Uzak AS kaynaklı bir DDoS saldırısına karşı savunmak için BGP kullanın


16

BGP ve bu yapılandırmanın nasıl gerçekleştirileceği ile ilgili bir sorum var.

Kurumsal çekirdek yönlendiricim bir ISS'ye (tek bağlantılı) bağlı. Bu yönlendirici, BGP güncellemelerinde ISP ile belirli genel ip öneklerini zaten değiştirdi. Şimdi bir AS birkaç şerbetçiotu olduğunu ve yerel AS'ye DDoS saldırısıyla su bastığını söylüyor. Bu AS'de yerel AS'deki web sunucularını hedefleyen birden fazla ağ var.

BGP kullanarak yönlendiricimizdeki bu trafiği nasıl durdurabiliriz?

Yanıtınız için teşekkür ederiz! :)


2
Bu trafiğin kaynağını nasıl oluşturdunuz? Yalnızca kaynak IP adreslerine bakıyorsanız, adres sahteciliği olabilir. Bir yansıma saldırısı gerçekleşirse, tek bir AS içindeki tüm kimlik sahtekarlığı kaynak adreslerini bir paket seli görürsünüz.
kasperd

Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak, kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


14

BGP ile yapabileceğiniz iki şey vardır:

RTBH - Uzaktan Tetiklenen Kara Delik

İlk seçenek radikaldir: IP'ye saldırı için karadelik (trafiği durdur). Olumsuz: Hedeflenen IP'ye artık erişilemiyor. Faydası: Ağınızın geri kalanı kalır. Packetlife'ın nasıl çalıştığı ve nasıl yapılacağı hakkında güzel bir açıklaması var. İkinci seçenek birincisine dayanır:

Kaynak Tabanlı RTBH

RTBH ayrıca (belirli yapılandırmalarda) belirli IP'lerden gelen trafiği engellemek için kullanılabilir (gerçek bir DDoS'de, binlerce IP'den gelen trafik çok fazla yardımcı olmaz). Yine Packetlife'ın bir açıklaması var.

Sizin durumunuzda, AS için tüm önekleri RADB gibi bir Yönlendirme Veritabanından alabilir ve bunları Kaynak Tabanlı RTBH ile engelleyebilirsiniz. Trafik yine de sınırda ağınıza çarpacaktı.

"Basit" RTBH kullandığınızda avantaj, bu RTBH yollarını, daha sonra ağlarındaki trafiği engelleyebilecek olan Yukarı Akış İSS'nize (destekliyorsa) gönderebilmenizdir, böylece onu işlemeniz gerekmez.


Packetlife tarafından açıklanan yöntem yararlıdır, ancak uplink'lerinizin saldırı trafiği tarafından doyurulduğu bir senaryoda hiçbir işe yaramayacaktır. Bu sorunu ele almak için yukarı akım kara delik topluluklarını kullanma üzerine bir cevap yazdım.
Elliot B.

2
Son cümlemde: "Basit" RTBH kullandığınızda avantajı, bu RTBH yollarını, daha sonra ağlarındaki trafiği engelleyebilecek olan Yukarı Akış İSS'nize (destekliyorsa) gönderebilmenizdir. halletmek için. "
Sebastian Wiesinger

Bunu gördüm, ancak müşteri tarafından tetiklenen kara delik yöntemini detaylandırmak ve "ele almak zorunda kalmadan" kara deliğin aksi takdirde etkili olmayacağına işaret etmek istedim. Sadece daha fazla bilgi sağlamak, cevabınızı çalmak için tasarlanmamıştır :)
Elliot

7

Aracılığıyla @Sebastian tarafından açıklanan RTBH yöntemi Packetlife yararlıdır, ama bu yöntem uplink sadece iş olduğunu eğer değil saldırı trafiğinden doymuş. Yukarı bağlantınız doymuşsa, karadelik , saldırı trafiği ağınıza ulaşmadan önce uygulanmalıdır .

Bunu yukarı akışlı kara delik topluluklarıyla yapabilirsiniz.

Hurricane Electric , BGP topluluğuyla müşteri tarafından tetiklenen basit bir açıklama / örnek sunar:

  1. Saldırı Başlıyor
  2. Müşteri saldırı altındaki ip veya ip aralığını tanımlar
  3. Müşteri, ip veya ip aralığını Null0'a yönlendirir ve 6939: 666 ile etiketleyen bir yol haritası ile ilgili önek için bir duyuru ekler.

Cisco yapılandırma örneği (burada XXXX saldırıya uğrayan iptir):

conf t
ip route X.X.X.X 255.255.255.255 Null0
router bgp YourAS
network X.X.X.X mask 255.255.255.255 route-map blackhole
route-map blackhole permit 10
set community 6939:666
end

6939:666Hurricane Electric'e özgü kara delik topluluğu olduğuna dikkat edin. Bu değeri, yukarı akış sağlayıcınızın kara delik topluluğuna karşılık gelecek şekilde değiştirirsiniz.

Elbette bunu yapılandırmanın çeşitli yolları vardır. Brocade donanımımda aşağıdaki yapılandırmayı kullanıyorum:

router bgp
!
redistribute static route-map blackhole
!
!
route-map blackhole permit  5
 match tag  66
 set community  55555:666

55555:666Akış yukarı sağlayıcınızın kara delik topluluğu nerede . Daha sonra yukarı doğru bir kara delik basit bir komutla uygulanabilir:

ip route 123.123.123.123 255.255.255.255 null0 tag 66

4

BGP açısından bakıldığında yapabileceğiniz çok şey yok. Ön ekinizin reklamını durdurabilirsiniz, ancak daha sonra DoS saldırısını tamamlıyorsunuz çünkü kimse hizmetinize erişemeyecektir.

Birden fazla ön ekiniz varsa, yeniden numaralandırabilirsiniz, ancak büyük olasılıkla saldırı yeni önek için de taşınır.

Yapmanız gereken yukarı akışınızla çalışmaktır. Ovalama servisi var mı? Arbor Peakflow gibi bir sistemi varsa, trafiği temizleyebilir ve ağınıza girmeden önce temizleyebilirler. Bu tür hizmetler genellikle çok pahalıdır.

Cloudflare ve BGP'yi bu şirkete GRE tüneli üzerinden ayarladığınız ve trafiğiniz, yerel cihazlarınızdan çok daha fazla trafiği işleyebilen "bulut" tarafından yönetildiği diğer seçenekler de vardır.


0

CloudFlare için çalışıyorum, burada bulunduğum son birkaç aydır DDOS saldırılarını azaltmak için geliştirdiğim bazı bilgileri paylaşmak istiyorum.

İlk olarak; birçok kişi uygulama katmanı DDOS saldırılarını azaltmak için ağ düzeyinde önlemlere başvurur. BGP Blackholing'e dalmadan önce, bunun hız sınırlayıcı veya uygulama katmanı korumasının başa çıkabileceğini düşünün. Bahsedilen; artık çok büyük kapasiteli DDOS saldırıları başlatmak için çok ucuz (kaç tane Açık DNS Yinelemesi olduğu ve saldırıları nasıl güçlendirebilecekleri göz önüne alındığında ).

Elliot'un cevabında açıkladığı gibi, ağınız küçükse BGP Topluluklarını trafiği karartmak için kullanmak işe yarayabilir; bu mekanizma RFC 3882'de belgelenmiştir . Bununla birlikte, bizim gibi, bunun yerine karadelik yerine saldırı trafiğini emmek istiyorsanız (yani DDOS saldırı verilerini toplamak istiyorsanız ), aracı ağ sağlayıcılarının tıkanmasıyla sonuçlanan teminat hasarına dikkat edin. Saldırıları başlatan ağların İSS'lerine doğrudan bakarak teminat hasarını azaltabilirsiniz. Böylece saldırgandan hedefe giden en kısa yol elde edilir. Ek olarak, bir Anycast ağ tasarımı uygulayabilirsiniz , bu etkili bir şekilde bir IP adresinin birden fazla veri merkezine çarptığı anlamına gelir (hangisine en yakın olduğuna bağlı olarak).

Açıkçası, her şirketin Anycast ve peering yapacak altyapıya sahip olması mümkün değildir; bu nedenle işletmeler, veri trafiğine ulaşmadan önce kötü trafiği kaldırmak için giderek artan oranda bulut hizmetlerine yöneliyor. Doğal olarak CloudFlare böyle bir hizmettir.


-1

Topladığınız tüm kanıtlar, belirli bir AS'den kaynak IP adresleri olan bir paket seli ise, muhtemelen yanlış sonuca atladınız. Daha olası bir açıklama, bu kaynak IP'lerin sahte olduğunu gösterir.

Yansıtma / amplifikasyon saldırısı, mağdurun kaynak IP adresini sahtekarlığa uğratan çok sayıda paket göndermeyi içerir. Eğer gerçekte olan buysa ve ağınızda bir saldırıyı artırabilecek sunucularınız varsa, o zaman bir saldırıyla suçladığınız ağ aslında kurban ve saldırgana yardım ediyorsunuz.

Böyle bir durumda çözüm, herhangi bir trafik mühendisliği uygulamak değil, sunucularınızı bir amplifikasyon saldırısında kullanılamayacak şekilde yapılandırmaktır. Bunun nasıl yapılacağı gerçekten bir ağ mühendisliği sorusu değildir.

Elbette, tüm paketlerin bir AS'den kaynaklanması mümkündür. Sorun yaratan AS'nin işbirliğiyle, paketlerin aslında AS'lerinden kaynaklandığına dair onay alabilirsiniz. Ancak bu düzeyde bir işbirliği ile saldırıyı kaynağında da engelleyebilirsiniz.

Onayladığınızı düşünmediğim bir yöntemle var olduğunuzu varsayarsak, paketlerin gerçekten düşündüğünüz AS'den kaynaklandığını ve kaynağında engellenemediğini ve bunun yerine BGP aracılığıyla engellemek istediğinizi varsa, o zaman ben bunu başarmak için biraz riskli bir yöntem okudum. Fikir, duyurduğunuz rotaya bir AS yolu eklemenizdir. Bu ekli AS yoluna, bu paketlerin kaynağının AS numarasını dahil edersiniz.

Duyuru, hakarete maruz kalan AS'deki BGP yönlendiricilerine ulaştığında, bir döngü algılayacak ve duyuruyu bırakacaktır. Bu arada dünyanın geri kalanı bir döngü görmez ve duyuruyu kabul etmez.

Teori bu. Aslında pratikte işe yarayıp yaramayacağı birkaç farklı faktöre bağlıdır. Örneğin, aslında paketlerin kaynaklandığı AS numarasını kullanmaya bağlıdır ve bu IP adreslerini bildiren AS numarasından farklı olabilir. (Bu fark meşru veya kimlik sahtekarlığı nedeniyle olabilir.)

Ayrıca, AS yolunu şüpheli bulurlarsa, yukarı akışınıza rotayı filtrelememesine de bağlıdır. Ayrıca sizden daha uzakta olan ağlar, örneğin eğer rahatsız edici AS ile kötü deneyimler yaşadıysa ve oradan tüm güzergahları bırakmaya karar verdiyse, rotanızı bırakabilirler.

Bu yaklaşımın riske değip değmeyeceği sizin çağrınız.

(Eğer tekrar bulabilirsem, bu yaklaşımın kaynağına bağlanırdım.)


2
Bu çok tehlikeli bir şey. Yolunuzda olmayan başka bir AS'yi taklit ediyorsunuz. Ayrıca diğer kişiler bu AS'den rota bırakırlarsa rotalarınızı da düşürürler.
Sebastian Wiesinger

1
@Sebastian Doğru, bu risk de var. Ancak alternatif, trafikle dolu olması nedeniyle ulaşılamayan bir ağsa, riske değer olabilir.
kasperd

Bu çok kötü bir fikir gibi geliyor, daha önce hiç duymamıştım. Tek bir botnet düğümü olduğunda tüm ASN için bağlantıyı keser; bu, örneğin büyük bulut sağlayıcılar için istediğiniz şey değildir. Ayrıca, binlerce botnet düğümünün ağınızdaki bir şeye saldırdığı DDoS'lerle kötü bir şekilde ölçeklenir.
Teun Vink

1
@TeunVink Tipik bir DDoS saldırısı için kesinlikle geçerli değildir. Ancak OP tipik bir DDoS saldırısı sormuyor. Tüm trafiğin bir AS'den kaynaklandığı bir saldırı soruyor. Alternatif, tüm internete bağlanabilirliği bozan bir saldırı olsaydı, bir AS'ye bağlantının kopması kabul edilebilir.
kasperd

-2

AS'lerini yerel ağınızdan kararabilir, böylece BGP yönlendiriciniz bildirdikleri herhangi bir önek için boş yollar oluşturur.

Pro:

  • AS'niz onlara normal olarak başkalarıyla veri alışverişi yaparken, hedefleri olan ölü görünecektir.
  • yerel giriş filtreniz gelen paketleri otomatik olarak bu AS'den çıkarır

Contra:

  • yönlendiricinizde kara delik rotaları oluşturabilirler, bu nedenle en hayati rotalarınızı sağlam tutmak için uygun kurallara sahip olduğunuzdan emin olun.

1
AS'nin tamamını karartmak, DOSing'i kendiniz sonlandırmanız anlamına gelir. AS'deki hiç kimse size ulaşamaz. Müşterileriniz de AS'de olabilir.
Ron Trunk

1
Ben burada bir düşman AS varsayıyorum, yani tamamen onları bloke eğer değer kaybolur. Bu kategoriye dosyalamak istiyorum birkaç "kurşun geçirmez barındırma" hizmetleri vardır.
Simon Richter

1
Çoğu ASN tamamen düşmanca veya dostça değil, sadece bir botnet parçası olan bazı ana bilgisayarlar içerir. Ayrıca, bu yaklaşım yukarı akış bağlantılarınızın su basmasını engellemez, bu nedenle hacim tabanlı DDoS saldırılarını durdurmanıza yardımcı olmaz.
Teun Vink
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.