Защита от DDOS атак средствами BGP

[deilux]

А через сколько минут\часов новые маршруты начнут применяться? Ведь вряд ли это всё произойдёт мгновенно.

[velizarx]

Время установки префикса в такой (рекурсивный) Blackhole как правило 1-3 минуты, пока все провайдеры примут community. Blackhole у первого провайдера срабатывает через ~5-10 секунд, то есть трафик в Вашу AS уже перестанет попадать.

[deilux]

Спасибо за ответ!

[angelsaint]

Но добавляя в blackhole какую-то AS мы таким образом отсекаем трафик на заданный ip не только от злоумышленников, но и от легитимных пользователей? Получается, что это применимо не для всех AS. Например для AS какого-нибудь российского провайдера (если у нас сайт ориентирован на русскоязычный сегмент) таким образом отсекать может оказаться нецелесообразно.

[tgz]

Ищите аплинка, который умеет flow rules и наслаждайтесь.

[velizarx]

Да, Вы отчасти правы, но в статье говорится про атаки с которыми не удается справится иными средствами и из-за которых может страдать вся сеть. Если недоступна вся сеть, то лучше «пожертвовать» одним сервером и разгрузить канал, а потом искать цель атаки (если это сервер с клиентами, например) и заниматься анализом атаки. Кроме того существует возможность более продвинутого blackhole, например, если контент Вашего сервера для России, то в момент атаки можно установить Blackhole только на зарубежный пиринг. Это позволит снизить уровень атаки (по статистике 80% трафика DDOS льется из-за границы) и оставить сервер доступным для Российского сегмента. Многие Российские провайдеры предоставляют расширенные community, которые позволяют такое делать. Существует также метод «сливного туннеля», который позволяет не ограничивая доступ к серверу фильтровать трафик, о нем Вы можете почитать в rfc3882.

[velizarx]

Да, к сожалению есть только рекомендации по составлению community.

Спасибо, не знал про привязку community к static маршрутам. По привычке использовал cisco-way. На самом деле я еще обычно выставляю no-install для static маршрута, чтобы пакеты до этого хоста внутри моей AS не дропались на маршрутизаторе. Это очень полезная функция Juniper, которой к сожалению нет в Cisco.

[bakset]

«Целью атакующих могут быть, как отдельные ресурсы размещенные на серверах, сами сервера и вся площадка в целом»
Если вся площадка в целом то blackhole плохой метод. Все подсети в blackhole посылать не вариант.

[velizarx]

Согласен, но атаки такого масштаба редко ведутся на целую подсеть, как правило льется все на один хост, но забивает канал всей площадки. Борьба с атакой на несколько серверов сразу, думаю, будет начинаться со снятия зарубежного пиринга, дабы отсечь источник.

[elmanr]

Спасибо за статью. Сегодня пришлось настраивать похожий blackhole для BGP пиринга с LEVEL3. Кстати у них используется 3356:9999 community, для этих целей.

[Celebro]

В примере policy не хватает правила, которое ограничивает маску сети
from {
community TEST_blackhole;
route-filter 0.0.0.0/0 prefix-length-range /32-/32;
}


иначе в один прекрасный момент вам проанонсируют 0/0 и всё отправится в null.
Так же считаю целесообразно свои сети вынести из данного правила. (сети серверов, сети связности маршрутизаторов, в том числе и самого маршрутизатора juniper ASBR, на котором поднимается BGP), явно, что тут атаки не должно быть, или её предотвращать уже другими механизмами.