控制平面分布式拒绝服务 (DDoS) 保护概述
拒绝服务 (DoS) 攻击是指任何试图通过耗尽网络元素或服务器的所有资源来拒绝有效用户访问网络或服务器资源的行为。分布式拒绝服务 (DDoS) 攻击涉及来自多个来源的攻击,使得攻击网络的流量要大得多。这些攻击通常使用网络协议控制数据包来触发设备控制平面的大量异常。这会导致处理负载过大,从而扰乱正常的网络运维。
借助单点 DDoS 防御管理,网络管理员可以为其网络控制流量自定义配置文件。对于路由器,在 平滑路由引擎切换 (GRES) 和统一不中断服务软件升级 (ISSU) 切换期间,保护和监控将持续存在。保护不会随着订阅者数量的增加而减少。
针对 DDoS 违规的主机绑定交通监管器
为了保护控制平面免受 DDoS 攻击,设备默认为主机绑定流量启用监管器。如果需要,可以修改许多监管器默认值。主机绑定流量是发往路由引擎的流量,包括 OSPF 和 BGP 等路由协议的协议控制数据包。发往路由器 IP 地址的流量也被视为主机绑定流量。
监管器为给定协议的所有控制流量指定速率限制,或者在某些情况下,为协议的特定控制数据包类型指定速率限制。您可以在设备、路由引擎和线卡级别监控数据包类型和协议组的监管器作。您还可以控制监管器事件的日志记录。
当控制流量超过默认值或配置的监管器值时,设备会丢弃控制流量。当发生 DDoS 违规时,设备不会停止处理数据包;它只会限制他们的速率。每次违规都会立即生成一条通知,提醒操作员可能遭受的攻击。设备会计算违规,并记下违规开始的时间和上次观察到的违规时间。当流量速率降至带宽违规阈值以下时,恢复计时器将确定流量何时被视为已恢复正常。如果在计时器到期之前没有发生进一步的违规,设备将清除违规状态并生成通知。
在 PTX 路由器和 QFX 系列交换机上,计时器设置为 300 秒且无法修改。
第一道防线是数据包转发引擎 (PFE) 上的监管器。在具有多个线卡的设备上,来自每个线卡的监管器状态和统计信息将中继到路由引擎并进行聚合。在切换期间,将保留监管器状态。虽然在切换期间会保留线卡统计信息和违规计数,但不会保留路由引擎监管器统计信息。从线卡所有端口到达的控制流量会汇聚到数据包转发引擎上,在数据包转发引擎上对其进行监管,在多余的数据包到达路由引擎之前将其丢弃,并确保路由引擎仅接收它可以处理的流量。
支持此功能的 ACX 系列路由器仅支持聚合监管器,不支持线卡级别的监管。您可以在全局或特定协议组的路由引擎级别更改默认监管器值,这将向下传播到 PFE 芯片组级别。但是,您不能像在其他设备上一样在线卡级别应用其他缩放参数。您可以全局禁用路由引擎级别的监管,也可以针对特定协议组禁用监管。全局禁用监管可有效地禁用设备上的控制平面 DDoS 保护。
QFX10000 系列交换机和 PTX 系列 路由器在 PFE 芯片组、线卡和 路由引擎 三个级别实施 DDoS 防护限制。
除了通过事件日志记录提供违规通知外,控制平面 DDoS 保护还允许您监控监管器,获取监管器配置、遇到的违规次数、违规日期和时间、数据包到达速率以及接收或丢弃的数据包数等信息。
控制平面 DDoS 保护监管器对系统的流量队列起作用。交换机的 QFX5100 和 QFX5200 系列管理的协议流量多于队列数量,因此系统通常必须将多个协议映射到同一队列。当一个协议的流量与其他协议共享一个队列并违反 DDoS 保护监管器限制时,这些设备会报告该队列上所有映射协议的违规行为,因为系统无法区分具体是哪个协议的流量导致了违规。您可以使用您对流经网络的流量类型的了解,来确定报告的协议中有哪些实际触发了违规。
平台支持
在 Junos OS 14.2 及更高版本中,控制平面 DDoS 保护在特定平台上受支持。通常,以下平台的某些型号默认启用控制平面 DDoS 保护,并支持使用配置选项来更改默认监管器参数:
-
ACX 系列路由器。
-
EX9200 交换机。
-
仅安装了 MPC 的 MX 系列路由器。
-
内置 MPC 的 MX 系列路由器。
注意:为简单起见,其中文本指的是线卡或线卡监管器,对于这些路由器,这意味着内置 MPC。
由于这些路由器没有 FPC 插槽,因此命令
show在FPC字段中显示的信息实际上是指 TFEB。 -
从 Junos OS 版本 17.4R1 开始,仅安装了基于 PE 的 FPC(PTX3000、PTX5000、PTX1000 和 PTX10000)的PTX 系列路由器支持控制平面 DDoS 防护。
从 Junos OS 版本 18.2R1 开始,PTX10002路由器支持控制平面 DDoS 防御。
从 Junos OS 演化版 19.3R1 开始,PTX10003路由器支持控制平面 DDoS 防御。
从 Junos OS 演化版 20.3R1 开始,PTX10004路由器支持控制平面 DDoS 防御。
从 Junos OS 演化版 20.1R1 开始,PTX10008路由器支持控制平面 DDoS 防御。
-
QFX 系列交换机,包括QFX5100 系列、QFX5200 系列和交换机QFX10000 系列。
从 Junos OS 版本 18.1R1 开始,QFX10002-60C 交换机支持控制平面 DDoS 防御。
-
仅安装了 5 类 FPC 的 T4000 路由器。
-
在 Junos Evolved 平台上,您必须在设备的 lo0 接口上配置
inet和/或inet6协议族,以便分别为这些协议家族提供 DDoS 保护。 -
某些 EX 系列交换机可能具有控制平面 DDoS 保护,但不支持用于显示或更改默认监管器参数的 CLI 选项。
-
对于除了 MPC (MX 系列)、5 类 FPC (T4000) 或基于 PE 的 FPC(PTX3000、PTX5000、PTX1000 和 PTX10000)之外还有其他线卡的路由器平台,CLI 接受配置,但其他线卡不受保护,因此路由器不受保护。
-
控制平面 DDoS 保护 在路由平台上的 Junos OS 17.3R1 版中添加了对增强型订阅者管理的支持。
-
要为支持的协议组和数据包类型更改默认配置的控制平面 DDoS 保护参数,支持 ACX 系列路由器、PTX 系列路由器和 QFX 系列交换机的 CLI 配置选项与 MX 系列和 T4000 路由器的可用选项有很大不同。有关不同设备上的可用配置选项,请参阅以下配置语句:
-
有关 PTX 系列路由器以外的路由设备,请参阅协议 (DDoS)。
-
有关 ACX 系列路由器、PTX 系列路由器和 QFX 系列交换机,请参阅协议 (DDoS)(ACX 系列、PTX 系列和 QFX 系列)。
-
监管器类型和数据包优先级
控制平面 DDoS 保护包括两种类型的监管器:
-
聚合监管器应用于属于某个协议组的完整数据包类型集。例如,您可以配置适用于所有 PPPoE 控制数据包类型或所有 DHCPv4 控制数据包类型的聚合监管器。您可以指定带宽(数据包/秒 [pps])和突发(突发中的数据包)限制,扩展带宽和突发限制,并为聚合监管器设置流量优先级。所有协议组都支持聚合监管器。
-
系统会为协议组中的每个控制数据包类型分配一个 单独的监管器,也称为 数据包类型监管器。例如,您可以为一种或多种类型的 PPPoE 控制数据包、RADIUS 控制数据包或组播侦听数据包配置监管器。您可以指定带宽 (pps) 和突发 (packets) 限制值,缩放带宽和突发限制,并为数据包类型监管器设置流量优先级。某些协议组可以使用单独的监管器。
协议组和数据包类型支持因平台和 Junos OS 版本而异,具体如下所示:
-
有关 PTX 系列路由器以外的路由设备,请参阅协议 (DDoS)。
-
对于 ACX 系列路由器、PTX 系列路由器和 QFX 系列交换机,请参阅协议 (DDoS)(ACX 系列、PTX 系列和 QFX 系列)。
控制数据包首先由其单个监管器(如果支持)监管,然后由其聚合监管器监管。单个监管器丢弃的数据包永远不会到达聚合监管器。通过单个监管器的数据包随后可被聚合监管器丢弃。
ACX 系列路由器仅支持任何受支持协议组的聚合监管器。
协议组中的数据包类型具有默认的可配置优先级:低、中或高。每个控制数据包都会与其他数据包竞争,争夺其聚合监管器根据为协议组中的每种数据包类型配置的优先级所施加的数据包速率限制内的带宽。
优先级机制是绝对的。高优先级流量优先获得带宽,而不是中优先级和低优先级流量。中等优先级流量优先获得带宽,而不是低优先级流量。低优先级流量只能使用高优先级和中等优先级流量留下的带宽。如果优先级较高的流量占用了所有带宽,则所有优先级较低的流量都会被丢弃。
在 Junos OS 23.2R1 版本之前的版本中,在 MX 系列设备上,设备中的线卡类型决定了传入协议的分布式拒绝服务 (DDoS) 优先级。从 Junos OS 23.2R1 版开始,设备根据 DDoS 参数表确定协议的 DDoS 优先级。默认情况下,此增强功能使设备可以对特定协议的所有数据包一视同仁,而不考虑设备的线卡。此功能提高了网络中设备为抵御 DDoS 攻击而对协议进行优先级排序的方式的一致性。 表 1 列出了默认 DDOS 优先级的更改。您可以使用 edit system ddos-protection protocol proto-name (aggregate | subtype) priority level CLI 命令更改优先级。
| DDOS 参数表中的协议默认 DDOS 优先级 | ||
|---|---|---|
| Junos OS 23.2R1 版之前 | 的Junos OS 23.2R1 版之后 | |
| 边界网关协议 |
低 |
高 |
| 自民党 |
高 |
高 |
| ICMP |
高 |
中等 |
| ICMPv6 |
高 |
中等 |
| ND_ROUTER_SOLICIT |
高 |
高 |
| ND_ROUTER_ADVERT |
低 |
高 |
| ND_NEIGHBOUR_SOLICIT |
高 |
高 |
| ND_NEIGHBOUR_ADVERT |
低 |
高 |
| ND_NEIGHBOUR_REDIRECT |
低 |
高 |
| IGMP |
高 |
|
| BFD型 |
高 |
高 |
| GRE 激活 |
高 |
高 |
| GRE |
低 |
中等 |
监管器优先级行为示例
例如,在支持 PPPoE 协议组的控制平面 DDoS 保护的设备上,请考虑如何配置此协议组中的数据包类型。忽略其他 PPPoE 数据包类型 在此示例中,假设您为 PADI 和 PADT 数据包配置单独的监管器,并为所有这些数据包配置一个 PPPoE 聚合监管器。您优先考虑 PADT 数据包而不是 PADI 数据包,因为 PADT 数据包使 PPPoE 应用程序能够释放资源以接受新连接。因此,您为 PADT 数据包分配高优先级,为 PADI 数据包分配低优先级。
聚合监管器对协议组施加总数据包速率限制。由于 PADT 数据包具有更高的优先级,因此由其单个监管器传递的 PADT 数据包可以在其单个监管器通过的 PADI 数据包之前访问该带宽。如果传递的 PADT 数据包太多,以至于它们使用了所有可用带宽,则所有 PADI 数据包都会被丢弃,因为聚合监管器上没有剩余带宽。
监管器层次结构示例
控制平面 DDoS 监管器经过精心组织,以匹配协议控制流量的分层流。控制从线卡所有端口到达的流量会聚到数据包转发引擎上。控制来自路由器上所有线卡的流量会聚到路由引擎上。同样,DDoS 监管器沿控制路径分层放置,以便尽早将多余的数据包丢弃在路径上。此设计通过删除多余的恶意流量来保留系统资源,这样路由引擎就只接收它可以处理的流量。
例如,为了在 MX 系列路由器上实现这种设计,需要有五个 DDoS 监管器:一个在数据包转发引擎(芯片组)上,两个在线卡上,两个在路由引擎上。对于某些协议组,数据包转发引擎上还存在一个聚合监管器,总共有六个监管器;为简单起见,本文遵循一般情况。例如, 图 1 显示了 PPPoE 流量的监管器过程。 图 2 显示了 DHCPv4 流量的监管器进程。(相同的过程也适用于 DHCPv6 流量。
回想一下,PTX 系列路由器和 QFX 系列交换机的设计更简单,仅在数据包转发引擎中设有监管器。PTX10003 和 PTX10008 路由器在三个级别强制实施控制平面 DDoS 保护限制,两个级别在数据包转发引擎芯片组和线卡级别,一个级别在路由引擎级别。但是,数据包类型和聚合监管器在所有这些平台上的运行方式类似。
的监管器层次结构
的监管器层次结构
控制数据包到达数据包转发引擎进行处理和转发。第一个监管器 (1) 可以是单个监管器(图 1),也可以是聚合监管器(图 2)。
-
第一个监管器是用于支持单个监管器的协议组的单个监管器,但有两个例外。对于 DHCPv4 和 DHCPv6 流量,第一个监管器是聚合监管器。
-
第一个监管器是仅支持聚合监管器的协议组的聚合监管器。
通过第一个监管器的流量由一个或两个线卡监管器监控。如果网卡具有多个数据包转发引擎,则来自所有数据包转发引擎的流量都会汇聚到线卡监管器上。
-
当流量属于支持单个监管器的协议组时,它将通过线卡单个监管器 (2),然后通过线卡聚合监管器 (3)。通过单个监管器的流量可由聚合监管器丢弃。虽然 DHCPv4 和 DHCPv6 流量由数据包转发引擎的聚合监管器监控,但在线卡上,其处理方式与支持单个监管器的其他协议类似。
-
当流量属于仅支持聚合监管器的协议组时,只有线卡聚合监管器监控流量。
通过线卡监管器的流量由一个或两个路由引擎监管器监控。来自所有线卡的流量汇聚到路由引擎监管器上。
-
当流量属于支持单个监管器的协议组时,它将通过路由引擎单个监管器 (4),然后通过路由引擎聚合监管器 (5)。通过单个监管器的流量可由聚合监管器丢弃。与线卡级别一样,路由引擎上的 DHCPv4 和 DHCPv6 流量的处理方式与支持单个监管器的其他协议类似。
-
当流量属于仅支持聚合监管器的协议组时,只有聚合监管器监控流量。
通过此设计,三个监管器评估仅支持聚合监管器的协议组的流量。其中包括 ANCP、动态 VLAN、FTP 和 IGMP 流量。同时支持聚合监管器和单个监管器的协议组的流量由所有五个监管器评估。其中包括 DHCPv4、MLP、PPP、PPPoE 和 虚拟机箱 流量。
图 1 显示了控制平面 DDoS 保护如何监管 PPPoE 控制数据包:
-
例如,PADR 数据包在数据包转发引擎上的第一个监管器上进行评估,以确定它们是否在数据包速率限制范围内。超出限制的 PADR 数据包将被丢弃。
-
接下来,在线卡上的所有数据包转发引擎上通过监管器的所有 PADR 数据包将由线卡单个监管器评估。超出限制的 PADR 数据包将被丢弃。
-
通过线卡单个监管器的所有 PADR 数据包都进入线卡聚合监管器。超出限制的 PADR 数据包将被丢弃。
-
由路由器上所有线卡上的线卡聚合监管器通过的所有 PADR 数据包都进入路由引擎单独监管器。超出限制的 PADR 数据包将被丢弃。
-
最后,由路由引擎单个监管器传递的所有 PADR 数据包继续进入路由引擎聚合监管器。超出限制的 PADR 数据包将被丢弃。未丢弃此处的 PADR 数据包将作为安全的正常流量进行传输。
默认情况下,对于给定的数据包类型,所有三个单独的监管器(数据包转发引擎、线卡和路由引擎)具有相同的数据包速率限制。在这种设计中,只要没有来自其他数据包转发引擎或线卡的同类型竞争流量,来自数据包转发引擎和线卡的所有控制流量就可以到达路由引擎。当存在竞争流量时,多余的数据包会在融合点被丢弃。也就是说,它们会丢弃在所有竞争数据包转发引擎的线卡上,以及所有竞争线卡的路由引擎中。
限制数据包速率的监管器行为示例
例如,假设您将 PADI 数据包的监管器 bandwidth 选项设置为每秒 1000 个数据包。此值适用于数据包转发引擎、线卡和路由引擎上的各个 PADI 监管器。如果只有插槽 5 中的卡接收 PADI 数据包,则最多可以有 1000 个 PADI pps 到达路由引擎(如果未超过 PPPoE 聚合监管器)。但是,假设插槽 9 中的卡也以 1000 pps 的速度接收 PADI 数据包,并且未超过其 PPPoE 聚合监管器。流量会通过两个线卡处的单独监管器和聚合监管器,然后进入路由引擎。在路由引擎上,组合数据包速率为 2000 pps。由于路由引擎的 PADI 监管器只允许 1000 个 PADI pps 通过,因此会丢弃多余的 1000 个数据包。只要超过带宽 (pps) 限制,它就会继续丢弃多余的数据包。
您可以对线卡的带宽 (pps) 限制和突发(突发中的数据包)限制应用比例因子,以微调每个插槽的流量限制。例如,假设单个监管器将 PADI 数据包速率设置为 1000 pps,并将突发大小设置为 50,000 个数据包。您可以通过指定插槽编号和缩放因子来降低任何线卡上 PADI 数据包的流量限制。此示例中,插槽 5 的带宽扩展系数为 20,可将流量减少到 1000 pps 的 20%,或者该插槽中的线卡为 200 pps。同样,当该插槽的突发扩展因子为 50 时,突发大小会减少 50%,达到 25,000 个数据包。默认情况下,扩展因子设置为 100,以便流量可以以 100% 的速率限制通过。
控制平面 DDoS 防御与订阅者登录数据包过载保护的比较
除了控制平面 DDoS 保护功能外,MX 系列路由器还具有内置的用户登录过载保护机制。登录过载保护机制(也称为负载限制机制)监视传入用户登录数据包,并仅允许系统根据系统上的当前负载处理的内容。超出系统处理能力的数据包将被丢弃。通过消除这些多余的负载,系统能够保持最佳性能,并防止在过载条件下登录完成率的任何下降。此机制使用最少的资源,默认启用;无需用户配置。
此机制提供的保护仅次于控制平面 DDoS 保护,作为针对高传入数据包的第一层防御。控制平面 DDoS 保护在数据包转发引擎上运行,可抵御所有协议的所有数据包类型。相比之下,登录过载保护机制位于路由引擎上,专门作用于传入连接初始数据包,例如 DHCPv4、DHCPDISCOVER、DHCPv6 SOLICIT 和 PPPoE PADI 数据包。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。