信而泰BGP Flow Spec防攻擊測試解決方案

                                                  光纖在線編輯部  2022-12-23 17:18:12  文章來源:本站消息  版權所有,未經許可嚴禁轉載.

                                                  導讀:本文的主要內容也是說明Renix對于BGP Flow Spec測試的支持度以及相關測試操作。

                                                  12/23/2022,光纖在線訊,隨著互聯網行業的迅猛發展,越來越多的業務都從線下走到了線上;ヂ摼W在給大家生活帶來便利的同時也面臨著防護自身安全的各種挑戰。

                                                  DoS/DDoS攻擊是對網絡安全的重大威脅,攻擊者通過多個控制端控制成千上萬的攻擊設備對同一個目的地址、網段或服務器同時發起流量攻擊,導致網絡擁塞或服務器CPU占用過高無法提供服務。

                                                  現在的路由器除了具備流量轉發的功能外,還可以通過BGP Flow Specification對流量進行分類、限速、過濾和重定向等操作,這對防御DoS/DDoS攻擊非常重要。

                                                  目前,Renix軟件平臺支持BGP Flow Spec的相關功能測試。本文的主要內容也是說明Renix對于BGP Flow Spec測試的支持度以及相關測試操作。


                                                  BGP Flow Specification介紹


                                                  先簡單介紹下什么是BGP Flow Specification。

                                                  BGP Flow Specification(簡稱BGP Flow Spec)是一種用于防止DoS(Denial of Service)/DDoS(Distributed Denial of Service)攻擊的方法,可以提高網絡安全性和可用性。

                                                  傳統預防DoS/DDoS攻擊的方法有兩種,分別是流分類技術和對攻擊流量重定向,但是這兩種方法都存在缺陷,如表1所示。



                                                  ★BGP Flow Spec可以解決上述缺點:
                                                  ●可維護性好。[/b]使用標準協議定義的BGP網絡層可達信息類型來傳遞流量過濾信息,因此路由信息和流量過濾信息獨立存在。
                                                  ● 提供豐富的過濾條件和處理動作,可以更有針對性地實現對流量的控制。

                                                  ★此外,BGP Flow Spec的應用可以大大提高用戶網絡的安全性與可靠性,具體如下:
                                                  ■實時監控:BGP Flow Specification可以以定時采樣的方式對攻擊流量進行快速響應,實現對攻擊流量的控制。
                                                  ■預先防護:根據常見的攻擊流量的特點,手工部署防護策略,使常見的攻擊流量沒有機會對用戶網絡造成危害,防患于未然。
                                                  ■降低成本:不需要在每臺設備上單獨建立流量控制策略,提高可維護性。
                                                  ■限制攻擊范圍:BGP Flow Specification支持跨域傳播功能,可以在盡可能靠近攻擊源的設備上消除攻擊流量對網絡的危害,大大降低了攻擊流量對網絡的影響。

                                                  Renix平臺BGP Flow Spec配置介紹

                                                  在RFC 5575中定義了解碼Flow Spec的標準程序,使BGP路由具備更為豐富的屬性并可執行限速、過濾和重定向等行為。接下來介紹Renix對于BGP Flow Spec測試的支持度。

                                                  ▶1. 支持IPv4 Flow Spec和IPv6 Flow Spec。



                                                  ▶2. IPv4 Flow Spec支持12種匹配規則。


                                                  不同Type對應不同的字段,具體匹配規則內容如表2


                                                  ▶3. IPv4 Flow Spec支持5種路由策略。


                                                  每一種路由策略的具體作用如表3:


                                                  ▶4. IPv6 Flow Spec支持2種匹配規則。


                                                  每一種規則具體匹配的內容如表4:


                                                  ▶5. IPv6 Flow Spec支持4種路由策略。


                                                  每一種路由策略的具體作用如表5:


                                                  ▶6. SubAFI支持配置為FlowSpecVpn。
                                                  將SubAFI配置為FlowSpecVpn時,可以配置VRF的相關參數,如指定VRF路由目標、指定VRF路由標識符等配置。



                                                  ▶7. 支持配置Multi Exit Discriminator、Local Preference、Cluster ID List等參數。
                                                  當使能Multi Exit Discriminator為選中狀態時配置MULTI_EXIT_DISC屬性;當Enable Local preference為選中狀態時配置Local_PREF的值;當仿真路由器作為BGP路由反射器時配置uster ID list的值。


                                                  ▶8. 支持查看學到的Flow Spec路由策略和匹配規則。
                                                  BGP會話使能查看路由,運行測試,點擊查看BGP路由,可以查看學到的Flow Spec路由策略和匹配規則。


                                                  BGP Flow Spec測試示例


                                                  說完Renix平臺BGP Flow Spec的相關配置之后,接下來以BGP Flow Spec防攻擊測試為例,演示如何使用Renix平臺進行測試。主要是在測試儀A、B端口之間建立正常業務流量和攻擊流量,對比設備在使能BGP Flow Spec功能前后流量的收發情況,驗證被測設備BGP Flow Spec功能。

                                                  主要步驟如下:

                                                  ☑1. 按照如下測試拓撲進行組網:

                                                  DUT1和DUT2建立雙棧IBGP,DUT2為路由反射器,DUT1為客戶端。


                                                  ☑2. 在測試儀表A、B端口之間構造3條IPv4流量:

                                                  第1條流為正常業務流,源IP為100.1.1.2,目的IP為200.1.1.254(測試儀端口B),目的端口80;

                                                  第2條流模擬ICMP FLOOD攻擊,目的地址為200.1.1.254;

                                                  第3條流模擬TCP SYNFLOOD攻擊,源IP為100.1.1.133, 目的IP為200.1.1.254,目的端口80。


                                                  ☑3. 發送所有流量,在測試儀B端口可以正常收到所有流量。


                                                  ☑4. 配置DUT1和DUT2使能BGP FLOWSPEC功能。

                                                  儀表端口C與DUT2建立BGP鄰居關系,并通過BGP FLOWSPEC向DUT2配置流量信息,通告DUT1對步驟3中的ICMP/ND FLOOD、TCP SYNFLOOD和UDP FLOOD攻擊流量進行過濾。對ICMP/ND FLOOD攻擊進行阻斷,對TCP/SYNFLOOD和UDP FLOOD攻擊限制速度為10Mb/s。

                                                  測試儀C端口通告的BGP Flow Spec路由。

                                                  被測設備學習到的IPv4 BGP Flow Spec路由信息。




                                                  ☑5. 再次發送建立的3條IPv4流量,可以看到IPv4正常業務流量收發一致且能正常重定向到Port TCC,ICMP攻擊流量不通,TCP攻擊流量限速到10Mb/s且接收端口為Port TCB。


                                                  當前,Renix 軟件BGP Flow Spec除了支持匹配多個字段、定義對匹配字段執行的操作等基本功能測試外,也具備對該協議的擴展和開發的能力。請隨時來電咨詢!

                                                  關鍵字: 信而泰 BGP 解決方案
                                                  光纖在線

                                                  光纖在線公眾號

                                                  更多猛料!歡迎掃描左方二維碼關注光纖在線官方微信
                                                  微信掃描二維碼
                                                  使用“掃一掃”即可將網頁分享至朋友圈。
                                                  91精品调教在线观看