दूरस्थ AS से उत्पन्न DDoS हमले से बचाव के लिए BGP का उपयोग करें

16

मेरे पास बीजीपी और इस कॉन्फ़िगरेशन को प्राप्त करने के तरीके के बारे में एक प्रश्न है।

मेरा एंटरप्राइज़ कोर राउटर एक ISP (सिंगल होमेड) से जुड़ा है। इस राउटर ने पहले से ही बीजीपी अपडेट में आईएसपी के लिए विशिष्ट सार्वजनिक आईपी उपसर्गों का आदान-प्रदान किया है। अब हम कहते हैं कि AS में कई हॉप्स हैं जो DDoS हमले के साथ मेरे स्थानीय AS को भर रहा है। मेरे स्थानीय AS में वेब सर्वर को लक्षित करने वाले AS में कई नेटवर्क हैं।

हम बीजीपी का उपयोग करके अपने राउटर पर इस ट्रैफ़िक को कैसे रोक सकते हैं?

आपकी प्रतिक्रिया की सराहना !! :)

routing bgp

— हरीश रेड्डी
स्रोत

2

आपने इस ट्रैफ़िक के स्रोत को कैसे स्थापित किया? यदि आप केवल स्रोत IP पते देख रहे थे, तो वे खराब हो सकते हैं। पैकेटों की बाढ़ एक ही एएस के भीतर सभी स्पूफिंग स्रोत पते को दिखाती है, जो कि आपको दिखाई देगी, अगर प्रतिबिंब पर हमला हो रहा है।

— कास्परड सिप

क्या किसी उत्तर ने आपकी मदद की? यदि हां, तो आपको उत्तर स्वीकार करना चाहिए ताकि प्रश्न हमेशा के लिए पॉपिंग न हो जाए, उत्तर की तलाश में है। वैकल्पिक रूप से, आप अपना स्वयं का उत्तर प्रदान कर सकते हैं और स्वीकार कर सकते हैं।

— रॉन Maupin

14

आप बीजीपी के साथ दो चीजें कर सकते हैं:

आरटीबीएच - रिमोटली-ट्रिगर ब्लैक होल

पहला विकल्प कट्टरपंथी एक है: आईपी पर हमला करने के लिए ब्लैकहोल (ट्रैफ़िक रोकें)। नकारात्मक पक्ष: लक्षित किया जा रहा IP अब उपलब्ध नहीं है। लाभ: आपके नेटवर्क का शेष भाग ऊपर रहता है। कैसे काम करते हैं और इसे कैसे करते हैं, इस पर पैकेटलाइफ की अच्छी व्याख्या है। दूसरा विकल्प पहले एक पर बनता है:

स्रोत-आधारित RTBH

RTBH का उपयोग विशिष्ट IP से आने वाले ट्रैफ़िक को ब्लॉक करने के लिए (कुछ कॉन्फ़िगरेशन में) किया जा सकता है (एक वास्तविक DDoS जो कि हज़ारों IP से ट्रैफ़िक आने में बहुत मदद नहीं करेगा)। फिर, Packetlife एक स्पष्टीकरण है।

आपके मामले में, आप आरएडीबी जैसे रूटिंग डेटाबेस से एएस के लिए सभी उपसर्ग प्राप्त कर सकते हैं और इन्हें स्रोत-आधारित आरटीबीएच के साथ ब्लॉक कर सकते हैं। ट्रैफ़िक अभी भी सीमा पर आपके नेटवर्क को हिट करेगा।

जब आप "सरल" आरटीबीएच का उपयोग करते हैं तो लाभ यह होता है कि आप अपने आरटीबीएच मार्गों को अपने अपस्ट्रीम आईएसपी (यदि वे इसका समर्थन करते हैं) को भेज सकते हैं जो तब अपने नेटवर्क में ट्रैफ़िक को पहले ही रोक सकते थे, इसलिए आपको इसे संभालने की आवश्यकता नहीं है।

— सेबस्टियन विंसिंगर
स्रोत

Packetlife द्वारा वर्णित विधि सहायक है, लेकिन यह उस परिदृश्य में किसी काम का नहीं होगा जहां आपके अपलिंक को हमले के ट्रैफ़िक द्वारा संतृप्त किया जाता है। मैंने इस मुद्दे को हल करने के लिए अपस्ट्रीम ब्लैकहोल समुदायों का उपयोग करने पर एक उत्तर लिखा।

— इलियट बी।

2

यह मेरे अंतिम वाक्य में है: "जब आप" सरल "आरटीबीएच का उपयोग करते हैं तो फायदा यह होता है कि आप इन आरटीबीएच मार्गों को अपने अपस्ट्रीम आईएसपी (यदि वे इसका समर्थन करते हैं) को भेज सकते हैं जो तब अपने नेटवर्क में ट्रैफ़िक को रोक सकते हैं, तो आपके पास पहले से नहीं है इसे संभालने के लिए। "

— सेबेस्टियन वेसिंगर

मैंने वह देखा, लेकिन मैं ग्राहक-ट्रिगर ब्लैकहोल विधि का विस्तार करना चाहता था और इंगित करता था कि "[नहीं] इसे संभालने के लिए" का अर्थ है कि ब्लैकहोल अन्यथा प्रभावी नहीं होगा। आपके उत्तर पर कोई दस्तक देने का इरादा नहीं है, बस अधिक जानकारी प्रदान करें :)

— इलियट बी।

7

Packetlife के माध्यम से @Sebastian द्वारा वर्णित RTBH विधि सहायक है, लेकिन यह तरीका केवल तभी काम करेगा जब आपका अपलिंक अटैक ट्रैफिक से संतृप्त न हो । यदि आपका अपलिंक संतृप्त है, तो ब्लैकहोल को एक बिंदु पर लागू किया जाना चाहिए, इससे पहले कि हमला ट्रैफ़िक आपके नेटवर्क तक पहुंच जाए।

आप इसे अपस्ट्रीम ब्लैकहोल समुदायों के साथ पूरा कर सकते हैं।

तूफान इलेक्ट्रिक बीजीपी समुदाय के साथ ग्राहक-ट्रिगर ब्लैकहोलिंग का एक सरल विवरण / उदाहरण प्रस्तुत करता है:

हमला शुरू

ग्राहक हमले के तहत आईपी या आईपी रेंज की पहचान करता है

ग्राहक स्थिर आईपी या आईपी रेंज को Null0 तक ले जाता है और एक रूट मैप के साथ संबंधित उपसर्ग की एक घोषणा जोड़ता है जो इसे 6939: 666 के साथ टैग करता है।

सिस्को कॉन्फ़िगरेशन उदाहरण (जहाँ XXXX IP पर हमला किया जा रहा है):

conf t
ip route X.X.X.X 255.255.255.255 Null0
router bgp YourAS
network X.X.X.X mask 255.255.255.255 route-map blackhole
route-map blackhole permit 10
set community 6939:666
end

ध्यान दें कि 6939:666तूफान इलेक्ट्रिक के लिए ब्लैकहोल समुदाय विशिष्ट है। आप इस मूल्य को अपने अपस्ट्रीम प्रदाता के ब्लैकहोल समुदाय के साथ मेल करने के लिए संशोधित करेंगे।

इसे कॉन्फ़िगर करने के कई तरीके हैं। मेरे ब्रोकेड गियर पर, मैं निम्नलिखित विन्यास का उपयोग करता हूं:

router bgp
!
redistribute static route-map blackhole
!
!
route-map blackhole permit  5
 match tag  66
 set community  55555:666

55555:666आपके अपस्ट्रीम प्रदाता का ब्लैकहोल समुदाय कहां है। एक अपस्ट्रीम ब्लैकहोल को फिर एक साधारण कमांड के साथ लागू किया जा सकता है:

ip route 123.123.123.123 255.255.255.255 null0 tag 66

— इलियट बी।
स्रोत

4

बीजीपी के नजरिए से, ऐसा बहुत कुछ नहीं है जो आप कर सकते हैं। आप अपने उपसर्ग का विज्ञापन करना बंद कर सकते हैं लेकिन तब आप केवल DoS हमले को पूरा कर रहे हैं क्योंकि कोई भी आपकी सेवा तक नहीं पहुंच पाएगा।

यदि आपके पास कई उपसर्ग हैं तो आप फिर से कर सकते हैं लेकिन संभावना है कि हमला नए उपसर्ग के रूप में अच्छी तरह से आगे बढ़ेगा।

आपको अपने अपस्ट्रीम के साथ काम करने की आवश्यकता है। क्या उनके पास स्क्रबिंग सेवा है? यदि उनके पास Arbor Peakflow जैसी प्रणाली है, तो वे आपके नेटवर्क में प्रवेश करने से पहले ट्रैफ़िक को साफ़ कर सकते हैं और उसे साफ़ कर सकते हैं। ऐसी सेवाएं अक्सर बहुत महंगी होती हैं।

ऐसे अन्य विकल्प भी हैं जैसे Cloudflare और इसी तरह की कंपनियां जहां आप BGP को उस कंपनी के लिए GRE सुरंग के माध्यम से सेट करते हैं और आपका ट्रैफ़िक उनके "क्लाउड" द्वारा संभाला जाता है जो आपके स्थानीय उपकरणों की तुलना में बहुत अधिक ट्रैफ़िक को संभाल सकता है।

— डैनियल डिब
स्रोत

0

मैं CloudFlare के लिए काम करता हूं, मैं पिछले कुछ महीनों में डीडीओएस हमलों को कम करने के बारे में विकसित किए गए कुछ ज्ञान को साझा करना चाहता हूं।

पहले तो; अनुप्रयोग परत DDOS हमलों को कम करने के लिए बहुत से लोग नेटवर्क स्तर के उपायों का सहारा लेते हैं। बीजीपी ब्लैकहोलिंग के लिए गोता लगाने से पहले, विचार करें कि क्या यह कुछ दर सीमित है या अनुप्रयोग परत संरक्षण से निपट सकता है। ने कहा कि; अब बहुत बड़ी क्षमता वाले डीडीओएस हमलों को लॉन्च करना बहुत सस्ता है (यह देखते हुए कि कितने ओपन डीएनएस रिकर्सर्स आसपास हैं, और वे हमलों को कैसे बढ़ा सकते हैं)।

जैसा कि इलियट ने अपने उत्तर में वर्णित किया है, ब्लैकहोल ट्रैफ़िक के लिए बीजीपी कम्युनिटीज़ का उपयोग करना यदि आपका नेटवर्क छोटा है तो यह अच्छी तरह से काम कर सकता है; यह तंत्र RFC 3882 में प्रलेखित है । हालांकि, हमारी तरह, यदि आप इसके बजाय ब्लैकहोल (यानी आप डीडीओएस हमले के आंकड़े एकत्र करना चाहते हैं ) के बजाय हमले के यातायात को अवशोषित करना चाहते हैं , तो संपार्श्विक क्षति से सावधान रहें, जिससे मध्यस्थ नेटवर्क प्रदाता समाप्त हो जाते हैं। आप हमलों को शुरू करने वाले नेटवर्क के आईएसपी के साथ सीधे सहकर्मी द्वारा संपार्श्विक क्षति को कम कर सकते हैं। ऐसा करने से आपके पास हमलावर से गंतव्य तक का सबसे छोटा रास्ता है। इसके अतिरिक्त आप एक एनास्टैस्ट नेटवर्क डिज़ाइन को लागू कर सकते हैं , इसका प्रभावी रूप से मतलब होगा कि एक आईपी पता कई डेटासेंटर को हिट करता है (जो भी निकटतम है)।

स्पष्ट रूप से यह संभव नहीं है कि हर कंपनी के लिए एनीकास्ट और पियरिंग करने के लिए बुनियादी ढाँचा हो; यही कारण है कि कारोबार तेजी से खराब सेवाओं को हटाने के लिए क्लाउड सेवाओं की ओर रुख कर रहे हैं, इससे पहले कि वे अपने डेटासेंटर तक पहुंचें। स्वाभाविक रूप से CloudFlare ऐसी ही एक सेवा है।

— mjsa
स्रोत

-1

यदि आपके द्वारा एकत्र किए गए सभी सबूत एक विशेष एएस के स्रोत आईपी पते के साथ पैकेट की बाढ़ है, तो आप गलत निष्कर्ष पर कूद गए हैं। एक अधिक संभावित स्पष्टीकरण यह होगा कि उन स्रोत आईपी खराब हो गए हैं।

एक प्रतिबिंब / प्रवर्धन हमले में पीड़ित के स्रोत आईपी पते को खराब करने वाले बहुत सारे पैकेट भेजना शामिल है। यदि यह वास्तव में क्या हो रहा है, और आपके सर्वर में सर्वर हैं, जो एक हमले को बढ़ा सकते हैं, तो आप जिस नेटवर्क पर हमले का आरोप लगा रहे हैं वह वास्तव में पीड़ित है, और आप हमलावर का समर्थन कर रहे हैं।

ऐसी स्थिति में समाधान किसी भी प्रकार की ट्रैफिक इंजीनियरिंग को लागू करने के लिए नहीं है, बल्कि अपने सर्वरों को ऐसे कॉन्फ़िगर करने के लिए है कि उनका उपयोग एम्पलीफायर हमले में नहीं किया जा सकता है। यह कैसे करना है वास्तव में एक नेटवर्क इंजीनियरिंग सवाल नहीं है।

यह निश्चित रूप से संभव है, कि सभी पैकेट एक एएस से उत्पन्न हो रहे हैं। आक्रामक एएस से सहयोग के साथ, आप पुष्टि प्राप्त कर सकते हैं, कि पैकेट वास्तव में उनके एएस से उत्पन्न होते हैं। हालांकि सहयोग के उस स्तर के साथ, आप स्रोत पर हमले को अवरुद्ध भी कर सकते हैं।

अगर हम मानते हैं कि आपने कुछ विधि के माध्यम से सोचा है कि मैंने पैकेट की पुष्टि के बारे में नहीं सोचा है कि पैकेट वास्तव में आपके विचार से एएस से उत्पन्न हो रहा है, और आप इसे स्रोत पर अवरुद्ध नहीं कर सकते हैं और इसके बजाय इसे बीजीपी के माध्यम से ब्लॉक करना चाहते हैं, तो मैं इसे प्राप्त करने के लिए कुछ जोखिम भरे तरीके के बारे में पढ़ा है। विचार यह है कि आप जिस मार्ग की घोषणा कर रहे हैं, उसके लिए आप एक AS पथ को प्राथमिकता देते हैं। इस पूर्व निर्धारित AS पथ में आप उन पैकेटों के स्रोत के AS नंबर को शामिल करते हैं।

जब घोषणा आक्रामक AS में BGP राउटर तक पहुंचती है, तो वे एक लूप का पता लगाने और घोषणा को छोड़ने जा रहे हैं। इस बीच बाकी दुनिया एक लूप नहीं देखेगी और घोषणा को स्वीकार करेगी।

यही सिद्धांत है। यह वास्तव में व्यवहार में काम करेगा या नहीं यह कुछ अलग कारकों पर निर्भर करता है। उदाहरण के लिए यह वास्तव में एएस नंबर का उपयोग करने पर निर्भर करता है जिससे पैकेट की उत्पत्ति होती है, जो उन आईपी पते की घोषणा करने वाले एएस नंबर से अलग हो सकता है। (ऐसा अंतर वैध या स्पूफिंग के कारण हो सकता है।)

यह आपके अपस्ट्रीम पर भी निर्भर करता है कि यदि वे मार्ग को संदिग्ध मानते हैं तो मार्ग को फ़िल्टर न करें। इसके अलावा नेटवर्क आपसे और भी दूर हो सकता है उदाहरण के लिए आपके मार्ग को भी छोड़ सकता है अगर उन्हें भी आक्रामक एएस के साथ बुरे अनुभव हुए हैं और उन्होंने वहां से सभी मार्गों को छोड़ने का फैसला किया है।

यह आपकी कॉल है कि क्या यह दृष्टिकोण जोखिम के लायक है।

(मैं इस दृष्टिकोण के लिए स्रोत से जुड़ा होता, अगर मुझे फिर से मिल जाता।)

— kasperd
स्रोत

2

जो कि बहुत ही खतरनाक काम है। आप अपने रास्ते में एक और ए एस को खराब कर रहे हैं जो आपके पास नहीं है। इसके अलावा यदि अन्य लोग उस एएस से मार्ग छोड़ते हैं तो वे आपके मार्गों को भी छोड़ देंगे।

— सेबस्टियन वेसिंगर

1

@ सेबास्टियन सच, यह जोखिम भी मौजूद है। लेकिन अगर विकल्प एक नेटवर्क है जो यातायात से भरा होने के कारण अप्राप्य है, तो यह जोखिम के लायक हो सकता है।

— कास्परड सिप

यह एक बहुत बुरा विचार लगता है, मैंने इसके बारे में पहले कभी नहीं सुना है। यह एक बॉटनेट नोड होने पर पूरे ASN के लिए कनेक्टिविटी को तोड़ देता है, जो कि आप बड़े क्लाउडप्रोवाइडर्स के लिए नहीं चाहते हैं। इसके अलावा, यह DDoS'es के साथ बुरी तरह से तराजू है जहां हजारों बॉटनेट नोड आपके नेटवर्क में कुछ पर हमला कर रहे हैं।

— टुन विंक

1

@TeunVink यह निश्चित रूप से एक विशिष्ट DDoS हमले पर लागू नहीं है। लेकिन ओपी एक विशिष्ट DDoS हमले के बारे में नहीं पूछ रहा है। वह एक ऐसे हमले के बारे में पूछ रहा है, जहां सभी ट्रैफ़िक की उत्पत्ति एक एएस से होती है। एक एएस से संपर्क तोड़ना स्वीकार्य होगा, यदि विकल्प पूरे इंटरनेट से संपर्क तोड़ने वाला हमला था।

— कास्परड सिप

-2

आप अपने स्थानीय नेटवर्क से उनके AS को ब्लैकहोल कर सकते हैं, इसलिए आपका बीजीपी राउटर उनके द्वारा घोषित किसी भी उपसर्ग के लिए अशक्त मार्ग बनाता है।

समर्थक:

आपका AS उनके लिए मृत हो जाएगा, जो उनका लक्ष्य है, जबकि आप अभी भी सामान्य रूप से हर किसी के साथ डेटा का आदान-प्रदान करते हैं।
आपके स्थानीय इनग्रेस फ़िल्टरिंग स्वचालित रूप से आने वाले पैकेट को उस AS से छोड़ देगा

कॉन्ट्रा:

वे आपके राउटर पर ब्लैकहोल मार्ग बना सकते हैं, इसलिए अपने सबसे महत्वपूर्ण मार्गों को अक्षुण्ण बनाए रखने के लिए उचित नियम रखना सुनिश्चित करें

— साइमन रिक्टर
स्रोत

1

पूरे AS को ब्लैकहोल करने का मतलब है कि आप अपने आप को समाप्त कर रहे हैं। उस एएस में कोई और आप तक नहीं पहुंच सकता। आपके ग्राहक उस AS में भी हो सकते हैं।

— रॉन ट्रंक

1

मैं यहाँ एक शत्रुतापूर्ण मान रहा हूँ, यदि आप उन्हें पूरी तरह से अवरुद्ध करते हैं, तो मूल्य की सूचना खो जाती है। कुछ "बुलेटप्रूफ होस्टिंग" सेवाएं हैं जो मैं इस श्रेणी में दर्ज करूँगा।

— साइमन रिक्टर

1

अधिकांश ASN पूरी तरह से शत्रुतापूर्ण या मैत्रीपूर्ण नहीं होते हैं, बस कुछ मेजबान होते हैं जो एक बोटनेट के हिस्से होते हैं। इसके अलावा, यह दृष्टिकोण आपके अपस्ट्रीम लिंक को बाढ़ से बचाता नहीं है, इसलिए यह वॉल्यूम आधारित DDoS- हमलों को रोकने में आपकी मदद नहीं करेगा।

— टुन विंक