RTBH фильтрация для защиты от DDoS — различия между версиями

Материал из wiki
Перейти к: навигация, поиск
(REMOTELY TRIGGERED BLACK HOLE)
Строка 1: Строка 1:
= REMOTELY TRIGGERED BLACK HOLE =
+
== REMOTELY TRIGGERED BLACK HOLE ==
d/RTBH
+
===d/RTBH===
  
s/RTBH
+
===s/RTBH===
  
  
Строка 47: Строка 47:
  
 
Trigger:
 
Trigger:
 +
 
ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666
 
ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666
  
 
[[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]]
 
[[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]]

Версия 04:39, 28 марта 2017

REMOTELY TRIGGERED BLACK HOLE

d/RTBH

s/RTBH

Все роутеры в одной AS. Добавляем триггер-маршрут на один роутер (триггер) - маршрут прилетает на все остальные.

D/RTBH - без URPF

S/RTBH - с URPF-loose на внешнем интерфейсе (не работает RTBH на Connected-сеть)

boot system flash:c2801-adventerprisek9-mz.124-25d.bin

interface Null0
 no ip unreachables
!
interface FastEthernet0/0
 ip address 212.192.88.150 255.255.255.0
 ip verify unicast source reachable-via any allow-default ! НЕ РАБОТАЕТ на Directly-Attached host
!
interface FastEthernet0/1
 ip address 10.111.0.1 255.255.255.0
 ip verify unicast source reachable-via rx
!
        
router bgp 65150
 redistribute static route-map RTBH-trigger
 neighbor 212.192.88.151 remote-as 65150
 neighbor 212.192.88.152 remote-as 65150
!         
ip route 192.0.2.1 255.255.255.255 Null0    ! RTBH-next-hop
ip route 0.0.0.0 0.0.0.0 212.192.88.1
!         
route-map RTBH-trigger permit 10
 match tag 6666
 set local-preference 200
 set origin igp
 set community no-export
 set ip next-hop 192.0.2.1
!
route-map RTBH-trigger deny 20

Trigger:

ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666