Gunakan BGP untuk bertahan melawan serangan DDoS yang berasal dari AS jarak jauh

16

Saya punya pertanyaan tentang BGP dan bagaimana mencapai konfigurasi ini.

Router inti perusahaan saya terhubung ke ISP (satu homed). Router ini telah menukar awalan ip publik tertentu dengan ISP dalam pembaruan BGP. Sekarang mari kita katakan ada beberapa AS hop yang membanjiri AS lokal saya dengan serangan DDoS. Ada beberapa jaringan di AS yang menargetkan server web di AS lokal saya.

Bagaimana kita bisa menghentikan traffic ini di router kita dengan menggunakan BGP?

Hargai respons Anda !! :)

routing bgp Harish Reddy
sumber
2
Bagaimana Anda menetapkan sumber lalu lintas ini? Jika Anda hanya melihat alamat IP sumber, itu mungkin palsu. Banjir paket semua alamat sumber palsu dalam satu SA adalah apa yang akan Anda lihat, jika serangan refleksi terjadi.
kasperd
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

14

Ada dua hal yang dapat Anda lakukan dengan BGP:

RTBH - Lubang Hitam yang Dipicu dari Jarak Jauh

Opsi pertama adalah yang radikal: Blackhole (stop traffic) untuk IP yang diserang. Kelemahan: IP yang ditargetkan tidak lagi dapat dijangkau. Manfaat: Sisa jaringan Anda tetap aktif. Packetlife memiliki penjelasan yang bagus tentang cara kerjanya dan cara melakukannya. Opsi kedua dibangun di atas yang pertama:

RTBH Berbasis Sumber

RTBH juga dapat digunakan (dalam konfigurasi tertentu) untuk memblokir lalu lintas yang berasal dari IP tertentu (dalam DDoS nyata yang tidak akan banyak membantu karena lalu lintas akan datang dari ribuan IP). Sekali lagi, Packetlife memiliki penjelasan.

Dalam kasus Anda, Anda bisa mendapatkan semua awalan untuk AS dari Routing Database seperti RADB dan memblokirnya dengan RTBH Berbasis Sumber. Lalu lintas masih akan menghantam jaringan Anda di perbatasan.

Ketika Anda menggunakan RTBH "sederhana", keuntungannya adalah Anda dapat mengirim rute RTBH ini ke ISP Hulu Anda (jika mereka mendukungnya) yang kemudian dapat memblokir lalu lintas di jaringan mereka sehingga Anda tidak harus menanganinya.

Sebastian Wiesinger
sumber
Metode yang dijelaskan oleh Packetlife sangat membantu, tetapi tidak akan ada gunanya dalam skenario di mana uplink Anda jenuh oleh lalu lintas serangan. Saya menulis jawaban tentang penggunaan komunitas blackhole hulu untuk mengatasi masalah ini.
Elliot B.
2
Ada dalam kalimat terakhir saya: "Ketika Anda menggunakan RTBH" sederhana "keuntungannya adalah Anda dapat mengirim rute RTBH ini ke ISP Hulu Anda (jika mereka mendukungnya) yang kemudian dapat memblokir lalu lintas di jaringan mereka sehingga Anda tidak memiliki untuk menanganinya. "
Sebastian Wiesinger
Saya melihat itu, tetapi saya ingin menjelaskan metode blackhole yang dipicu oleh pelanggan dan menunjukkan bahwa "[tidak harus] menanganinya" berarti bahwa blackhole tidak akan efektif jika tidak. Tidak dimaksudkan untuk mengetuk jawaban Anda, hanya memberikan informasi lebih lanjut :)
Elliot B.
7

Metode RTBH yang dijelaskan oleh @Sebastian melalui Packetlife sangat membantu, tetapi metode itu hanya akan berfungsi jika uplink Anda tidak jenuh oleh serangan lalu lintas. Jika uplink Anda jenuh, maka lubang hitam harus dilaksanakan pada suatu titik sebelum lalu lintas serangan mencapai jaringan Anda.

Anda dapat melakukannya dengan komunitas blackhole hulu.

Hurricane Electric menawarkan penjelasan / contoh sederhana tentang pemolesan pelanggan yang dipicu oleh komunitas BGP:

  1. Mulai Serangan
  2. Pelanggan mengidentifikasi ip atau rentang ip yang diserang
  3. Pelanggan statis merutekan kisaran ip atau ip ke Null0 dan menambahkan pengumuman awalan yang sesuai dengan peta rute yang menandainya dengan 6939: 666.

Contoh konfigurasi Cisco (di mana XXXX adalah ip yang diserang):

conf t
ip route X.X.X.X 255.255.255.255 Null0
router bgp YourAS
network X.X.X.X mask 255.255.255.255 route-map blackhole
route-map blackhole permit 10
set community 6939:666
end

Perhatikan bahwa itu 6939:666adalah komunitas lubang hitam khusus untuk Hurricane Electric. Anda akan memodifikasi nilai ini agar sesuai dengan komunitas blackhole penyedia hulu Anda.

Tentu saja ada beberapa cara untuk mengonfigurasi ini. Pada gigi Brocade saya, saya menggunakan konfigurasi berikut:

router bgp
!
redistribute static route-map blackhole
!
!
route-map blackhole permit  5
 match tag  66
 set community  55555:666

Di mana 55555:666komunitas blackhole penyedia hulu Anda. Blackhole upstream kemudian dapat diterapkan dengan perintah sederhana:

ip route 123.123.123.123 255.255.255.255 null0 tag 66
Elliot B.
sumber
4

Dari perspektif BGP, tidak banyak yang bisa Anda lakukan. Anda bisa berhenti mengiklankan awalan Anda, tetapi kemudian Anda baru saja menyelesaikan serangan DoS karena tidak ada yang akan dapat mengakses layanan Anda.

Jika Anda memiliki beberapa awalan, Anda dapat memberi nomor baru tetapi kemungkinan serangan juga akan pindah ke awalan baru.

Yang perlu Anda lakukan adalah bekerja dengan hulu Anda. Apakah mereka memiliki layanan scrubbing? Jika mereka memiliki sistem seperti Arbor Peakflow, mereka dapat menggosok lalu lintas dan membersihkannya sebelum memasuki jaringan Anda. Layanan seperti itu seringkali sangat mahal.

Ada juga opsi lain seperti Cloudflare dan perusahaan sejenis di mana Anda mengatur BGP melalui terowongan GRE ke perusahaan itu dan lalu lintas Anda ditangani oleh "cloud" mereka yang dapat menangani lebih banyak lalu lintas daripada perangkat lokal Anda.

Daniel Dib
sumber
0

Saya bekerja untuk CloudFlare, saya ingin berbagi beberapa pengetahuan yang saya kembangkan tentang mitigasi serangan DDOS selama beberapa bulan terakhir saya di sini.

Pertama; banyak orang menggunakan langkah-langkah tingkat jaringan untuk mengurangi serangan DDOS lapisan aplikasi. Sebelum menyelam ke BGP Blackholing, pertimbangkan apakah itu sesuatu yang membatasi tingkat atau perlindungan lapisan aplikasi bisa ditangani. Yang mengatakan; sekarang sangat murah untuk meluncurkan serangan DDOS berkapasitas sangat besar (mengingat berapa banyak Open DNS Recursors yang ada, dan bagaimana mereka dapat memperkuat serangan).

Seperti yang dijelaskan Elliot dalam jawabannya, menggunakan Komunitas BGP untuk lalu lintas blackhole dapat bekerja dengan baik jika jaringan Anda kecil; mekanisme ini didokumentasikan dalam RFC 3882 . Namun, seperti kami, jika Anda ingin menyerap lalu lintas serangan alih-alih blackhole (mis. Anda ingin mengumpulkan data serangan DDOS ), maka waspadalah terhadap kerusakan jaminan yang menyebabkan penyedia jaringan perantara akhirnya mengalami kemacetan. Anda dapat mengurangi kerusakan jaminan dengan mengintip langsung dengan ISP dari jaringan yang meluncurkan serangan. Dengan melakukan itu, Anda memiliki jalur terpendek dari penyerang ke tujuan. Selain itu Anda dapat menerapkan desain jaringan Anycast , ini secara efektif akan berarti satu alamat IP mencapai beberapa pusat data (tergantung mana yang terdekat).

Jelas tidak mungkin bagi setiap perusahaan untuk memiliki infrastruktur untuk melakukan Anycast dan mengintip; itulah sebabnya bisnis semakin beralih ke layanan cloud untuk menghapus lalu lintas yang buruk sebelum mencapai pusat data mereka. Tentu saja CloudFlare adalah salah satu layanan tersebut.

mjsa
sumber
-1

Jika semua bukti yang telah Anda kumpulkan adalah paket yang membanjiri dengan sumber alamat IP dari satu SA, Anda kemungkinan telah melompat ke kesimpulan yang salah. Penjelasan yang lebih mungkin adalah bahwa sumber IP tersebut palsu.

Serangan refleksi / amplifikasi melibatkan pengiriman banyak paket yang memalsukan alamat IP sumber korban. Jika ini yang sebenarnya terjadi, dan Anda memiliki server di jaringan Anda, yang dapat memperkuat serangan, maka jaringan yang Anda tuduh sebenarnya adalah korban, dan Anda membantu penyerang.

Dalam situasi seperti ini solusinya bukan untuk menerapkan segala jenis rekayasa lalu lintas, tetapi untuk mengkonfigurasi server Anda sehingga mereka tidak dapat digunakan dalam serangan amplifikasi. Cara melakukan ini sebenarnya bukan pertanyaan rekayasa jaringan.

Tentu saja mungkin, bahwa semua paket berasal dari satu AS. Dengan kerja sama dari AS yang menyinggung, Anda bisa mendapatkan konfirmasi, bahwa paket-paket itu sebenarnya berasal dari AS mereka. Namun dengan tingkat kerjasama itu, Anda juga bisa mendapatkan serangan diblokir di sumbernya.

Jika kami menganggap Anda telah melalui beberapa metode, saya belum memikirkan tentang mendapatkan konfirmasi bahwa paket-paket tersebut sebenarnya berasal dari AS yang Anda kira, dan bahwa Anda tidak dapat memblokirnya di sumbernya dan sebaliknya ingin memblokirnya melalui sarana BGP, maka saya telah membaca tentang metode yang agak berisiko untuk mencapai ini. Idenya adalah bahwa Anda menambahkan jalur AS ke rute yang Anda umumkan. Di jalur AS yang didahului ini, Anda menyertakan nomor AS sumber paket-paket itu.

Ketika pengumuman mencapai router BGP di AS yang menyinggung, mereka akan mendeteksi loop dan menjatuhkan pengumuman. Sementara itu seluruh dunia tidak akan melihat lingkaran dan menerima pengumuman.

Itulah teorinya. Apakah itu benar-benar akan berfungsi dalam praktik tergantung pada beberapa faktor yang berbeda. Sebagai contoh, ini tergantung pada penggunaan nomor AS sebenarnya dari mana paket berasal, yang mungkin berbeda dari nomor AS yang mengumumkan alamat IP tersebut. (Perbedaan seperti itu bisa jadi sah atau karena spoofing.)

Itu juga tergantung pada hulu Anda yang tidak memfilter rute jika mereka menemukan jalur AS mencurigakan. Selain itu jaringan yang jauh dari Anda juga dapat menurunkan rute Anda misalnya jika mereka juga memiliki pengalaman buruk dengan AS yang melanggar dan telah memutuskan untuk meninggalkan semua rute dari sana.

Adalah panggilan Anda apakah pendekatan ini sepadan dengan risikonya.

(Saya akan ditautkan ke sumber untuk pendekatan ini, jika saya bisa menemukannya lagi.)

kasperd
sumber
2
Itu hal yang sangat berbahaya untuk dilakukan. Anda spoofing SA lain di jalan Anda yang tidak Anda miliki. Juga jika orang lain menjatuhkan rute dari AS, mereka juga akan menjatuhkan rute Anda.
Sebastian Wiesinger
1
@Sebastian Benar, risiko itu juga ada. Tetapi jika alternatifnya adalah jaringan yang tidak terjangkau karena dibanjiri lalu lintas, itu mungkin sepadan dengan risikonya.
kasperd
Ini terdengar seperti ide yang sangat buruk, saya belum pernah mendengarnya sebelumnya. Ini merusak konektivitas untuk seluruh ASN ketika ada satu botnet node, yang bukan apa yang Anda inginkan misalnya penyedia cloud besar. Selain itu, skala ini sangat buruk dengan DDoS'es di mana ribuan node botnet menyerang sesuatu di jaringan Anda.
Teun Vink
1
@TeunVink Jelas tidak berlaku untuk serangan DDoS yang khas. Tapi OP tidak bertanya tentang serangan DDoS yang khas. Dia bertanya tentang serangan di mana semua lalu lintas berasal dari satu AS. Memutuskan konektivitas ke satu AS akan dapat diterima, jika alternatifnya adalah serangan yang merusak konektivitas ke seluruh internet.
kasperd
-2

Anda dapat blackhole AS dari jaringan lokal Anda, sehingga router BGP Anda membuat rute nol untuk awalan yang mereka umumkan.

Pro:

  • AS Anda akan tampak mati bagi mereka, yang merupakan tujuan mereka, sementara Anda masih bertukar data dengan orang lain secara normal.
  • pemfilteran masuk lokal Anda secara otomatis akan menjatuhkan paket yang masuk dari AS

Kontra:

  • mereka dapat membuat rute blackhole di router Anda, jadi pastikan untuk memiliki aturan yang sesuai untuk menjaga rute paling vital Anda tetap utuh
Simon Richter
sumber
1
Menghitamkan seluruh AS berarti Anda akhirnya melakukan DOS sendiri. Tidak ada orang lain yang bisa menghubungi Anda. Pelanggan Anda mungkin juga berada di AS.
Ron Trunk
1
Saya menganggap AS bermusuhan di sini, yaitu mencatat nilai hilang jika Anda memblokir mereka sepenuhnya. Ada beberapa layanan "hosting anti peluru" yang akan saya masukkan ke dalam kategori ini.
Simon Richter
1
Kebanyakan ASN tidak sepenuhnya memusuhi atau ramah, hanya mengandung beberapa host yang merupakan bagian dari botnet. Juga, pendekatan ini tidak mencegah link upstream Anda dari banjir, jadi itu tidak akan membantu Anda menghentikan serangan DDoS berbasis volume.
Teun Vink