Сервера, розміщені в мережі адмініструється мною AS, часто піддаються різним DDOS атак. Метою атакуючих можуть бути, як окремі ресурси розміщені на серверах, самі сервера і вся площадка в цілому. З кожним місяцем кількість, складність і потужність атак зростає. Атаки в 300-400Мб / с виросли до 70-80Гб / с. У цій ситуації не все атаки можуть бути відображені тюнінгом серверів, а великі атаки можуть перешкодити роботі і всього майданчика в цілому. Боротися з такими атаками необхідно силами всієї команди хостингу. Мережеві адміністратори також повинні мати засоби боротьби з такими атаками на мережевому рівні. Про таких засобах і піде мова під катом.
У статті буде розглядатися основний метод захисту від DDOS атак засобами динамічної маршрутизації: - метод Blackhole ( «чорної діри»).
Цей метод дозволяє повністю припинити потік трафіку на атакується сервер і зняти навантаження з каналів AS і провайдера. В умовах надання послуг віртуального хостингу високої доступності цей метод є крайнім заходом, але залишається ефективним засобом для боротьби з великими DDOS атаками, коли іншими засобами впоратися не вдається.
BGP blackhole
практика BGP blackhole
Налаштування провайдерской боку
Спочатку необхідно створити певний community для позначення префіксів встановлених в blackhole:
де 1 - це номер AS провайдера (дозволяє community залишатися унікальним навіть при передачі по мережах інших ISP), 666 - унікальний номер community (може бути будь-яким, але рекомендується використовувати 666). Далі створюємо Policy для імпорту префіксів від нашого бенкету, вибираємо з них префікси з community blackhole і загортаємо їх у Null (в Juniper це discard):
Призначаємо цей policy-statement на eBGP сесію для імпортованих (отримані) префіксів від клієнтів.
Налаштування клієнтської сторони
Аналогічним чином, перш за все, створюється community для позначення префіксів встановлених в blackhole:
Значення ті ж самі як і на стороні провайдера, з тією лише різницею, що номер AS повинен відповідати AS провайдера, тобто, хто видає community той і встановлює його позначення. Далі створюємо policy-statement для додавання community до префіксам які треба передавати маршрутизатора ISP.