Comments 13
А через сколько минут\часов новые маршруты начнут применяться? Ведь вряд ли это всё произойдёт мгновенно.
Но добавляя в blackhole какую-то AS мы таким образом отсекаем трафик на заданный ip не только от злоумышленников, но и от легитимных пользователей? Получается, что это применимо не для всех AS. Например для AS какого-нибудь российского провайдера (если у нас сайт ориентирован на русскоязычный сегмент) таким образом отсекать может оказаться нецелесообразно.
Ищите аплинка, который умеет flow rules и наслаждайтесь.
Да, Вы отчасти правы, но в статье говорится про атаки с которыми не удается справится иными средствами и из-за которых может страдать вся сеть. Если недоступна вся сеть, то лучше «пожертвовать» одним сервером и разгрузить канал, а потом искать цель атаки (если это сервер с клиентами, например) и заниматься анализом атаки. Кроме того существует возможность более продвинутого blackhole, например, если контент Вашего сервера для России, то в момент атаки можно установить Blackhole только на зарубежный пиринг. Это позволит снизить уровень атаки (по статистике 80% трафика DDOS льется из-за границы) и оставить сервер доступным для Российского сегмента. Многие Российские провайдеры предоставляют расширенные community, которые позволяют такое делать. Существует также метод «сливного туннеля», который позволяет не ограничивая доступ к серверу фильтровать трафик, о нем Вы можете почитать в rfc3882.
UFO just landed and posted this here
Да, к сожалению есть только рекомендации по составлению community.
Спасибо, не знал про привязку community к static маршрутам. По привычке использовал cisco-way. На самом деле я еще обычно выставляю no-install для static маршрута, чтобы пакеты до этого хоста внутри моей AS не дропались на маршрутизаторе. Это очень полезная функция Juniper, которой к сожалению нет в Cisco.
Спасибо, не знал про привязку community к static маршрутам. По привычке использовал cisco-way. На самом деле я еще обычно выставляю no-install для static маршрута, чтобы пакеты до этого хоста внутри моей AS не дропались на маршрутизаторе. Это очень полезная функция Juniper, которой к сожалению нет в Cisco.
«Целью атакующих могут быть, как отдельные ресурсы размещенные на серверах, сами сервера и вся площадка в целом»
Если вся площадка в целом то blackhole плохой метод. Все подсети в blackhole посылать не вариант.
Если вся площадка в целом то blackhole плохой метод. Все подсети в blackhole посылать не вариант.
Спасибо за статью. Сегодня пришлось настраивать похожий blackhole для BGP пиринга с LEVEL3. Кстати у них используется 3356:9999 community, для этих целей.
В примере policy не хватает правила, которое ограничивает маску сети
иначе в один прекрасный момент вам проанонсируют 0/0 и всё отправится в null.
Так же считаю целесообразно свои сети вынести из данного правила. (сети серверов, сети связности маршрутизаторов, в том числе и самого маршрутизатора juniper ASBR, на котором поднимается BGP), явно, что тут атаки не должно быть, или её предотвращать уже другими механизмами.
from {
community TEST_blackhole;
route-filter 0.0.0.0/0 prefix-length-range /32-/32;
}
иначе в один прекрасный момент вам проанонсируют 0/0 и всё отправится в null.
Так же считаю целесообразно свои сети вынести из данного правила. (сети серверов, сети связности маршрутизаторов, в том числе и самого маршрутизатора juniper ASBR, на котором поднимается BGP), явно, что тут атаки не должно быть, или её предотвращать уже другими механизмами.
Sign up to leave a comment.
Защита от DDOS атак средствами BGP