Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Proteção contra cache de vizinhos Discovery

RESUMO  O NDP Cache Protection permite que você proteja o mecanismo de roteamento contra determinados tipos de ataques de negação de serviço (DoS) em cenários de implantação IPv6.

Visão geral da proteção contra cache do Vizinho Discovery

Os mecanismos de roteamento podem ser suscetíveis a certos ataques de negação de serviço (DoS) em cenários de implantação do IPv6. As sub-redes IPv6 em geral tendem a ser muito grandes , por exemplo, uma /64 sub-rede pode ter um alto número de endereços não assinados. O plano de controle do mecanismo de roteamento executa a resolução de endereços para endereços desconhecidos. Um invasor pode sobrecarregar rapidamente o plano de controle do mecanismo de roteamento gerando solicitações de resolução para esse espaço de endereço não assinado, resultando em um excesso de cache. O invasor depende tanto do número de solicitações geradas quanto da taxa em que as solicitações estão enfileiradas. Tais cenários podem vincular recursos do roteador e impedir que o Mecanismo de Roteamento responda a solicitações de vizinhos válidas e mantenha as entradas de cache de vizinhos existentes, resultando efetivamente em um ataque DoS para usuários legítimos.

As estratégias para mitigar esses ataques do DoS são as seguintes:

  • Filtrar espaço de endereço não usado.

  • Minimize o tamanho das sub-redes.

  • Configure rotas de descarte para sub-redes.

  • Aplique limites ao tamanho e à taxa de resolução para entradas no cache de descoberta de vizinhos.

O impacto do cache de descoberta de vizinhos pode ser minimizado restringindo o número de vizinhos IPv6 e novos endereços de next-hop não resolvidos que podem ser adicionados ao cache. Você pode definir limites por interface usando as nd6-max-cache declarações de configuração ou nd6-new-hold-limit o sistema em todo o sistema usando a declaração de nd-system-cache-limit configuração.

Nota:
  • Para plataformas de pequeno porte, como ACX, EX22XX, EX3200, EX33XX e SRX, o padrão é de 20.000.

  • Para plataformas de médio porte, como EX4200, EX45XX, EX4300, EX62XX, QFX e MX, o padrão é de 75.000.

  • Para o resto das plataformas, o padrão é de 100.000.

Configuração da proteção contra cache de descoberta de vizinhos

Os mecanismos de roteamento podem ser suscetíveis a certos tipos de ataques de negação de serviço (DoS) em cenários de implantação IPv6. As sub-redes IPv6 em geral tendem a ser muito grandes; por exemplo, uma /64 sub-rede pode ter um alto número de endereços não assinados. O plano de controle do mecanismo de roteamento executa a resolução de endereços para endereços desconhecidos. Um invasor pode sobrecarregar rapidamente o plano de controle do mecanismo de roteamento gerando solicitações de resolução para esse espaço de endereço não assinado, resultando em um excesso de cache. Um invasor depende tanto do número de solicitações geradas quanto da taxa em que as solicitações estão enfileiradas.

O processo de descoberta de vizinhos é que parte do plano de controle que implementa o Protocolo de Descoberta de Vizinhos. Ela é responsável por realizar a resolução de endereços e manter as entradas no cache vizinho. Uma maneira de mitigar os ataques do DoS é aplicando limites ao tamanho do cache de descoberta de vizinhos e à taxa de resolução de novas entradas de next-hop, e priorizando determinadas categorias de tráfego de descoberta de vizinhos. Você pode configurar limites para o cache de descoberta de vizinhos por interface e sistema em todo o sistema.

Antes de começar, certifique-se de que você está executando o Junos OS Release 15.1 ou posterior.

Os limites locais se aplicam a interfaces individuais e são definidos para entradas resolvidas e não resolvidas na fila de descobertas de vizinhos, enquanto os limites globais se aplicam em todo o sistema.

Para configurar a proteção contra cache de descoberta de vizinhos em uma interface:

  1. Configure a família IPv6 para a interface.
  2. Configure o tamanho máximo do cache de descoberta de vizinhos para a interface.
  3. Configure o número máximo de entradas não resolvidas no cache de descoberta de vizinhos que podem ser anexadas à interface.

Para verificar a configuração, execute o show interfaces interface-name comando operacional.

Para configurar a proteção contra cache de descoberta de vizinhos em todo o sistema:

  • Configure o limite em todo o sistema para o cache de descoberta de vizinhos.

Para verificar os limites configurados em todo o sistema, execute o show system statistics icmp6 comando operacional.

Nota:
  • Para plataformas de pequeno porte, como ACX, EX22XX, EX3200, EX33XX e SRX, o padrão é de 20.000.

  • Para plataformas de médio porte, como EX4200, EX45XX, EX4300, EX62XX, QFX e MX, o padrão é de 75.000.

  • Para o resto das plataformas, o padrão é de 100.000.

Exemplo: configurar a proteção contra cache de descoberta de vizinhos para evitar ataques de negação de serviço

Este exemplo mostra como configurar um limite para o número de entradas de vizinhos IPv6 que podem ser adicionadas à descoberta do vizinho. Aplicar limites ao número de entradas no cache reduz os ataques de negação de serviço (DoS). O recurso de cache de descoberta de vizinhos oferece suporte a dois tipos de limites:

  • Local — os limites locais são configurados por interface e são definidos para entradas resolvidas e não resolvidas no cache de descoberta de vizinhos.

  • Global — Os limites globais aplicam-se em todo o sistema. Um limite global é definido separadamente para interfaces públicas e interfaces de gerenciamento, por exemplo, fxp0. A interface de gerenciamento tem um único limite global e sem limite local. O limite global impõe um limite de todo o sistema em entradas para o cache de descoberta de vizinhos, inclusive para a interface de loopback para a instância de roteamento interno, bem como interfaces de gerenciamento e interfaces públicas.

Requisitos

Este exemplo requer roteadores da Série MX executando o Junos OS Release 15.1 ou posterior.

Visão geral

Os mecanismos de roteamento podem ser suscetíveis a certos tipos de ataques DoS em cenários de implantação IPv6. As sub-redes IPv6 em geral tendem a ser muito grandes — por exemplo, uma /64 sub-rede pode ter um alto número de endereços não assinados, que podem ser usados para realizar ataques DoS. O plano de controle do mecanismo de roteamento executa a resolução de endereços para endereços desconhecidos. Um invasor pode sobrecarregar rapidamente o plano de controle do mecanismo de roteamento, gerando solicitações de resolução para esse espaço de endereço não assinado e sobrecarregando a fila. O invasor depende tanto do número de solicitações geradas quanto da taxa em que as solicitações estão enfileiradas.

O processo de descoberta de vizinhos é que parte do plano de controle que implementa o Protocolo de Descoberta de Vizinhos. Ela é responsável por realizar a resolução de endereços e manter o cache vizinho. Uma maneira de mitigar os ataques do DoS é aplicando limites aos limites da fila de descoberta de vizinhos, o que pode ser feito restringindo o tamanho da fila e a taxa de resolução, e priorizando determinadas categorias de tráfego de descoberta de vizinhos.

Configuração

Para configurar a proteção contra cache de descoberta de vizinhos, execute essas tarefas:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre no commit modo de configuração.

Você também pode configurar um limite em todo o sistema para o número de entradas de vizinhos IPv6 no cache de descoberta de vizinhos. Esse limite também inclui a interface de loopback, interfaces de gerenciamento e as interfaces públicas.

A distribuição de limite da nd-system-cache-limit declaração para diferentes tipos de interface é realizada de acordo com determinadas porcentagens fixas. Quando nd-system-cache-limit é definido como X e o limite de cache de descoberta de vizinhos da interface de roteamento interno é Y (o padrão é 200), então:

  • Limite máximo de cache público= Z 80% de (X- Y)

  • Limite máximo de cache da interface de gerenciamento (por exemplo, fxp0), M = 20% de (X-Y)

Configuração da proteção contra cache de descoberta de vizinhos

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar a proteção de cache de descoberta de vizinhos por interface:

  • Configure o nd6-max-cache e nd6-new-hold-limit.

Resultados

Para confirmar a proteção do cache de descoberta de vizinhos localmente, entre no show interfaces ge-0/3/0 modo de configuração. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando a proteção contra cache de descoberta de vizinhos globalmente

Propósito

Verifique se a saída reflete o limite de todo o sistema para o cache de descoberta de vizinhos.

Ação

Do modo operacional, execute o show system statistics icmp6 comando.

Significado

O limite de todo o sistema aplicado nas entradas de cache de descoberta de vizinhos é 100000.

Management ND nexthops creation failed as mgt limit reached indica a contagem de quedas para a interface de gerenciamento quando o limite de todo o sistema é atingido. Total ND nexthops creation failed as limit reached indica falha para interfaces de instâncias de roteamento público, público ou interno, e Public ND nexthops creation failed as public limit reached indica a contagem de quedas para interfaces públicas quando o limite em todo o sistema para o número de entradas é atingido.

Verificando a proteção do cache de descoberta de vizinhos localmente

Propósito

Verifique se a saída reflete os limites da interface configurada.

Ação

Do modo operacional, execute o show interfaces ge-0/3/0 comando.

Significado

O número máximo de entradas totais e o número máximo de entradas para novos endereços de next-hop não resolvidos que podem ser anexados à interface ge-0/3/0 é 100000.

NH drop cnt refere-se ao número de solicitações de descoberta de vizinhos que não foram atendidos porque os limites máximos de tamanho da fila da interface foram atingidos.