• 28932
  • 25
  • 3
Нравится блог?
Подписывайтесь!

BGP Blackhole — эффективное средство борьбы с DDoS

C таким неприятным явлением как DDoS атака, рано или поздно сталкивается каждый администратор публичного ресурса. Нет особого смысла расписывать, что такое DDoS, сегодня об этом явлении знает любой сетевик. К сожалению, не существует способа защиты от DDoS подходящего для всех ситуаций. Однако, наиболее эффективным и часто применяемым является null routing — полная фильтрация трафика на атакуемый IP. После того, как хост зафильтрован, можно в (относительно) спокойной обстановке перенести ресурс на другой IP-адрес (и, возможно, сменить DNS имя), либо просто смириться с временной недоступностью одного ресурса, сохранив работоспособность остальных.

Но и простая фильтрация тоже не так проста. Ведь резать трафик на собственном граничном маршрутизаторе оказывается довольно накладно. Во-первых, маршрутизатор класса Cisco 3745 с включенными финтифлюшками, типа ACL и QoS, при SYN Flood начинает показывать признаки смерти уже на смешном потоке в 2-3 мбит/c. Во-вторых, загрузка физического канала мешает нормальной работе легитимных клиентов. Ну и, в-третьих, если у вас не анлим, то ISP обязательно выставит вам счет на все залитые вам мусорные гигабайты.


Выход тут один — фильтровать трафик как можно ближе к источнику, то есть, у аплинка. Есть старый добрый способ: снять трубку телефона и объяснить ситуацию техподдержке провайдера с просьбой зафильтровать трафик на их стороне. У этого способа есть существенный недостаток: объяснения и переговоры занимают неприемлемо много времени. А если провайдеров несколько, то это время пропорционально увеличивается.


Подстелить соломки и подготовится к возможному DDoS поможет метод под названием BGP blackhole(RFC3882).
Суть его проста: это «черная дыра» для трафика на стороне ISP, удаленно управляемая клиентом. Технически это выглядит как BGP-анонс префикса /32 помеченного специальным community.

Как следует из названия, для работы метода необходимо BGP-соседство с провайдером. И естественно, он требует небольшой дополнительной конфигурации с обеих сторон.
Посмотрим, как это работает на примере маршрутизаторов Cisco.

Сторона ISP.


! Нужно выбрать произвольный IP и завернуть его в null0.
! Он будет next-hop-ом для мусорного трафика.
ip route <BLACKHOLE IP> 255.255.255.255 Null0
!
router bgp XXX
! Назначим route-map для клиента
neighbor <CUSTOMER> route-map CUSTOMER-IN in
! Разрешаем клиенту анонсировать /32 из своего блока
neighbor <CUSTOMER> prefix-list <ACL> in
! Даже если клиент подключен без использования ebgp multi-hop, эта строчка
! необходима из-за особенностей работы ios. Т.к. для оценки достижимости netxhop-а
! в cisco используется тот же параметр, что и ebgp multi-hop.
neighbor <CUSTOMER> ebgp multi-hop 2
! Здесь происходит вся магия
route-map CUSTOMER-IN permit 10
match ip community 0:666
set ip next-hop <BLACKHOLE IP>
set community additive no-export


Сторона клиента.


Тут все немного проще:

! Описываем фильтр для редистрибуции.
! На статические маршруты с тэгом 666 устанавливаем community 0:666
route-map BGP-BLACKHOLE permit 5
match tag 666
set community 0:666 additive
!
router bgp YYY
! Разрешаем редистрибуцию статических маршрутов по нашему фильтру
redistribute static route-map BGP-BLACKHOLE
! Разрешим отсылку community нашему аплинку
neighbor <UPLINK> send-community


Итак, если пришла пора биться с DDoS, клиент просто добавляет маршрут в Null на атакуемый хост и вешает на него тэг 666:
ip route 192.168.66.6 255.255.255.255 Null0 tag 666
Этот маршрут с community 666, анонсируется ISP, который также заворачивает трафик в null0.
Если ISP тоже подстелил соломки и настроил BGP Blackhole со своим аплинком, то цепочка продолжится и «черная дыра» расширится, избавив провайдера от лишней нагрузки и мусорного трафика.

Нурбек daemons
5 декабря 2012, 18:17
2511

Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Маргулан Сейсембаев: «Обучая детей в Англии, мы ментально растим граждан другой страны»

Маргулан Сейсембаев: «Обучая детей в Англии, мы ментально растим граждан другой страны»

Они становятся «не казахстанцами. Центром их жизненных интересов становится другая страна и другая культура, не Казахстан. Они просто не видят себя в нашей стране, не хотят возвращаться и по сути мы...
Zhumanova
вчера / 11:35
  • 13712
  • 7
Архивные фотографии Алма-Аты из семейного альбома. Ностальгический пост

Архивные фотографии Алма-Аты из семейного альбома. Ностальгический пост

Насобирал разных фотографий про наш город, из семейного архива. Фотографии не от сканированные, а пересняты на телефон. Давно хотел выставить, но не решался) Сейчас уже мы все поменялись, уже...
Ispanec
22 февр. 2017 / 11:05
  • 13268
  • 27
В больнице пара бахил стоит 50 тенге, а оптом 4 тенге. Чувствуете разницу?

В больнице пара бахил стоит 50 тенге, а оптом 4 тенге. Чувствуете разницу?

Получается, цены на бахилы не повышались, а кто-то повысил их самовольно. Я думаю, что на этом пытаются заработать. Позже я нашла ещё одну удивительную штуку:) Упаковка бахил в количестве 50 пар...
killer_slova
26 февр. 2017 / 9:15
  • 8410
  • 34
«Ау, дорогой, проснись! 21 век на дворе давно!». Бездипломный-безработный-бесквартирный!

«Ау, дорогой, проснись! 21 век на дворе давно!». Бездипломный-безработный-бесквартирный!

Ну реально же, парни, откуда вы только беретесь такие простые, а? Я сейчас просто расскажу несколько историй из личного опыта, и судите сами – нормально это? Но для начала расскажу немного о себе...
socium_kzo
22 февр. 2017 / 11:38
Трамвайные пути Алматы ни в коем случае нельзя убирать, это окончательно уничтожит трамвай

Трамвайные пути Алматы ни в коем случае нельзя убирать, это окончательно уничтожит трамвай

В Алматы было сделано несколько заявлений касательно ситуации с трамваем, опять же не в пользу его восстановления и возвращения на улицы города. В городе собираются демонтировать рельсы...
SKYFALL
24 февр. 2017 / 16:01
  • 7982
  • 6
О Димаше. Как же люди не поймут, что эстрада – это уныло, пафосно и скучно

О Димаше. Как же люди не поймут, что эстрада – это уныло, пафосно и скучно

Сплошные преувеличенные восторги в ленте фейсбука меня не удивляли. Нет пророка в своем отечестве, кумиром Димаш Кудайбергенов стал только после своего успеха в Китае. А представьте себе его...
myma
вчера / 10:45
Диана Шурыгина – жертва или змея? Девочка красивая, а весь мир судит её именно за это

Диана Шурыгина – жертва или змея? Девочка красивая, а весь мир судит её именно за это

Я совсем не смотрю передачу "Пусть говорят", слишком много ругани и негатива, но новость про какую-то девушку заполонила все мои социальные сети, я открыла youtube и посмотрела несколько передач...
Roza_pvl
22 февр. 2017 / 11:49
  • 6851
  • 34
Замуж в 27. Это как отправиться на войну, но без оружия

Замуж в 27. Это как отправиться на войну, но без оружия

Я очень долго думала писать данный пост или нет. Потому, что тема очень тонкая, возможно кого-то может задеть, а, возможно, наоборот кому-то откроет глаза. Тема замужества в каждом поколении была и...
Adilyan
21 февр. 2017 / 20:22
  • 4331
  • 20
Алматинцы видят, чем дышат. Каковы шансы города очистить свои «легкие»?

Алматинцы видят, чем дышат. Каковы шансы города очистить свои «легкие»?

В качестве иллюстрации я использовал печально известную фотографию панорамы Алматы, которая буквально вгоняет в депрессию. А что, если выход все же есть? Будучи экологом по образованию...
Papawa
22 февр. 2017 / 12:00
  • 2800
  • 2