Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

控制平面 DDoS 保护流检测概述

流检测是对控制平面 DDoS 保护的增强,补充了 DDoS 监管器层次结构;它是完整控制平面 DDoS 防御解决方案的一部分。流检测使用数量有限的硬件资源来监控受主机绑定流量的到达速率。流检测比基于过滤器的解决方案更具可扩展性。过滤器监管器可跟踪所有流量,消耗大量资源。相比之下,流检测仅跟踪其标识为可疑的流,使用此类流量的资源要少得多。

流检测应用程序具有两个关联组件,检测和跟踪。检测过程可识别怀疑不正当的流量并随后加以控制。跟踪是指跟踪流以确定其是否真正具有敌意以及这些流何时恢复到可接受限制的过程。

流检测和控制

默认情况下,流检测禁用。在 [edit system ddos-protection global] 层级启用时,应用程序将在几乎所有协议组和数据包类型都违反控制平面 DDoS 保护监管器时,开始监控流量。除了在全球范围内启用流检测之外,您还可以为几乎所有协议组和数据包类型配置其操作模式,即无论是由违反 DDoS 保护监管器(默认)或始终开启的自动触发。您可以替代单个协议组和数据包类型的全局配置设置。除事件报告速率外,流检测的所有其他特征仅可在单个数据包类型的级别上配置。

增强型订阅者管理支持流检测,以实现截至 Junos OS 版本 17.3R1 的控制平面 DDoS 保护。

注意:

由于没有典型的以太网、IP 或 IPv6 标头,因此无法对以下组和数据包类型进行全局流量检测:

  • 协议组: fab-probeframe-relayinline-kaisisjfmmlppfe-aliveposservices.

  • 数据包类型: unclassified 在协议组中 ip-options

控制流聚合在三个级别。 订阅者级别 是三者中最好的一个,由各个订阅者会话的流构成。 逻辑接口级别 聚合多个订阅者流,因此已对用户流量进行粗粒度划分,不会对个别订阅者流造成歧视。 物理接口级别 聚合多个逻辑接口流,因此可提供最粗糙的信息流视图。

您可以关闭流量检测,或在任何此类级别上关闭流量检测。您还可以配置是否因违反 DDoS 保护监管器而自动触发或始终开启。流检测从已配置为 onautomatic的检测级别开始。

当流量到达时,流检测会检查流量是否已列在 可疑 流量表中。可疑流是指超过默认或配置允许的带宽的流。如果流未在表中且聚合级别流检测模式为 on,则流检测会在表中列出流。如果流量未在表中且流检测模式为 automatic,则流检测检查此流是否可疑。

如果流量可疑,则进入流表。如果流量不可疑,则在具有流检测设置为 on的下一个粗体聚合级别上以相同的方式进行处理。如果没有对较高级别进行检测,则流将继续通过 DDoS 保护数据包监管器进行操作,以将其传递或丢弃。

当初始检查在表中发现信息流时,根据聚合级别的控制模式设置,将丢弃、监管或保留流。丢弃的流中的所有数据包均会被丢弃。在监管流中,数据包被丢弃,直至流在聚合级别可接受的带宽内。保留的流将传递到下一个聚合级别以进行处理。

流跟踪

流检测应用程序跟踪可疑流表中列出的流。它会定期检查表中的每个条目,以确定列出的流量是否仍然可疑(违反带宽)。如果可疑流量自插入表中以来持续违反带宽超过可配置流检测周期的句点,则被视为 犯罪 流,而不仅仅是可疑流。但是,如果带宽在检测期间内受到的侵害小于此,则该违例会被视为误报。流检测认为流量安全且停止跟踪(从表中删除)。

您可以启用超时功能,在可配置的超时期间抑制罪魁祸首流,在此期间流保留在流表中。(抑制是默认行为,但流检测操作可通过流级控制配置更改。)如果检查列出的流找到一个启用超时且超时期已过期的流,则流已超时,并从流表中移除。

如果超时尚未到期或未启用超时功能,则应用程序将执行恢复检查。如果上次违反流的带宽的时间长于可配置的恢复周期,则流已恢复,并从流表中移除。如果上次违规以来的时间小于恢复期,则流保留在流表中。

通知

默认情况下,流检测会自动为流检测期间发生的各种事件生成系统日志。这些日志在流检测 CLI 中称为 报告 。默认情况下,所有协议组和数据包类型都涵盖在内,但您可以禁用单个数据包类型的自动日志记录。您也可配置发送报告的速率,但这适用于所有数据包类型。

每个报告都属于以下两种类型的其中之一:

  • 流报告 — 这些报告是由与识别和跟踪犯罪流相关的事件生成的。每份报告都包含有关经历事件的信息流的识别信息。此信息用于准确维护流表;流将根据报告中的信息在表中删除或保留。 表 1 介绍了触发每个流报告的事件。

    表 1:流检测报告触发事件

    名字

    描述

    DDOS_SCFD_FLOW_FOUND

    检测到可疑流量。

    DDOS_SCFD_FLOW_TIMEOUT

    超时期因犯罪流而过期。流检测可阻止抑制(或监控)流量。

    DDOS_SCFD_FLOW_RETURN_NORMAL

    犯罪流返回到带宽限制内。

    DDOS_SCFD_FLOW_CLEARED

    由于可疑流量监控切换到不同的聚合级别,可以使用命令手动 clear 清除犯罪流。

    DDOS_SCFD_FLOW_AGGREGATED

    控制流聚合到更粗的级别。当流表接近容量或在特定流级别上找不到流时,必须搜索下一个粗体级别,将会发生此事件。

    DDOS_SCFD_FLOW_DEAGGREGATED

    控制流分解到更精细的水平。当流表不是非常充分或流控制有效时,数据包类型监管器上流量的总到达速率低于其固定内部周期的带宽时,将会发生此事件。

  • 带宽违规报告 — 这些报告是由与发现可疑流量相关联的事件生成的。每份报告都包含有关经历事件的信息流的识别信息。此信息用于跟踪可疑流并识别放置在流表中的流。 表 2 介绍了触发每个违规报告的事件。

    表 2:带宽违规报告触发事件

    名字

    描述

    DDOS_PROTOCOL_VIOLATION_SET

    控制协议的传入流量超过了配置的带宽。

    DDOS_PROTOCOL_VIOLATION_CLEAR

    违反控制协议的传入流量恢复正常。

仅在事件触发时才会发送报告;也就是说,没有空报告或空报告由于报告定期进行,因此自上次报告以来,唯一感兴趣的事件是在间隔期间发生的。

发布历史记录表
释放
描述
17.3R1
增强型订阅者管理支持流检测,以实现截至 Junos OS 版本 17.3R1 的控制平面 DDoS 保护。