RTBH фильтрация для защиты от DDoS — различия между версиями
Moiseevvi (обсуждение | вклад) |
Moiseevvi (обсуждение | вклад) (→d/RTBH - scope-to-community trigger) |
||
(не показаны 2 промежуточные версии этого же участника) | |||
Строка 2: | Строка 2: | ||
===d/RTBH=== | ===d/RTBH=== | ||
− | ===s/RTBH=== | + | ===s/RTBH - community-метод === |
+ | ===s/RTBH - Next-Hop-метод === | ||
Строка 50: | Строка 51: | ||
ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666 | ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666 | ||
− | [[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]] | + | ===d/RTBH - scope-to-community trigger === |
+ | Частичный конфиг. | ||
+ | |||
+ | Триггер - добавить /32 маршрут типа blackhole c route scope == 166. | ||
+ | |||
+ | <PRE> | ||
+ | # by RouterOS 6.41.3 | ||
+ | /interface bridge | ||
+ | add fast-forward=no name=bridge-null | ||
+ | # example trigger | ||
+ | /ip route | ||
+ | add distance=1 dst-address=8.8.8.8/32 type=blackhole | ||
+ | # example peer with filters | ||
+ | /routing bgp peer | ||
+ | add in-filter=rtbh-in name=peer1 out-filter=rtbh-out remote-address=212.192.88.154 remote-as=65015 ttl=default | ||
+ | # фильтр на вход - по коммьюнити 65000:6666 - принимать маршрут и ставить тип blackhole | ||
+ | /routing filter | ||
+ | add action=accept bgp-communities=65000:6666 chain=rtbh-in prefix-length=32 set-type=blackhole | ||
+ | # на выход - по route scope == 166 ставить коммьюнити 0:6666 | ||
+ | add action=accept chain=rtbh-out prefix-length=32 scope=166 set-bgp-communities=0:6666 | ||
+ | </PRE> | ||
+ | |||
+ | [[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]] [[категория:MikroTik]] |
Текущая версия на 04:25, 2 апреля 2018
Содержание
[убрать]REMOTELY TRIGGERED BLACK HOLE
d/RTBH
s/RTBH - community-метод
s/RTBH - Next-Hop-метод
Все роутеры в одной AS. Добавляем триггер-маршрут на один роутер (триггер) - маршрут прилетает на все остальные.
D/RTBH - без URPF
S/RTBH - с URPF-loose на внешнем интерфейсе (не работает RTBH на Connected-сеть)
boot system flash:c2801-adventerprisek9-mz.124-25d.bin
interface Null0
no ip unreachables
!
interface FastEthernet0/0
ip address 212.192.88.150 255.255.255.0
ip verify unicast source reachable-via any allow-default ! НЕ РАБОТАЕТ на Directly-Attached host
!
interface FastEthernet0/1
ip address 10.111.0.1 255.255.255.0
ip verify unicast source reachable-via rx
!
router bgp 65150
redistribute static route-map RTBH-trigger
neighbor 212.192.88.151 remote-as 65150
neighbor 212.192.88.152 remote-as 65150
!
ip route 192.0.2.1 255.255.255.255 Null0 ! RTBH-next-hop
ip route 0.0.0.0 0.0.0.0 212.192.88.1
!
route-map RTBH-trigger permit 10
match tag 6666
set local-preference 200
set origin igp
set community no-export
set ip next-hop 192.0.2.1
!
route-map RTBH-trigger deny 20
Trigger:
ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666
d/RTBH - scope-to-community trigger
Частичный конфиг.
Триггер - добавить /32 маршрут типа blackhole c route scope == 166.
# by RouterOS 6.41.3 /interface bridge add fast-forward=no name=bridge-null # example trigger /ip route add distance=1 dst-address=8.8.8.8/32 type=blackhole # example peer with filters /routing bgp peer add in-filter=rtbh-in name=peer1 out-filter=rtbh-out remote-address=212.192.88.154 remote-as=65015 ttl=default # фильтр на вход - по коммьюнити 65000:6666 - принимать маршрут и ставить тип blackhole /routing filter add action=accept bgp-communities=65000:6666 chain=rtbh-in prefix-length=32 set-type=blackhole # на выход - по route scope == 166 ставить коммьюнити 0:6666 add action=accept chain=rtbh-out prefix-length=32 scope=166 set-bgp-communities=0:6666