使用BGP防御源自远程AS的DDoS攻击

#1 楼

使用BGP可以做两件事：
RTBH-远程触发的黑洞
第一种选择是根本的选择：IP受到攻击的黑洞（阻止流量）。缺点：目标IP不再可用。好处：您的网络其余部分保持正常运行。 Packetlife对它如何工作以及如何做有很好的解释。第二个选项建立在第一个选项的基础上：
基于源的RTBH
RTBH也可以（在某些配置中）用于阻止来自特定IP的流量（在真正的DDoS中，这并没有太大帮助）。流量将来自数千个IP）。同样，Packetlife也有一个解释。
您可以从RADB这样的路由数据库中获取AS的所有前缀，并使用基于源的RTBH阻止它们。但是，流量仍然会在边界上打到您的网络。网络已经存在，因此您不必处理它。

#2 楼

@Sebastian通过Packetlife描述的RTBH方法很有用，但是该方法仅在上行链路没有被攻击流量饱和时才有效。如果您的上行链路已饱和，则必须在攻击流量到达您的网络之前的某个时间点实施黑洞。

您可以使用上游黑洞社区来做到这一点。

飓风电气提供了有关BGP社区客户触发的黑洞的简单解释/示例：



攻击开始
客户标识受攻击的ip或ip范围
客户静态将ip或ip范围路由到Null0并添加
公告的相应前缀，并带有一个路由映射，该路由映射将其标记为6939：666。思科配置示例（其中XXXX是被攻击的ip）：

conf t
ip route X.X.X.X 255.255.255.255 Null0
router bgp YourAS
network X.X.X.X mask 255.255.255.255 route-map blackhole
route-map blackhole permit 10
set community 6939:666
end

请注意，6939:666是飓风电气特有的黑洞社区。您可以修改此值以与上游提供程序的blackhole社区相对应。

当然，有多种方法可以配置它。在我的Brocade设备上，我使用以下配置：

router bgp
!
redistribute static route-map blackhole
!
!
route-map blackhole permit  5
 match tag  66
 set community  55555:666

55555:666是上游提供商的黑洞社区。然后可以使用简单的命令应用上游黑洞：

ip route 123.123.123.123 255.255.255.255 null0 tag 66

#3 楼

从BGP的角度来看，您无能为力。您可以停止发布前缀，但由于没有人可以访问您的服务，因此您即将完成DoS攻击。

如果您有多个前缀，则可以重新编号，但攻击可能会转移到新的前缀前缀也是如此。

您需要做的是在上游工作。他们有擦洗服务吗？如果他们拥有Arbor Peakflow之类的系统，则可以在流量进入网络之前清除流量并对其进行清理。这样的服务通常非常昂贵。比本地设备的流量大得多。

#4 楼

我在CloudFlare工作，我想分享一些我在来这里的最近几个月中在缓解DDOS攻击方面获得的一些知识。

首先；许多人诉诸网络级别的措施来减轻应用程序层DDOS攻击。在转向BGP Blackholing之前，请考虑是否可以处理速率限制或应用程序层保护。那说;现在发出非常大容量的DDOS攻击非常便宜（考虑到周围有多少个Open DNS递归，以及它们如何放大攻击）。

如Elliot在他的回答中所述，使用BGP社区来黑洞通信如果您的网络较小，可以很好地工作；这种机制记录在RFC 3882中。但是，像我们一样，如果您希望代替黑洞来吸收攻击流量（即，您希望收集DDOS攻击数据），请当心附带损害，中间网络提供商最终会变得拥挤。您可以通过直接与发起攻击的网络的ISP对等来减轻附带损害。这样，您拥有了从攻击者到目的地的最短路径。此外，您还可以实施Anycast网络设计，这将有效地意味着一个IP地址访问多个数据中心（取决于哪个数据中心是最接近的）。

显然，并非每个公司都拥有可以进行Anycast和凝视这就是为什么企业越来越多地转向云服务以在流量到达其数据中心之前消除其流量的原因。自然，CloudFlare就是这样一种服务。

#5 楼

如果您收集的所有证据都是来自一个特定AS的源IP地址的大量数据包，则您可能会得出错误的结论。

反射/放大攻击涉及发送大量欺骗受害人源IP地址的数据包。如果实际上这是正在发生的事情，并且您的网络中有可以放大攻击的服务器，则您指控攻击的网络实际上是受害者，并且您正在帮助攻击者。

在这种情况下，解决方案不是应用任何类型的流量工程，而是配置服务器以使其不能在放大攻击中使用。如何做到这一点并不是一个真正的网络工程问题。

所有包都可能源自一个AS。通过与有问题的AS的合作，您可以确认数据包确​​实来自其AS。但是，通过这种级别的合作，您也可以从源头上阻止攻击。

如果我们假设您已经通过某种方法获得了确认，则我并没有考虑过确认数据包确​​实来自您所认为的AS，并且您无法从源头上将其阻止，而是想通过BGP来阻止它，那么我已经读到了实现这一点的某种风险方法。这个想法是您在要声明的路由之前添加一条AS路径。在此前缀的AS路径中，包括这些数据包的源的AS号。

当公告到达有问题的AS中的BGP路由器时，它们将检测到环路并丢弃公告。同时，世界其他地方不会看到循环并接受该公告。

那是理论。它实际上是否将在实践中起作用取决于几个不同的因素。例如，这取决于实际使用数据包所来自的AS号，这可能与宣布这些IP地址的AS号不同。 （这种差异可能是合法的，也可能是由于欺骗造成的。）

这还取决于上游用户是否发现AS路径可疑而不对其进行过滤。此外，距离您较远的网络也可能会放弃您的路由，例如，如果他们也对违规的AS有不好的经验，并决定从那里删除所有路由。

这是否值得您打电话风险。

（如果我可以再次找到的话，我会链接到这种方法的来源。）

#6 楼

您可以从本地网络对它们的AS进行黑洞处理，因此BGP路由器会为它们声明的任何前缀创建空路由。对他们来说，这是他们的目标，同时您仍然可以与其他人正常交换数据。
您的本地入口过滤将自动丢弃来自该AS的传入数据包。

相反：


它们可以在路由器上创建黑洞路由，因此请确保制定适当的规则以保持最重要的路由完整