NESTA PÁGINA
Exemplo: Configuração da proteção contra DDoS do plano de controle
Este exemplo mostra como configurar a proteção contra DDoS do plano de controle que permite que o roteador identifique rapidamente um ataque e impeça uma série de pacotes de controle maliciosos de esgotar os recursos do sistema.
Requisitos
A proteção contra DDoS do plano de controle requer o seguinte hardware e software:
Roteadores da Série MX que têm apenas MPCs instalados, roteadores de núcleo T4000 que têm apenas FPC5s instalados, switches EX9200.
Nota:Se um roteador tiver outras placas, além de MPCs ou FPC5s, a CLI aceita a configuração, mas as outras placas não estão protegidas e, portanto, o roteador não está protegido.
Versão do Junos OS 11.2 ou posterior
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes que você possa configurar esse recurso.
Visão geral
Ataques distribuídos de negação de serviço usam várias fontes para inundar uma rede ou roteador com pacotes de controle de protocolo. Esse tráfego malicioso desencadeia um grande número de exceções na rede e tenta esgotar os recursos do sistema para negar aos usuários válidos o acesso à rede ou servidor.
Este exemplo descreve como configurar policiais que limitam a taxa que identificam o excesso de tráfego de controle e derrubam os pacotes antes que o roteador seja afetado negativamente. As tarefas de amostra incluem configurar policiais para determinados tipos de pacotes de controle dentro de um grupo de protocolo, configurar um policiador agregado para um grupo de protocolo e ignorar esse policiador para um determinado tipo de pacote de controle e especificar opções de rastreamento para operações de DDoS.
Este exemplo não mostra todas as opções de configuração possíveis.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a proteção contra DDoS do plano de controle para grupos de protocolo e tipos de pacotes de controle específicos, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie e cole os comandos no CLI.
[edit] edit system set ddos-protection protocols dhcpv4 aggregate bandwidth 669 set ddos-protection protocols dhcpv4 aggregate burst 6000 set ddos-protection protocols dhcpv4 discover bandwidth 100 set ddos-protection protocols dhcpv4 discover recover-time 200 set ddos-protection protocols dhcpv4 discover burst 300 set ddos-protection protocols dhcpv4 offer priority medium set ddos-protection protocols dhcpv4 offer bypass-aggregate set ddos-protection protocols dhcpv4 offer fpc 1 bandwidth-scale 80 set ddos-protection protocols dhcpv4 offer fpc 1 burst-scale 75 set ddos-protection protocols pppoe aggregate bandwidth 800 set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar a proteção contra DDoS:
Especifique um grupo de protocolo.
[edit system ddos-protection protocols] user@host# edit dhcpv4
Configure a taxa de tráfego máxima (em pacotes por segundo [pps]) para o policiador agregado DHCPv4; ou seja, para a combinação de todos os pacotes DHCPv4.
Nota:Você altera a taxa de tráfego usando a opção
bandwidth. Embora o termo largura de banda geralmente se refira a bits por segundo (bps), a opção deste recursobandwidthrepresenta um valor de pacotes por segundo (pps).[edit system ddos-protection protocols dhcpv4] user@host# set aggregate bandwidth 669
Configure o tamanho máximo de explosão (número de pacotes) para o policiador agregado DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set aggregate burst 6000
Configure a taxa de tráfego máxima (em pps) para o policiador DHCPv4 para descobrir pacotes.
[edit system ddos-protection protocols dhcpv4] user@host# set discover bandwidth 100
Diminua o tempo de recuperação de violações do DHCPv4 descubra o policial.
[edit system ddos-protection protocols dhcpv4] user@host# set discover recover-time 200
Configure o tamanho máximo de explosão (número de pacotes) para que o DHCPv4 descubra o policial.
[edit system ddos-protection protocols dhcpv4] user@host# set discover burst 300
Aumente a prioridade para pacotes de oferta DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set offer priority medium
Impeça que os pacotes de oferta sejam incluídos na largura de banda agregada (pps); ou seja, os pacotes de oferta não contribuem para o tráfego DHCPv4 combinado para determinar se a largura de banda agregada (pps) é excedida. No entanto, os pacotes de oferta ainda estão incluídos nas estatísticas da taxa de tráfego.
[edit system ddos-protection protocols dhcpv4] user@host# set offer bypass-aggregate
Reduza a largura de banda (pps) e o tamanho de explosão (pacotes) permitidos antes que a violação seja declarada para o policiador de oferta DHCPv4 no MPC ou FPC5 no slot 1.
[edit system ddos-protection protocols dhcpv4] user@host# set offer fpc 1 bandwidth-scale 80 user@host# set offer fpc 1 burst-scale 75
Configure a taxa de tráfego máxima para o policiador agregado PPPoE, ou seja, para a combinação de todos os pacotes de PPPoE.
[edit system ddos-protection protocols dhcpv4] user@host# up [edit system ddos-protection protocols] user@host# set pppoe aggregate bandwidth 800
Configure o rastreamento para todos os eventos de processamento de protocolo DDoS.
[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show ddos-protection comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit system]
user@host# show ddos-protection
traceoptions {
file ddos-trace size 10m;
flag all;
}
protocols {
pppoe {
aggregate {
bandwidth 800;
}
}
dhcpv4 {
aggregate {
bandwidth 669;
burst 6000;
}
discover {
bandwidth 100;
burst 300;
recover-time 200;
}
offer {
priority medium;
fpc 1 {
bandwidth-scale 80;
burst-scale 75;
}
bypass-aggregate;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração de proteção contra DDoS está funcionando corretamente, execute essas tarefas:
- Verificação da configuração e operação de proteção contra DDoS DHCPv4
- Verificando a configuração de DDoS de PPPoE
Verificação da configuração e operação de proteção contra DDoS DHCPv4
Propósito
Verifique se os valores agregados do DHCPv4 e do policiador de protocolo mudaram de padrão. Com o fluxo de tráfego DHCPv4 e PPPoE, verifique se os policiais estão funcionando corretamente. Você pode inserir comandos para exibir os policiais individuais em que está interessado, como mostrado aqui, ou pode inserir o show ddos-protection protocols dhcpv4 comando para exibir essas informações para todos os tipos de pacote DHCPv4.
Ação
A partir do modo operacional, entre no show ddos-protection protocols dhcpv4 aggregate comando.
user@host> show ddos-protection protocols dhcpv4 aggregate
Protocol Group: DHCPv4
Packet type: aggregate (aggregate for all DHCPv4 traffic)
Aggregate policer configuration:
Bandwidth: 669 pps
Burst: 6000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
System-wide information:
Aggregate bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:27:47 PST
Violation last seen at: 2011-03-10 06:28:57 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 23115 Max arrival rate: 1000 pps
Routing Engine information:
Bandwidth: 669 pps, Burst: 6000 packets, enabled
Aggregate policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 671 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (669 pps), Burst: 100% (5000 packets), enabled
Aggregate policer is no longer being violated
Violation first detected at: 2011-03-10 06:27:48 PST
Violation last seen at: 2011-03-10 06:28:58 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 34934 Max arrival rate: 1000 pps
Dropped by individual policers: 11819
Dropped by aggregate policer: 23115
A partir do modo operacional, entre no show ddos-protection protocols dhcpv4 discover comando.
user@host> show ddos-protection protocols dhcpv4 discover
Protocol Group: DHCPv4
Packet type: discover (DHCPv4 DHCPDISCOVER)
Individual policer configuration:
Bandwidth: 100 pps
Burst: 300 packets
Priority: low
Recover time: 200 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:28:34 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:21 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Routing Engine information:
Bandwidth: 100 pps, Burst: 300 packets, enabled
Policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (100 pps), Burst: 100% (300 packets), enabled
Policer is no longer being violated
Violation first detected at: 2011-03-10 06:28:35 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:20 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Dropped by this policer: 11819
Dropped by aggregate policer: 0
A partir do modo operacional, entre no show ddos-protection protocols dhcpv4 offer comando.
user@host> show ddos-protection protocols dhcpv4 offer
Protocol Group: DHCPv4
Packet type: offer (DHCPv4 DHCPOFFER)
Individual policer configuration:
Bandwidth: 1000 pps
Burst: 1000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: Yes
System-wide information:
Bandwidth is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Routing Engine information:
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 80% (800 pps), Burst: 75% (750 packets), enabled
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
Significado
A saída desses comandos lista a configuração do policial e as estatísticas de tráfego para o agregado DHCPv4, descobrir e oferecer policiais, respectivamente.
A Aggregate policer configuration seção no primeiro exemplo de saída e Individual policer configuration seções no segundo e terceiro exemplos de saída listam os valores configurados para largura de banda, explosão, prioridade, tempo de recuperação e agregação de bypass.
A System-wide information seção mostra o total de todas as estatísticas e violações de tráfego DHCPv4 para o policial registradas em todas as placas de linha e no Mecanismo de Roteamento. A Routing engine information seção mostra as estatísticas de tráfego e violações para o policial registradas no Mecanismo de Roteamento. A FPC slot 1 information seção mostra as estatísticas de tráfego e violações para o policial registradas apenas na placa de linha no slot 1.
A saída para o policiador agregado neste exemplo mostra as seguintes informações:
A
System-wide informationseção mostra que 71.064 pacotes DHCPv4 de todos os tipos foram recebidos em todas as placas de linha e no Mecanismo de Roteamento. A seção mostra uma única violação com um carimbo de tempo e que o policial agregado em uma placa de linha deixou cair 23.115 desses pacotes.A
FPC slot 1 informationseção mostra que essa placa de linha recebeu todos os 71.064 pacotes DHCPv4, mas seu policiador agregado sofreu uma violação e derrubou os 23.115 pacotes mostrados na outra seção. Os policiais individuais de placa de linha deixaram cair mais 11.819 pacotes.A
Routing Engine informationseção mostra que os 36.130 pacotes restantes chegaram ao Mecanismo de Roteamento e que seu policiador agregado não deixou cair pacotes adicionais.A diferença entre o número de pacotes DHCPv4 recebidos e a queda na placa de linha [71.064 - (23.115 + 11.819)] corresponde ao número recebido no Mecanismo de Roteamento. Isso pode nem sempre ser o caso, porque os pacotes podem ser recebidos e descartados em mais de uma placa de linha. Neste exemplo, apenas a placa de linha no slot 1receu qualquer pacote DHCPv4.
A saída para o DHCPv4 descobrir o policiador de pacotes neste exemplo mostra as seguintes informações:
A
System-wide informationseção mostra que 47.949 DHCPv4 descobrem que os pacotes foram recebidos em todas as placas de linha e no Mecanismo de Roteamento. A seção mostra uma única violação com um carimbo de tempo e que o policial agregado em uma placa de linha deixou cair 11.819 desses pacotes.A
FPC slot 1 informationseção mostra que essa placa de linha recebeu todos os 47.949 pacotes DHCPv4, mas seu policiador individual sofreu uma violação e derrubou os 11.819 pacotes mostrados na outra seção.A
Routing Engine informationseção mostra que apenas 36.130 DHCPv4 descobrem que os pacotes chegaram ao Mecanismo de Roteamento e que ele não deixou cair pacotes adicionais.A diferença entre o número de DHCPv4 descobrir pacotes recebidos e descartados na placa de linha (47.949 - 11.819) corresponde ao número recebido no Mecanismo de Roteamento. Isso pode nem sempre ser o caso, porque os pacotes podem ser recebidos e descartados em mais de uma placa de linha. Neste exemplo, apenas a placa de linha no slot 1recebi qualquer pacote DHCPv4.
A saída para o dhCPv4 oferecer policiador de pacotes neste exemplo mostra as seguintes informações:
Este policial individual nunca foi violado em nenhum local.
Nenhum pacote de oferta DHCPv4 foi recebido em qualquer local.
Verificando a configuração de DDoS de PPPoE
Propósito
Verifique se os valores do policiador PPPoE mudaram de padrão.
Ação
A partir do modo operacional, entre no show ddos-protection protocols pppoe parameters brief comando.
user@host> show ddos-protection protocols pppoe parameters brief Number of policers modified: 1 Protocol Packet Bandwidth Burst Priority Recover Policer Bypass FPC group type (pps) (pkts) time(sec) enabled aggr. mod pppoe aggregate 800* 2000 medium 300 yes -- no pppoe padi 500 500 low 300 yes no no pppoe pado 0 0 low 300 yes no no pppoe padr 500 500 medium 300 yes no no pppoe pads 0 0 low 300 yes no no pppoe padt 1000 1000 high 300 yes no no pppoe padm 0 0 low 300 yes no no pppoe padn 0 0 low 300 yes no no
A partir do modo operacional, entre no show ddos-protection protocols pppoe padi comando e insira o comando também padr .
user@host> show ddos-protection protocols pppoe padi
Protocol Group: PPPoE
Packet type: padi (PPPoE PADI)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: low
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-09 11:26:33 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 660788548 Max arrival rate: 8008 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 39950330 Arrival rate: 298 pps
Dropped: 0 Max arrival rate: 503 pps
Dropped by aggregate policer: 0
FPC slot 3 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-09 11:26:35 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 664882578 Max arrival rate: 8008 pps
Dropped by this policer: 660788548
Dropped by aggregate policer: 4094030
user@host> show ddos-protection protocols pppoe padr
Protocol Group: PPPoE
Packet type: padr (PPPoE PADR)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:21:17 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:57 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 10287695 Arrival rate: 500 pps
Dropped: 0 Max arrival rate: 502 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-10 06:21:18 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:56 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Dropped by this policer: 484375900
Dropped by aggregate policer: 0
Significado
A saída do show ddos-protection protocols pppoe parameters brief comando lista a configuração atual para cada um dos policiais individuais de pacotes PPPoE e o policiador agregado PPPoE. Uma alteração de um valor padrão é indicada por um asterisco próximo ao valor modificado. A única mudança feita aos policiais de PPPoE nas etapas de configuração foi para o limite agregado de largura de banda de policial (pps); essa mudança está confirmada na saída. Além dos valores de configuração, a saída de comando também informa se um policial foi desativado, se ele ignora o policiador agregado (o que significa que o tráfego para esse tipo de pacote não está incluído para avaliação pelo policiador agregado), e se o policiador foi modificado para uma ou mais placas de linha.
A saída do show ddos-protection protocols pppoe padi comando neste exemplo mostra as seguintes informações:
A
System-wide informationseção mostra que 704.832.908 pacotes PPPoE PADI foram recebidos em todas as placas de linha e no Mecanismo de Roteamento. A seção mostra uma única violação em uma placa de linha que ainda está em andamento, e que o policial agregado na placa de linha caiu 660.788.548 pacotes PADI.A
FPC slot 3 informationseção mostra que essa placa de linha recebeu todos os 704.832.908 pacotes PADI. Seu policial individual derrubou 660.788.548 desses pacotes e seu policial agregado derrubou os outros 4.094.030 pacotes. A violação está em andamento e durou mais de um dia.A
Routing Engine informationseção mostra que apenas 39.950.330 pacotes PADI chegaram ao Mecanismo de Roteamento e que ele não deixou cair pacotes adicionais.A diferença entre o número de pacotes PADI recebidos e a queda na placa de linha [704.832.908 - (660.788.548 + 4.094030)] corresponde ao número recebido no Mecanismo de Roteamento. Isso pode nem sempre ser o caso, porque os pacotes podem ser recebidos e descartados em mais de uma placa de linha. Neste exemplo, apenas a placa de linha no slot 3 recebeu quaisquer pacotes PADI.
A saída do show ddos-protection protocols pppoe padr comando neste exemplo mostra as seguintes informações:
A
System-wide informationseção mostra que 494.663.595 pacotes PPPoE PADR foram recebidos em todas as placas de linha e no Mecanismo de Roteamento. A seção mostra uma única violação em uma placa de linha que ainda está em andamento, e que o policial na placa de linha caiu 484.375.900 dos pacotes PADR.A
FPC slot 1 informationseção mostra que essa placa de linha recebeu todos os 494.663.595 pacotes PADR. Seu policial individual derrubou 484.375.900 desses pacotes. A violação está em andamento e durou mais de cinco horas.A
Routing Engine informationseção mostra que apenas 10.287.695 pacotes PADR chegaram ao Mecanismo de Roteamento e que ele não deixou cair pacotes adicionais.A diferença entre o número de pacotes PADR recebidos e a queda na placa de linha (494.663.595 - 484.375.900) corresponde ao número recebido no Mecanismo de Roteamento. Isso pode nem sempre ser o caso, porque os pacotes podem ser recebidos e descartados em mais de uma placa de linha. Neste exemplo, apenas a placa de linha no slot 1 recebeu quaisquer pacotes PADR.
Esse cenário é irreal ao mostrar todos os pacotes PADI recebidos em uma placa de linha e todos os pacotes PADR em uma placa de linha diferente. A intenção do cenário é ilustrar como as violações dos policiais são relatadas para placas de linha individuais.