RTBH фильтрация для защиты от DDoS — различия между версиями
Moiseevvi (обсуждение | вклад) (→REMOTELY TRIGGERED BLACK HOLE) |
Moiseevvi (обсуждение | вклад) |
||
| Строка 1: | Строка 1: | ||
| − | = REMOTELY TRIGGERED BLACK HOLE = | + | == REMOTELY TRIGGERED BLACK HOLE == |
| − | d/RTBH | + | ===d/RTBH=== |
| − | s/RTBH | + | ===s/RTBH=== |
| Строка 47: | Строка 47: | ||
Trigger: | Trigger: | ||
| + | |||
ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666 | ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666 | ||
[[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]] | [[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]] | ||
Версия 04:39, 28 марта 2017
REMOTELY TRIGGERED BLACK HOLE
d/RTBH
s/RTBH
Все роутеры в одной AS. Добавляем триггер-маршрут на один роутер (триггер) - маршрут прилетает на все остальные.
D/RTBH - без URPF
S/RTBH - с URPF-loose на внешнем интерфейсе (не работает RTBH на Connected-сеть)
boot system flash:c2801-adventerprisek9-mz.124-25d.bin
interface Null0
no ip unreachables
!
interface FastEthernet0/0
ip address 212.192.88.150 255.255.255.0
ip verify unicast source reachable-via any allow-default ! НЕ РАБОТАЕТ на Directly-Attached host
!
interface FastEthernet0/1
ip address 10.111.0.1 255.255.255.0
ip verify unicast source reachable-via rx
!
router bgp 65150
redistribute static route-map RTBH-trigger
neighbor 212.192.88.151 remote-as 65150
neighbor 212.192.88.152 remote-as 65150
!
ip route 192.0.2.1 255.255.255.255 Null0 ! RTBH-next-hop
ip route 0.0.0.0 0.0.0.0 212.192.88.1
!
route-map RTBH-trigger permit 10
match tag 6666
set local-preference 200
set origin igp
set community no-export
set ip next-hop 192.0.2.1
!
route-map RTBH-trigger deny 20
Trigger:
ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666
