Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

控制平面 DDoS 保护 流量检测概述

流量检测是对控制平面 DDoS 保护的一种增强功能,是对 DDoS 监管器层次结构的补充;它是完整控制平面 DDoS 保护解决方案的一部分。流检测使用有限数量的硬件资源来监控控制流量的主机绑定流的到达速率。与基于过滤器监管器的解决方案相比,流量检测的可扩展性要高得多。过滤器监管器跟踪所有流量,这会消耗大量资源。相比之量检测仅跟踪它识别为可疑的流量,使用的资源要少得多。

流量检测应用由检测和跟踪两个相互关联的组件组成。检测是识别可疑流量并随后对其进行控制的过程。跟踪是一个过程,在这个过程中,跟踪流量以确定它们是否真的是恶意的,以及这些流量何时恢复到可接受的范围内。

流量检测和控制

默认情况量检测处于禁用状态。在 [edit system ddos-protection global] 层级启用它时,当几乎所有协议组和数据包类型都违反控制平面 DDoS 保护监管器时,应用将开始监控控制流量。除了全局启用流量检测外,您还可以为几乎所有协议组和数据包类型配置其操作模式,即是在违反 DDoS 保护监管器(默认)的情况下自动触发,还是始终开启。您可以覆盖单个协议组和数据包类型的全局配置设置。除事件报告速率外,流量检测的所有其他特征只能在单个数据包类型级别进行配置。

从 Junos OS 17.3R1 版开始,增强型订阅者管理支持用于控制平面 DDoS 保护的流量检测。

注意:

您无法为以下组和数据包类型启用全局流量检测,因为它们没有典型的以太网、IP 或 IPv6 标头:

  • 协议组:fab-probe、、frame-relayinline-kamlpjfmpfe-aliveisispos和 。services

  • 数据包类型: unclassified 在协议组中 ip-options

控制流在三个级别进行聚合。 订阅者级别 是三者中最细粒度的级别,由单个订阅者会话的流组成。 逻辑接口级别 聚合多个用户流,因此粒度较粗,不会区分单个用户流。 物理接口级别 聚合多个逻辑接口流,因此它提供了最粗略的流量视图。

您可以在三个控制流级别中的任何一个关闭或打开流量检测。您可以将流量检测设置为由 DDoS 保护监管器违规自动触发,或保持始终开启。在自动模式量检测仅在发生 DDoS 保护监管器违规后激活。流检测在最细粒度级别启动,其中检测配置为 onautomatic

当流到达时,流检测会检查该流是否已列在 可疑 流表中。可疑流量是指超出默认情况或配置所允许带宽的流量。如果流不在表中,并且聚合级别流检测模式为 on,则流检测会列出表中的流。如果流不在表中,且流检测模式为 automatic,流检测会检查此流是否可疑。

如果流程可疑,则将其放入流程表。如果流量不可疑,则在流量检测设置为 on的下一个较粗的聚合级别以相同的方式处理该流。如果更高级别的检测均未开启,则流量将继续进入 DDoS 保护数据包监管器进行操作,在该监管器中可以传递或丢弃。

当初始检查在表中找到流时,将丢弃、监管或保留该流,具体取决于该聚合级别的控制模式设置。丢弃流中的所有数据包都将被丢弃。在监管流中,数据包将被丢弃,直到流量在聚合级别的可接受带宽范围内。保留的流量将被传递到下一个聚合级别进行处理。

有关详细信息,请参阅 配置流量检测的全局运行方式

流跟踪

流检测应用程序跟踪可疑流表中列出的流。它会定期检查表中的每个条目,以确定列出的流是否仍然可疑(违反带宽)。如果可疑流量自插入表中以来持续违反带宽的时间长于可配置的流量检测周期,则将其视为 罪魁祸首 流,而不仅仅是可疑流。但是,如果违反带宽的时间少于检测周期,则违反将被视为误报。流检测认为流是安全的,并停止跟踪它(将其从表中删除)。

您可以启用超时功能,在可配置的超时时间段内抑制罪魁祸首流,在此期间,流将保留在流表中。(抑制是默认行为,但可以通过流级别控制配置更改流检测操作。)如果对列出的流的检查发现已启用超时且超时期限已过期的流,则该流已超时,并将从流表中删除。

如果超时尚未过期或未启用超时功能,则应用程序将执行恢复检查。如果自流上次违反带宽以来的时间长于可配置的恢复期,则流已恢复并已从流表中删除。如果自上次违规以来的时间小于恢复期,则流将保留在流表中。

通知

默认情况检测会自动为流检测期间发生的各种事件生成系统日志。日志在流检测 CLI 中称为 报告 。默认情况下,所有协议组和数据包类型都包含在内,但您可以禁用单个数据包类型的自动日志记录。您还可以配置报告的发送速率,但这适用于所有数据包类型。

每个报表都属于以下两种类型之一:

  • 流量报告 — 这些报告由与识别和跟踪罪魁祸首流量关联的事件生成。每个报表都包含经历该事件的流的标识信息。此信息用于准确维护流量表;根据报告中的信息,流将被删除或保留在表中。 表 1 描述了触发每个流报表的事件。

    表 1:流检测报告的触发事件

    名字

    描述

    DDOS_SCFD_FLOW_FOUND

    检测到可疑流量。

    DDOS_SCFD_FLOW_TIMEOUT

    罪魁祸首流的超时期限到期。流量检测将停止抑制(或监控)流量。

    DDOS_SCFD_FLOW_RETURN_NORMAL

    罪魁祸首流量返回到带宽限制范围内。

    DDOS_SCFD_FLOW_CLEARED

    通过命令手动 clear 清除罪魁祸首流量,或者由于可疑流量监控转移到不同的聚合级别而自动清除。

    DDOS_SCFD_FLOW_AGGREGATED

    控制流聚合到较粗的级别。当流量表接近容量时,或者在特定流量级别上找不到流量,并且必须搜索下一个更粗的级别时,会发生此事件。

    DDOS_SCFD_FLOW_DEAGGREGATED

    控制流被分解到更精细的级别。当流表不是很满,或者当流控制有效且数据包类型监管器上的流的总到达速率在固定的内部时间段内低于其带宽时,会发生此事件。

  • 带宽违规报告 — 这些报告由与发现可疑流量关联的事件生成。每个报表都包含经历该事件的流的标识信息。此信息用于跟踪可疑流,并识别放置在流表中的流。 表 2 描述了触发每个违规报告的事件。

    表 2:带宽冲突报告的触发事件

    名字

    描述

    DDOS_PROTOCOL_VIOLATION_SET

    控制协议的传入流量超过配置的带宽。

    DDOS_PROTOCOL_VIOLATION_CLEAR

    违反控制协议的传入流量恢复正常。

仅当事件触发时,才会发送报告;也就是说,没有空或空的报告。由于报告是定期进行的,因此唯一感兴趣的事件是自上次报告以来的时间间隔内发生的事件。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
17.3R1
从 Junos OS 17.3R1 版开始,增强型订阅者管理支持用于控制平面 DDoS 保护的流量检测。