Visão geral da proteção contra negação de serviço distribuída (DDoS) do plano de controle
Um ataque de negação de serviço (DoS) é qualquer tentativa de negar aos usuários válidos o acesso a recursos de rede ou servidor usando todos os recursos do elemento ou servidor da rede. Ataques de negação de serviço distribuídos (DDoS) envolvem um ataque de várias fontes, permitindo que uma quantidade muito maior de tráfego ataque a rede. Os ataques normalmente usam pacotes de controle de protocolo de rede para acionar um grande número de exceções ao plano de controle do dispositivo. Isso resulta em uma carga de processamento excessiva que interrompe as operações normais de rede.
Com um único ponto de gerenciamento de proteção contra DDoS, os administradores de rede podem personalizar perfis para o tráfego de controle de rede. Para os roteadores, a proteção e o monitoramento persistem em switchovers graciosos do Mecanismo de Roteamento (GRES) e switches unificados de upgrade de software (ISSU). A proteção não é diminuída à medida que o número de assinantes aumenta.
Policiais de tráfego vinculados ao host por violações de DDoS
Para proteger o plano de controle contra ataques DDoS, os dispositivos têm policiais habilitados por padrão para o tráfego vinculado ao host. Se necessário, você pode modificar muitos valores padrão do policiador. O tráfego vinculado ao host é o tráfego destinado ao Mecanismo de Roteamento, incluindo pacotes de controle de protocolo para protocolos de roteamento, como OSPF e BGP. O tráfego destinado a endereços IP do roteador também é considerado tráfego vinculado ao host.
Os policiais especificam limites de taxa para todo o tráfego de controle para um determinado protocolo ou, em alguns casos, para tipos de pacotes de controle específicos para um protocolo. Você pode monitorar ações de policiais para tipos de pacotes e grupos de protocolo no nível do dispositivo, mecanismo de roteamento e placas de linha. Você também pode controlar o registro de eventos de policiais.
Os dispositivos reduzem o tráfego de controle quando ele excede os valores padrão ou configurados do policial. Quando uma violação de DDoS ocorre, o dispositivo não vai parar de processar pacotes; isso só limita a taxa deles. Cada violação gera imediatamente uma notificação para alertar os operadores sobre um possível ataque. O dispositivo conta a violação e observa o tempo em que a violação começa e a hora da última violação observada. Quando a taxa de tráfego cai abaixo do limiar de violação da largura de banda, um temporizante de recuperação determina quando o fluxo de tráfego é considerado como voltando ao normal. Se nenhuma violação adicional ocorrer antes do temporizador expirar, o dispositivo libera o estado de violação e gera uma notificação.
Em roteadores PTX e switches da Série QFX, o temporizador é definido em 300 segundos e não pode ser modificado.
A primeira linha de proteção é o policiador no Mecanismo de encaminhamento de pacotes (PFE). Em dispositivos com várias placas de linha, os estados do policiador e as estatísticas de cada placa de linha são transmitidos para o Mecanismo de Roteamento e agregados. Os estados do policial são mantidos durante uma troca. Embora as estatísticas de placas de linha e as contagens de violação sejam preservadas durante uma troca, as estatísticas dos policiais do Roteamento Engine não são. Controle o tráfego que chega de todas as portas da placa de linha converge no Mecanismo de encaminhamento de pacotes, onde ele é policiado, derrubando pacotes em excesso antes que eles cheguem ao Mecanismo de Roteamento e garantindo que o Mecanismo de Roteamento receba apenas a quantidade de tráfego que pode processar.
Os roteadores da Série ACX que oferecem suporte a esse recurso oferecem suporte apenas a policiais agregados e não oferecem suporte ao policiamento no nível da placa de linha. Você pode alterar os valores padrão do policiador no nível do mecanismo de roteamento globalmente ou para grupos de protocolo específicos, que se propaga até o nível do chipset PFE. No entanto, você não pode aplicar parâmetros de escalabilidade adicionais no nível da placa de linha, como em outros dispositivos. Você pode desativar o policiamento no nível do mecanismo de roteamento globalmente ou para grupos de protocolo específicos. Desativar o policiamento globalmente desativa a proteção DDoS do plano de controle no dispositivo.
os switches da Série QFX10000 e os roteadores da Série PTX aplicam limites de proteção contra DDoS em três níveis, no chipset PFE, placa de linha e no Mecanismo de roteamento.
Além de fornecer notificação de violações por meio de registro de eventos, a proteção contra DDoS do plano de controle permite que você monitore policiais, obtendo informações como configuração de policiais, número de violações encontradas, data e hora de violações, taxas de chegada de pacotes e número de pacotes recebidos ou descartados.
Os policiais de proteção contra DDoS do plano de controle agem nas filas de tráfego do sistema. As linhas de QFX5100 e QFX5200 de switches gerenciam o tráfego para obter mais protocolos do que o número de filas, de modo que o sistema muitas vezes deve mapear mais de um protocolo para a mesma fila. Quando o tráfego para um protocolo compartilha uma fila com outros protocolos e viola os limites do policial de proteção contra DDoS, esses dispositivos relatam uma violação nessa fila para todos os protocolos mapeados porque o sistema não distingue qual tráfego do protocolo causou especificamente a violação. Você pode usar o que sabe sobre os tipos de tráfego que fluem por sua rede para identificar qual dos protocolos relatados realmente desencadeou a violação.
Suporte para a plataforma
No Junos OS Release 14.2 e versões posteriores, a proteção contra DDoS do plano de controle é suportada em plataformas específicas. Em geral, alguns modelos das seguintes plataformas têm a proteção DDoS do plano de controle habilitada por padrão e opções de configuração de suporte para alterar parâmetros padrão do policiador:
Roteadores da Série ACX.
Switches EX9200.
Roteadores da Série MX que têm apenas MPCs instalados.
Roteadores da Série MX com um MPC integrado.
Nota:Para simplicidade, onde o texto se refere a placas de linha ou policiais de placa de linha, para esses roteadores, isso significa o MPC integrado.
Como esses roteadores não têm slots FPC, as informações exibidas em
FPC
campos porshow
comandos realmente se referem ao TFEB.Os roteadores da Série PTX que possuem apenas FPCs baseados em PE instalados (PTX3000, PTX5000, PTX1000 e PTX10000) oferecem suporte à proteção contra DDoS do plano de controle a partir do Junos OS Release 17.4R1.
PTX10002 roteadores oferecem suporte à proteção contra DDoS do plano de controle a partir do Junos OS Release 18.2R1.
PTX10003 roteadores oferecem suporte à proteção contra DDoS do plano de controle a partir do Junos OS Evolved Release 19.3R1.
PTX10004 roteadores oferecem suporte à proteção contra DDoS do plano de controle a partir do Junos OS Evolved Release 20.3R1.
PTX10008 roteadores oferecem suporte à proteção DDoS do plano de controle a partir do Junos OS Evolved Release 20.1R1.
Switches da Série QFX, incluindo a linha de QFX5100, linha QFX5200 e a linha de switches QFX10000.
os switches QFX10002-60C oferecem suporte à proteção contra DDoS do plano de controle a partir do Junos OS Release 18.1R1.
Roteadores T4000 que têm apenas FPCs Tipo 5 instalados.
Nas plataformas Junos Evolved, você deve configurar a
inet
família de protocolo e/ouinet6
na interface lo0 do dispositivo para que a proteção contra DDoS funcione para essas famílias de protocolo, respectivamente.Alguns switches da Série EX podem ter proteção contra DDoS do plano de controle, mas não oferecem suporte a opções de CLI para mostrar ou alterar os parâmetros padrão do policiador.
Para plataformas de roteador que têm outras placas de linha, além de MPCs (Série MX), FPCs tipo 5 (T4000) ou FPCs baseados em PE (PTX3000, PTX5000, PTX1000 e PTX10000), o CLI aceita a configuração, mas as outras placas de linha não estão protegidas, de modo que o roteador não esteja protegido.
O suporte de proteção contra DDoS para gerenciamento aprimorado de assinantes foi adicionado no Junos OS Release 17.3R1 em plataformas de roteamento.
Para alterar os parâmetros de proteção contra DDoS do plano de controle configurado padrão para grupos de protocolo e tipos de pacotes suportados, com suporte a roteadores da Série ACX, roteadores da Série PTX e switches da Série QFX têm opções de configuração CLI que diferem significativamente das opções disponíveis para roteadores MX Series e T4000. Veja as seguintes declarações de configuração para as opções de configuração disponíveis em diferentes dispositivos:
Para dispositivos de roteamento, exceto roteadores da Série PTX, veja protocolos (DDoS).
Para roteadores da Série ACX, roteadores da Série PTX e switches da Série QFX, veja protocolos (DDoS) (Série ACX, Série PTX e Série QFX).
Tipos de policiamento e prioridades de pacotes
A proteção contra DDoS do plano de controle inclui dois tipos de policiais:
Um policiador agregado é aplicado ao conjunto completo de tipos de pacotes que pertencem a um grupo de protocolo. Por exemplo, você pode configurar um policiador agregado que se aplica a todos os tipos de pacotes de controle de PPPoE ou a todos os tipos de pacotes de controle DHCPv4. Você pode especificar limites de largura de banda (pacotes por segundo [pps]) e estouro (pacotes em uma explosão), dimensionar a largura de banda e os limites de explosão e definir uma prioridade de tráfego para os policiais agregados. Um policiador agregado é apoiado por todos os grupos de protocolo.
Um policial individual, também referido como um policiador do tipo pacote, é alocado para cada tipo de pacote de controle dentro de um grupo de protocolo. Por exemplo, você pode configurar um policiador para um ou mais tipos de pacotes de controle de PPPoE, pacotes de controle RADIUS ou pacotes de espionagem multicast. Você pode especificar valores de limite de largura de banda (pps) e estouro (pacotes), dimensionar a largura de banda e os limites de explosão e definir uma prioridade de tráfego para policiais do tipo pacote. Policiais individuais estão disponíveis para alguns grupos de protocolo.
O suporte a grupos de protocolo e tipos de pacotes varia entre plataformas e versões do Junos OS, da seguinte forma:
Para dispositivos de roteamento, exceto roteadores da Série PTX, veja protocolos (DDoS).
Para roteadores da Série ACX, roteador da Série PTX e switches da Série QFX, veja protocolos (DDoS) (Série ACX, Série PTX e Série QFX).
Um pacote de controle é policiado primeiro por seu policiador individual (se apoiado) e, em seguida, por seu policiador agregado. Um pacote deixado pelo policial individual nunca chega ao policial agregado. Um pacote que passa pelo policial individual pode ser posteriormente descartado pelo policial agregado.
Os roteadores da Série ACX oferecem suporte apenas ao policiador agregado para quaisquer grupos de protocolo suportados.
Os tipos de pacotes dentro de um grupo de protocolo têm uma prioridade padrão e configurável: baixa, média ou alta. Cada pacote de controle compete com outros pacotes pela largura de banda dentro do limite de taxa de pacote imposto por seu policiador agregado com base na prioridade configurada para cada tipo de pacote no grupo de protocolo.
O mecanismo de prioridade é absoluto. O tráfego de alta prioridade recebe largura de banda em preferência ao tráfego de prioridade média e baixa prioridade. O tráfego de prioridade média recebe largura de banda em preferência ao tráfego de baixa prioridade. O tráfego de baixa prioridade só pode usar a largura de banda deixada pelo tráfego de alta prioridade e prioridade média. Se o tráfego de maior prioridade levar toda a largura de banda, então todo o tráfego de menor prioridade será reduzido.
Em lançamentos antes do Junos OS Release 23.2R1, em dispositivos da Série MX, o tipo de placa de linha no dispositivo impulsiona a prioridade de negação de serviço distribuída (DDoS) dos protocolos de entrada. A partir do Junos OS Release 23.2R1, o dispositivo determina a prioridade de DDoS de um protocolo com base na tabela de parâmetros DDoS. Esse aprimoramento permite que o dispositivo trate todos os pacotes de um protocolo específico da mesma forma por padrão, independentemente da placa de linha do dispositivo. Você pode modificar a tabela de parâmetros DDoS usando CLI. Esse recurso melhora a consistência na forma como os dispositivos da rede priorizam protocolos para proteger contra ataques DDoS.
Exemplo de comportamento de prioridade do policial
Por exemplo, em um dispositivo que oferece suporte à proteção contra DDoS do plano de controle para o grupo de protocolo PPPoE, considere como você pode configurar tipos de pacotes dentro desse grupo de protocolo. Ignorando outros tipos de pacotes ppPoE para este exemplo, suponha que você configure policiais individuais para pacotes PADI e PADT, bem como um policiador agregado PPPoE para todos esses pacotes. Você prioriza pacotes PADT em pacotes PADI porque os pacotes PADT permitem que o aplicativo PPPoE libere recursos para aceitar novas conexões. Portanto, você atribui alta prioridade aos pacotes PADT e baixa prioridade aos pacotes PADI.
O policiador agregado impõe um limite total de taxa de pacotes para o grupo de protocolo. Os pacotes PADT passados por seu policiador individual têm acesso a essa largura de banda antes que os pacotes PADI passem por seu policiador individual, porque os pacotes PADT têm uma prioridade maior. Se tantos pacotes PADT forem passados, eles usarão toda a largura de banda disponível, todos os pacotes PADI serão descartados, porque não há largura de banda restante no policiador agregado.
Exemplo de hierarquia de policiais
Os policiais DDoS do plano de controle estão organizados para combinar com o fluxo hierárquico do tráfego de controle de protocolo. Controle o tráfego que chega de todas as portas de uma placa de linha converge no Mecanismo de encaminhamento de pacotes. Controle o tráfego de todas as placas de linha no roteador e converge no mecanismo de roteamento. Da mesma forma, os policiais DDoS são colocados hierarquicamente ao longo dos caminhos de controle para que os pacotes em excesso sejam descartados o mais cedo possível no caminho. Esse design preserva os recursos do sistema removendo o excesso de tráfego malicioso para que o Mecanismo de Roteamento receba apenas a quantidade de tráfego que pode processar.
Para implementar esse design em roteadores da Série MX, por exemplo, cinco policiais DDoS estão presentes: um no mecanismo de encaminhamento de pacotes (o chipset), dois na placa de linha e dois no Roteamento Engine. Um policiador agregado também está presente no Mecanismo de encaminhamento de pacotes para alguns grupos de protocolo, para um total de seis policiais; para simplicidade, o texto segue o caso geral. Por exemplo, a Figura 1 mostra o processo do policiador para tráfego PPPoE. A Figura 2 mostra o processo do policiador para o tráfego DHCPv4. (O mesmo processo se aplica ao tráfego DHCPv6 também.)
Lembre-se que os roteadores da Série PTX e os switches da Série QFX têm um design mais simples com policiais apenas no Mecanismo de encaminhamento de pacotes. PTX10003 e roteadores PTX10008 impõem limites de proteção contra DDoS do plano de controle em três níveis, dois no chipset do Mecanismo de encaminhamento de pacotes e níveis de placa de linha e um no nível do Mecanismo de Roteamento. No entanto, os policiais do tipo de pacote e agregado operam de forma semelhante em todas essas plataformas.
Os pacotes de controle chegam ao Mecanismo de encaminhamento de pacotes para processamento e encaminhamento. O primeiro policial (1) é um policiador individual (Figura 1) ou um policial agregado (Figura 2).
O primeiro policial é um policial individual para grupos de protocolo que apoiam policiais individuais, com duas exceções. Para o tráfego DHCPv4 e DHCPv6, o primeiro policial é um policial agregado.
O primeiro policial é um policial agregado para grupos de protocolo que apoiam apenas policiais agregados.
O tráfego que passa pelo primeiro policial é monitorado por um ou ambos os policiais de cartão de linha. Se a placa tiver mais de um mecanismo de encaminhamento de pacotes, o tráfego de todos os mecanismos de encaminhamento de pacotes converge nos policiais de placa de linha.
Quando o tráfego pertence a um grupo de protocolo que oferece suporte a policiais individuais, ele passa pelo policiador individual de placa de linha (2) e, em seguida, o policial agregado com placa de linha (3). O tráfego que passa pelo policial individual pode ser descartado pelo policial agregado. Embora o tráfego DHCPv4 e DHCPv6 tenha sido monitorado por um policial agregado no Packet Forwarding Engine, na placa de linha é tratado como outros protocolos que suportam policiais individuais.
Quando o tráfego pertence a um grupo de protocolo que oferece suporte apenas a policiais agregados, apenas o policial agregado com placa de linha monitora o tráfego.
O tráfego que passa pelos policiais de placa de linha é monitorado por um ou ambos os policiais do Mecanismo de Roteamento. O tráfego de todas as placas de linha converge nos policiais do mecanismo de roteamento.
Quando o tráfego pertence a um grupo de protocolo que oferece suporte a policiais individuais, ele passa pelo roteador individual de mecanismos de roteamento (4) e, em seguida, o mecanismo de roteamento agregar policial (5). O tráfego que passa pelo policial individual pode ser descartado pelo policial agregado. Como era no nível da placa de linha, o tráfego DHCPv4 e DHCPv6 no Mecanismo de Roteamento é tratado como outros protocolos que suportam policiais individuais.
Quando o tráfego pertence a um grupo de protocolo que oferece suporte apenas a policiais agregados, apenas o policiador agregado monitora o tráfego.
Com esse projeto, três policiais avaliam o tráfego para grupos de protocolo que oferecem suporte apenas a policiais agregados. Entre outros grupos, isso inclui ANCP, VLAN dinâmico, FTP e tráfego IGMP. O tráfego para grupos de protocolo que apoiam policiais agregados e individuais é avaliado pelos cinco policiais. Entre outros grupos, isso inclui DHCPv4, MLP, PPP, PPPoE e tráfego virtual de chassis .
A Figura 1 mostra como a proteção contra DDoS do plano de controle policia pacotes de controle de PPPoE:
Os pacotes PADR, por exemplo, são avaliados no primeiro policial no Mecanismo de encaminhamento de pacotes para determinar se eles estão dentro dos limites de taxa de pacote. Os pacotes PADR que excedem o limite são descartados.
Todos os pacotes PADR que passam pelo policial em todos os Mecanismos de encaminhamento de pacotes na placa de linha são avaliados pela placa de linha de um policial individual. Os pacotes PADR que excedem o limite são descartados.
Todos os pacotes PADR que passam a placa de linha de um policial individual prossigem para o policial agregado de cartão de linha. Os pacotes PADR que excedem o limite são descartados.
Todos os pacotes PADR que são passados pela placa de linha agregam policiais em todas as placas de linha no roteador prossiga para o policiador individual do Mecanismo de Roteamento. Os pacotes PADR que excedem o limite são descartados.
Finalmente, todos os pacotes PADR que são passados pelo roteador individual do Mecanismo de Roteamento prossigem para o policiador agregado do Mecanismo de Roteamento. Os pacotes PADR que excedem o limite são descartados. Os pacotes PADR que não são descartados aqui são transmitidos como tráfego seguro e normal.
Por padrão, todos os três policiais individuais (Packet Forwarding Engine, placa de linha e Mecanismo de roteamento) têm o mesmo limite de taxa de pacote para um determinado tipo de pacote. Com esse design, todo o tráfego de controle de um mecanismo de encaminhamento de pacotes e placa de linha pode chegar ao Mecanismo de Roteamento, desde que não haja tráfego concorrente do mesmo tipo de outros Mecanismos de encaminhamento de pacotes ou placas de linha. Quando o tráfego concorrente está presente, os pacotes em excesso são descartados nos pontos de convergência. Ou seja, eles são descartados na placa de linha para todos os mecanismos de encaminhamento de pacotes concorrentes e no Mecanismo de Roteamento para todas as placas de linha concorrentes.
Exemplo do comportamento do policiador para limitar a taxa de pacotes
Por exemplo, suponha que você defina a opção do policiador bandwidth
para pacotes PADI em 1000 pacotes por segundo. Esse valor se aplica aos policiais PADI individuais no Mecanismo de encaminhamento de pacotes, na placa de linha e no mecanismo de roteamento. Se apenas a placa no slot 5 estiver recebendo pacotes PADI, até 1000 PPS PADI podem chegar ao mecanismo de roteamento (se o policiador agregado de PPPoE não for excedido). No entanto, suponha que a placa no slot 9 também esteja recebendo pacotes PADI a 1000 pps e que seu policiador agregado PPPoE não seja excedido. O tráfego passa pelo indivíduo e agrega policiais em ambos os cartões de linha e prossegue para o Mecanismo de Roteamento. No mecanismo de roteamento, a taxa de pacote combinada é de 2000 pps. Como o policiador PADI do Mecanismo de Roteamento permite que apenas 1000 PPS PADI passem, ele derruba o excesso de 1000 pacotes. Ele continua a diminuir o excesso de pacotes enquanto o limite de largura de banda (pps) for excedido.
Você pode aplicar um fator de escala para o limite de largura de banda (pps) e o limite de estouro (pacotes em uma explosão) na placa de linha para ajustar os limites de tráfego para cada slot. Por exemplo, suponha que o policiador individual define a taxa de pacote PADI para 1000 pps e o tamanho da explosão para 50.000 pacotes. Você pode reduzir o limite de tráfego para pacotes PADI em qualquer placa de linha especificando o número de slot e o fator de escala. Um fator de escala de largura de banda de 20 para slot 5 reduz o tráfego neste exemplo para 20 por cento de 1000 pps, ou 200 pps para a placa de linha nesse slot. Da mesma forma, um fator de escalamento de explosão de 50 para esse slot reduz o tamanho da explosão em 50 por cento para 25.000 pacotes. Por padrão, os fatores de escala são definidos para 100 para que o tráfego possa passar a 100 por cento do limite da taxa.
Proteção contra DDoS do plano de controle em comparação com a proteção de sobrecarga de pacotes de login de assinantes
Além do recurso de proteção contra DDoS do plano de controle, os roteadores da Série MX também têm um mecanismo integrado de proteção contra sobrecarga de login de assinantes. O mecanismo de proteção contra sobrecarga de login (também chamado de mecanismo de estrangulamento de carga) monitora os pacotes de login de assinantes de entrada e admite apenas o que o sistema é capaz de lidar de acordo com a carga vigente no sistema. Pacotes superiores ao que o sistema pode lidar são descartados. Ao perder esse excesso de carga, o sistema é capaz de manter o desempenho ideal e evitar qualquer degradação da taxa de conclusão de login em condições de sobrecarga. Esse mecanismo usa recursos mínimos e é habilitado por padrão; nenhuma configuração de usuário é necessária.
A proteção fornecida por esse mecanismo é secundária ao plano de controle que a proteção contra DDoS fornece como um primeiro nível de defesa contra altas taxas de pacotes de entrada. A proteção contra DDoS do plano de controle opera no Mecanismo de encaminhamento de pacotes e protege contra todos os tipos de pacotes de todos os protocolos. Por outro lado, o mecanismo de proteção contra sobrecarga de login está localizado no Mecanismo de Roteamento e opera especificamente apenas em pacotes de iniciação de conexão de entrada, como DHCPv4 DHCPDISCOVER, DHCPv6 SOLICIT e pacotes PPPoE PADI.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.