба очистки? Если у них есть такая система, как Arbor Peakflow, они могут очистить трафик и очистить его до того, как он войдет в вашу сеть. Такие услуги часто очень дороги.

Существуют и другие варианты, такие как Cloudflare и аналогичные компании, где вы настраиваете BGP через туннель GRE для этой компании, и ваш трафик обрабатывается их «облаком», который может обрабатывать гораздо больше трафика, чем ваши локальные устройства.

ответил Daniel Dib 8 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 08 Sep 2014 10:35:20 +0400 2014, 10:35:20
0

Я работаю в CloudFlare, я хотел бы поделиться некоторыми знаниями, которые я разработал о смягчении DDOS-атак за последние несколько месяцев, которые я здесь был.

Во-первых; многие люди прибегают к меру сетевого уровня для смягчения DDOS-атак на уровне приложений. Прежде чем погрузиться в BGP Blackholing, подумайте, может ли это быть ограничением скорости или защитой прикладного уровня. Это сказало; теперь очень дешево запускать атаки DDOS с большой пропускной способностью (учитывая, сколько Открыть DNS-рекурсоры , и как они могут усилить атаки).

Как сказал Эллиот в своем ответе, использование сообществ BGP для трафика черных дыр может хорошо работать, если ваша сеть мала; этот механизм описан в RFC 3882 . Однако, как и мы, если вы вместо этого хотите поглотить трафик атаки вместо черной дыры (т. Е. Вы хотите собрать данные DDOS-атак ), то остерегайтесь побочного ущерба, при котором посреднические сетевые провайдеры оказываются перегруженными. Вы можете уменьшить побочный ущерб, заглянув непосредственно в интернет-провайдеры сетей, которые запускают атаки. Таким образом, у вас есть самый короткий путь от злоумышленника до места назначения. Кроме того, вы можете реализовать проект сети Anycast , это будет фактически означать один IP-адрес попадает в несколько центров обработки данных (в зависимости от того, что ближе).

Очевидно, для каждой компании невозможно, чтобы инфраструктура выполняла Anycast и пиринг; поэтому компании все чаще обращаются к облачным службам, чтобы удалить плохой трафик, прежде чем он достигнет своих датацентров. Естественно CloudFlare - одна из таких сервисов.

ответил mjsa 21 stEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 21 Sep 2016 17:57:41 +0300 2016, 17:57:41
-1

Если все доказательства, которые вы собрали, представляют собой поток пакетов с исходными IP-адресами из одной конкретной AS, вы, вероятно, ошиблись. Более вероятным объяснением будет то, что эти исходные IP-адреса подделаны.

Атака отражения /усиления включает в себя отправку множества пакетов, спуфирующих исходный IP-адрес жертвы. Если это действительно то, что происходит, и у вас есть серверы в вашей сети, которые могут усилить атаку, тогда сеть, которую вы обвиняете в нападении, на самом деле является жертвой, и вы помогаете злоумышленнику.

В такой ситуации решение заключается не в применении какой-либо инфраструктуры трафика, а в том, чтобы настроить серверы таким образом, чтобы они не могли использоваться в усиленной атаке. Как это сделать, это не вопрос сетевой инженерии.

Конечно, возможно, что все пакеты происходят из одной AS. В сотрудничестве с нарушителем AS вы можете получить подтверждение, что пакеты действительно происходят из их AS. Однако с этим уровнем сотрудничества вы также можете заблокировать атаку в источнике.

Если мы предположим, что у вас есть какой-то метод, я не думал о получении подтверждения, что пакеты действительно происходят из AS, которые вы думаете, и что вы не можете заблокировать его у источника и вместо этого захотите заблокировать его с помощью BGP , то я прочитал о несколько рискованном методе для достижения этого. Идея заключается в том, что вы добавляете путь AS к маршруту, который вы анонсируете. В этом добавленном пути AS вы указываете номер AS источника этих пакетов.

Когда объявление достигнет маршрутизаторов BGP в нарушающих AS, они собираются обнаружить цикл и отказаться от объявления. Между тем весь остальной мир не увидит цикл и не примет объявление.

Это теория. Будет ли он фактически работать на практике, зависит от нескольких разных факторов. Например, это зависит от фактического использования номера AS, из которого происходят пакеты, которые могут отличаться от номера AS, объявляющего эти IP-адреса. (Такое различие может быть законным или из-за подмены.)

Это также зависит от того, что ваш восходящий поток не фильтрует маршрут, если они обнаруживают, что путь AS подозрительный. Кроме того, сети, расположенные дальше от вас, могут также отказаться от вашего маршрута, например, если они также имели плохой опыт работы с нарушителем AS и решили отказаться от всех маршрутов оттуда.

Это ваш вызов, стоит ли этот подход для риска.

(Я бы связался с источником для этого подхода, если бы мог найти его снова.)

ответил kasperd 8 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 08 Sep 2014 21:00:06 +0400 2014, 21:00:06
-2

Вы можете выполнить черную дыру своих AS из своей локальной сети, поэтому ваш BGP-маршрутизатор создает пустые маршруты для любого префикса, который они объявляют.

Pro:

  • ваша AS будет казаться мертвой для них, что является их целью, в то время как вы все равно обмениваетесь данными со всеми остальными в обычном режиме.
  • ваша локальная фильтрация входа автоматически удалит входящие пакеты из этой AS

Contra:

  • они могут создавать маршруты черной дыры на вашем маршрутизаторе, поэтому обязательно соблюдайте соответствующие правила, чтобы сохранить самые важные маршруты без изменений.
ответил Simon Richter 8 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 08 Sep 2014 20:03:15 +0400 2014, 20:03:15

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132