• 30468
  • 25
  • 3
Нравится блог?
Подписывайтесь!

BGP Blackhole — эффективное средство борьбы с DDoS

C таким неприятным явлением как DDoS атака, рано или поздно сталкивается каждый администратор публичного ресурса. Нет особого смысла расписывать, что такое DDoS, сегодня об этом явлении знает любой сетевик. К сожалению, не существует способа защиты от DDoS подходящего для всех ситуаций. Однако, наиболее эффективным и часто применяемым является null routing — полная фильтрация трафика на атакуемый IP. После того, как хост зафильтрован, можно в (относительно) спокойной обстановке перенести ресурс на другой IP-адрес (и, возможно, сменить DNS имя), либо просто смириться с временной недоступностью одного ресурса, сохранив работоспособность остальных.

Но и простая фильтрация тоже не так проста. Ведь резать трафик на собственном граничном маршрутизаторе оказывается довольно накладно. Во-первых, маршрутизатор класса Cisco 3745 с включенными финтифлюшками, типа ACL и QoS, при SYN Flood начинает показывать признаки смерти уже на смешном потоке в 2-3 мбит/c. Во-вторых, загрузка физического канала мешает нормальной работе легитимных клиентов. Ну и, в-третьих, если у вас не анлим, то ISP обязательно выставит вам счет на все залитые вам мусорные гигабайты.


Выход тут один — фильтровать трафик как можно ближе к источнику, то есть, у аплинка. Есть старый добрый способ: снять трубку телефона и объяснить ситуацию техподдержке провайдера с просьбой зафильтровать трафик на их стороне. У этого способа есть существенный недостаток: объяснения и переговоры занимают неприемлемо много времени. А если провайдеров несколько, то это время пропорционально увеличивается.


Подстелить соломки и подготовится к возможному DDoS поможет метод под названием BGP blackhole(RFC3882).
Суть его проста: это «черная дыра» для трафика на стороне ISP, удаленно управляемая клиентом. Технически это выглядит как BGP-анонс префикса /32 помеченного специальным community.

Как следует из названия, для работы метода необходимо BGP-соседство с провайдером. И естественно, он требует небольшой дополнительной конфигурации с обеих сторон.
Посмотрим, как это работает на примере маршрутизаторов Cisco.

Сторона ISP.


! Нужно выбрать произвольный IP и завернуть его в null0.
! Он будет next-hop-ом для мусорного трафика.
ip route <BLACKHOLE IP> 255.255.255.255 Null0
!
router bgp XXX
! Назначим route-map для клиента
neighbor <CUSTOMER> route-map CUSTOMER-IN in
! Разрешаем клиенту анонсировать /32 из своего блока
neighbor <CUSTOMER> prefix-list <ACL> in
! Даже если клиент подключен без использования ebgp multi-hop, эта строчка
! необходима из-за особенностей работы ios. Т.к. для оценки достижимости netxhop-а
! в cisco используется тот же параметр, что и ebgp multi-hop.
neighbor <CUSTOMER> ebgp multi-hop 2
! Здесь происходит вся магия
route-map CUSTOMER-IN permit 10
match ip community 0:666
set ip next-hop <BLACKHOLE IP>
set community additive no-export


Сторона клиента.


Тут все немного проще:

! Описываем фильтр для редистрибуции.
! На статические маршруты с тэгом 666 устанавливаем community 0:666
route-map BGP-BLACKHOLE permit 5
match tag 666
set community 0:666 additive
!
router bgp YYY
! Разрешаем редистрибуцию статических маршрутов по нашему фильтру
redistribute static route-map BGP-BLACKHOLE
! Разрешим отсылку community нашему аплинку
neighbor <UPLINK> send-community


Итак, если пришла пора биться с DDoS, клиент просто добавляет маршрут в Null на атакуемый хост и вешает на него тэг 666:
ip route 192.168.66.6 255.255.255.255 Null0 tag 666
Этот маршрут с community 666, анонсируется ISP, который также заворачивает трафик в null0.
Если ISP тоже подстелил соломки и настроил BGP Blackhole со своим аплинком, то цепочка продолжится и «черная дыра» расширится, избавив провайдера от лишней нагрузки и мусорного трафика.

Нурбек daemons
5 декабря 2012, 18:17
3030

Загрузка...
Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Почему я больше не поеду отдыхать на северное побережье Алаколя

Почему я больше не поеду отдыхать на северное побережье Алаколя

Нам казалось, что на Алаколе мы сможем хорошо отдохнуть, расслабиться и набраться сил на весь следующий год. Вроде, и достаточно бюджетно, и не так далеко.
RisKaS
26 июня 2017 / 18:05
  • 7358
  • 38
ЭКСПО-2017. Каким бы правдоподобным ни казался обман, он всё равно раскроется

ЭКСПО-2017. Каким бы правдоподобным ни казался обман, он всё равно раскроется

Изначально про ЭКСПО было очень много слухов. Лишь только усаживаясь в поезд «тальго» до Астаны, мы уже были изрядно загружены этими слухами. Кто их запускал, для чего – отдельный вопрос..
openqazaqstan
вчера / 15:45
  • 5648
  • 31
Эксперимент. Два парня и девушка в поисках лучшего донера в Астане

Эксперимент. Два парня и девушка в поисках лучшего донера в Астане

Нас трое: девушка и двое парней. Мы обошли 7 заведений, где продают донеры. Оценивали по 10-бальной шкале только по вкусовым качествам донера. Никто нам за рекламу не платил, бесплатными донерами не кормил!
nargiz_15
вчера / 10:08
  • 5773
  • 8
На каких улицах города Алматы вы точно попадете в «пробку»

На каких улицах города Алматы вы точно попадете в «пробку»

Строятся пешеходные и велосипедные дорожки, трамвайные пути "сносят", а главная традиция нашего мегаполиса - замена подземных коммуникаций и в этом году не была нарушена.
beoblod
26 июня 2017 / 17:22
  • 3954
  • 3
Где отлично провести летние месяцы с пользой для здоровья и кошелька?

Где отлично провести летние месяцы с пользой для здоровья и кошелька?

Я обратил внимание, что в случае с уникальными природными зонами Павлодарской области применима поговорка: «что имеем – не ценим», а ведь они легко могли бы стать международными курортами.
Muzalevskiy
23 июня 2017 / 22:57
  • 3432
  • 11
Это «колхозное сооружение» вредит имиджу города. Я, как алматинка, против!

Это «колхозное сооружение» вредит имиджу города. Я, как алматинка, против!

Почему эту трубу не проложили под землей? Она обезображивает улицу, как дикий багровый шрам от раны, зашитой равнодушным, криворуким и ленивым хирургом, обезображивает лицо.
ValentinaVladimirska
23 июня 2017 / 12:10
  • 2807
  • 45
На Иссык-Куль через Юг. Не бойтесь ехать в Киргизию своим ходом!

На Иссык-Куль через Юг. Не бойтесь ехать в Киргизию своим ходом!

Очень живописная и бюджетная поездка вдоль всего берега по Иссык-Кулю! Мы, две обаятельные девушки, поехали вдвоем, подготовленные к совершенно автономной жизни в палатке, и ни разу ничего не...
yelenasergiyenko
22 июня 2017 / 13:20
  • 2991
  • 23
Неравенство в Казахстане – доходы самых богатых граждан в 6 раз больше заработка бедных

Неравенство в Казахстане – доходы самых богатых граждан в 6 раз больше заработка бедных

Почти 46% расходов казахстанцев уходит на продукты. При этом бедные казахстанцы стали есть меньше, богатые - больше. Инфографика
ZonaKZ
25 июня 2017 / 9:06
  • 2428
  • 23
Миф о героях нашего времени: «Они лишь дешевые подделки»

Миф о героях нашего времени: «Они лишь дешевые подделки»

Они назвали лизоблюдство – нетворкинг. Они назвали бессовестное самохвальство – селфбрендинг. Они назвали беспринципность и отсутствие морали – гибкость и креативный подход.
Aks_Ras
22 июня 2017 / 17:32
  • 2132
  • 12