Комментарии 13
А через сколько минут\часов новые маршруты начнут применяться? Ведь вряд ли это всё произойдёт мгновенно.
Но добавляя в blackhole какую-то AS мы таким образом отсекаем трафик на заданный ip не только от злоумышленников, но и от легитимных пользователей? Получается, что это применимо не для всех AS. Например для AS какого-нибудь российского провайдера (если у нас сайт ориентирован на русскоязычный сегмент) таким образом отсекать может оказаться нецелесообразно.
Ищите аплинка, который умеет flow rules и наслаждайтесь.
Да, Вы отчасти правы, но в статье говорится про атаки с которыми не удается справится иными средствами и из-за которых может страдать вся сеть. Если недоступна вся сеть, то лучше «пожертвовать» одним сервером и разгрузить канал, а потом искать цель атаки (если это сервер с клиентами, например) и заниматься анализом атаки. Кроме того существует возможность более продвинутого blackhole, например, если контент Вашего сервера для России, то в момент атаки можно установить Blackhole только на зарубежный пиринг. Это позволит снизить уровень атаки (по статистике 80% трафика DDOS льется из-за границы) и оставить сервер доступным для Российского сегмента. Многие Российские провайдеры предоставляют расширенные community, которые позволяют такое делать. Существует также метод «сливного туннеля», который позволяет не ограничивая доступ к серверу фильтровать трафик, о нем Вы можете почитать в rfc3882.
НЛО прилетело и опубликовало эту надпись здесь
Да, к сожалению есть только рекомендации по составлению community.
Спасибо, не знал про привязку community к static маршрутам. По привычке использовал cisco-way. На самом деле я еще обычно выставляю no-install для static маршрута, чтобы пакеты до этого хоста внутри моей AS не дропались на маршрутизаторе. Это очень полезная функция Juniper, которой к сожалению нет в Cisco.
Спасибо, не знал про привязку community к static маршрутам. По привычке использовал cisco-way. На самом деле я еще обычно выставляю no-install для static маршрута, чтобы пакеты до этого хоста внутри моей AS не дропались на маршрутизаторе. Это очень полезная функция Juniper, которой к сожалению нет в Cisco.
«Целью атакующих могут быть, как отдельные ресурсы размещенные на серверах, сами сервера и вся площадка в целом»
Если вся площадка в целом то blackhole плохой метод. Все подсети в blackhole посылать не вариант.
Если вся площадка в целом то blackhole плохой метод. Все подсети в blackhole посылать не вариант.
Спасибо за статью. Сегодня пришлось настраивать похожий blackhole для BGP пиринга с LEVEL3. Кстати у них используется 3356:9999 community, для этих целей.
В примере policy не хватает правила, которое ограничивает маску сети
иначе в один прекрасный момент вам проанонсируют 0/0 и всё отправится в null.
Так же считаю целесообразно свои сети вынести из данного правила. (сети серверов, сети связности маршрутизаторов, в том числе и самого маршрутизатора juniper ASBR, на котором поднимается BGP), явно, что тут атаки не должно быть, или её предотвращать уже другими механизмами.
from {
community TEST_blackhole;
route-filter 0.0.0.0/0 prefix-length-range /32-/32;
}
иначе в один прекрасный момент вам проанонсируют 0/0 и всё отправится в null.
Так же считаю целесообразно свои сети вынести из данного правила. (сети серверов, сети связности маршрутизаторов, в том числе и самого маршрутизатора juniper ASBR, на котором поднимается BGP), явно, что тут атаки не должно быть, или её предотвращать уже другими механизмами.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита от DDOS атак средствами BGP