是否记得服务提供商通常何时需要使用远程触发黑洞(RTBH)来缓解DDOS攻击?使用RTBH,我们只有两种方法,基于源和基于目标。我们基本上采取最难的方法。从源中删除所有流量或将所有流量丢弃到目标。这可能是有意和无用的流量。
对于那些不熟悉RTBH的人,当我们说目标-RTBH时,我们已经将特定的下一跳设置为Null0。当启动触发路由器时,它会将路由注入此目标,将下一跳更改为专门配置的下一跳。我们还可以将其识别为“下拉”下一跳。
与基于目标的源相比,源RTBH利用触发路由器将源路由注入到丢弃。关键因素是单播反向路径转发(uRPF),它用于丢弃数据包,因为我们将下一跳设置为Null0。
ACL怎么样?这些仍然是DDoS最广泛使用的缓解工具。不幸的是,这些提供了太多的开销和维护。具有数百个ACE的ACL变得麻烦并且难以定义配置的特定线路。
利用一种允许我们更细化的机制会很棒。如果我们可以根据以下内容创建与特定流匹配的指令,该怎么办?
- 资源
- 目的地
- 第4层
- 数据包特定项(长度,片段,例如)
这就是BGP Flowspec提供的:一种非常精细的DDoS缓解方法。
在RFC 5575中定义并由IETF更新,我们现在使用新的SAFI定义:
- AFI 1 / SAFI 133 - Flowspec规则的IPv4传播
- AFI 1 / SAFI 134 - VPNv4传播Flowspec规则
- AFI 2 / SAFI 133 - 流传规则的IPv6传播
- AFI 2 / SAFI 134 - VPNv6传播Flowspec规则
BGP Flowspec与特定流程匹配,通过此流程,我们可以有效地安装动态操作,可以丢弃流量,将其放入不同的转发实例进行进一步检查,或者警察到所需的速率。
以下是BGP Flowspec支持的一些匹配字段:
- 目的地址
- 来源地址
- IP协议
- 源端口
- 目的端口
- ICMP代码
- TCP标志
BGP Flowspec将扩展社区定义为要对匹配字段执行的操作,例如:
- 交通率(下降/警察)
- 下一跳重定向
- VRF重定向
- DSCP标记
我们来看一下BGP Flowspec架构的图示:
image.png
在我们查看此图时,我们必须首先确认Flowspec路由器。这是注入BGP Flowspec NLRI的控制器。Flowspec路由器将这些流通告给提供商网络中的其他路由器。一旦收到,这些设备就会在硬件中对流进行编程,并根据查找,设备可以采取适当的措施。在此拓扑中,我们将在Edge处将DDoS流量速率限制为1M。
网友评论