RTBH фильтрация для защиты от DDoS — различия между версиями

Материал из wiki
Перейти к: навигация, поиск
(s/RTBH - Next-Hop-метод)
(d/RTBH - scope-to-community trigger)
 
Строка 66: Строка 66:
 
/routing bgp peer
 
/routing bgp peer
 
add in-filter=rtbh-in name=peer1 out-filter=rtbh-out remote-address=212.192.88.154 remote-as=65015 ttl=default
 
add in-filter=rtbh-in name=peer1 out-filter=rtbh-out remote-address=212.192.88.154 remote-as=65015 ttl=default
# фильтр на вход - по коммьюнити 0:6666 - принимать маршрут и ставить тип blackhole
+
# фильтр на вход - по коммьюнити 65000:6666 - принимать маршрут и ставить тип blackhole
 
/routing filter
 
/routing filter
add action=accept bgp-communities=0:6666 chain=rtbh-in prefix-length=32 set-type=blackhole
+
add action=accept bgp-communities=65000:6666 chain=rtbh-in prefix-length=32 set-type=blackhole
 
# на выход - по route scope == 166 ставить коммьюнити 0:6666
 
# на выход - по route scope == 166 ставить коммьюнити 0:6666
 
add action=accept chain=rtbh-out prefix-length=32 scope=166 set-bgp-communities=0:6666
 
add action=accept chain=rtbh-out prefix-length=32 scope=166 set-bgp-communities=0:6666

Текущая версия на 04:25, 2 апреля 2018

REMOTELY TRIGGERED BLACK HOLE

d/RTBH

s/RTBH - community-метод

s/RTBH - Next-Hop-метод

Все роутеры в одной AS. Добавляем триггер-маршрут на один роутер (триггер) - маршрут прилетает на все остальные.

D/RTBH - без URPF

S/RTBH - с URPF-loose на внешнем интерфейсе (не работает RTBH на Connected-сеть)

boot system flash:c2801-adventerprisek9-mz.124-25d.bin

interface Null0
 no ip unreachables
!
interface FastEthernet0/0
 ip address 212.192.88.150 255.255.255.0
 ip verify unicast source reachable-via any allow-default ! НЕ РАБОТАЕТ на Directly-Attached host
!
interface FastEthernet0/1
 ip address 10.111.0.1 255.255.255.0
 ip verify unicast source reachable-via rx
!
        
router bgp 65150
 redistribute static route-map RTBH-trigger
 neighbor 212.192.88.151 remote-as 65150
 neighbor 212.192.88.152 remote-as 65150
!         
ip route 192.0.2.1 255.255.255.255 Null0    ! RTBH-next-hop
ip route 0.0.0.0 0.0.0.0 212.192.88.1
!         
route-map RTBH-trigger permit 10
 match tag 6666
 set local-preference 200
 set origin igp
 set community no-export
 set ip next-hop 192.0.2.1
!
route-map RTBH-trigger deny 20

Trigger:

ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666

d/RTBH - scope-to-community trigger

Частичный конфиг.

Триггер - добавить /32 маршрут типа blackhole c route scope == 166.

# by RouterOS 6.41.3
/interface bridge
add fast-forward=no name=bridge-null
# example trigger
/ip route
add distance=1 dst-address=8.8.8.8/32 type=blackhole
# example peer with filters
/routing bgp peer
add in-filter=rtbh-in name=peer1 out-filter=rtbh-out remote-address=212.192.88.154 remote-as=65015 ttl=default
# фильтр на вход - по коммьюнити 65000:6666 - принимать маршрут и ставить тип blackhole
/routing filter
add action=accept bgp-communities=65000:6666 chain=rtbh-in prefix-length=32 set-type=blackhole
# на выход - по route scope == 166 ставить коммьюнити 0:6666
add action=accept chain=rtbh-out prefix-length=32 scope=166 set-bgp-communities=0:6666