Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

控制平面 DDoS 保护流量检测概述

流量检测是对控制平面 DDoS 保护的增强,是对 DDoS 监管器层次结构的补充;它是完整控制平面 DDoS 保护解决方案的一部分。流量检测使用有限数量的硬件资源来监控控制流量的主机绑定流的到达速率。流量检测比基于过滤器监管器的解决方案更具可扩展性。过滤器监管器跟踪所有流量,这会消耗大量资源。相比之量检测仅跟踪它识别为可疑的流量,使用的资源要少得多。

流量检测应用程序有两个相互关联的组件:检测和跟踪。检测是识别并随后控制疑似不当流量的过程。跟踪是跟踪流以确定它们是否真正具有敌意以及这些流何时恢复到可接受的限制内的过程。

流量检测和控制

默认情况量检测处于禁用状态。在层次结构级别启用后 [edit system ddos-protection global] ,当几乎所有协议组和数据包类型都违反控制平面 DDoS 保护监管器时,应用程序将开始监控控制流量。除了全局启用流量检测外,您还可以为几乎所有协议组和数据包类型配置其操作模式,即,是因违反 DDoS 防护监管器(默认)而自动触发还是始终开启。您可以覆盖单个协议组和数据包类型的全局配置设置。除事件报告速率外,流检测的所有其他特征只能在单个数据包类型级别进行配置。

增强型订阅者管理支持自 Junos OS 17.3R1 版起控制平面 DDoS 保护的流量检测。

注意:

您无法为以下组和数据包类型全局启用流检测,因为它们没有典型的以太网、IP 或 IPv6 标头:

  • 协议组:fab-probeframe-relayinline-kaisispfe-aliveposjfmmlp和 。services

  • 数据包类型: unclassifiedip-options 协议组中。

控制流在三个级别聚合。 订阅者级别 是三者中最细粒度的,由单个订阅者会话的流组成。 逻辑接口级别 聚合多个订阅者流,因此粒度较粗,不会区分单个订阅者流。 物理接口级别 聚合多个逻辑接口流,因此可提供最粗略的流量视图。

您可以在这些级别中的任何一个级别关闭或打开流量检测。您还可以配置它是由违反 DDoS 保护监管器自动触发还是始终打开。流量检测从将检测配置为 on 或 的最 automatic细粒度级别开始。

当流到达时,流检测会检查该流是否已列在 可疑 流表中。可疑流是指超出默认或配置允许的带宽的流。如果流不在表中,并且聚合级别流检测模式为 on,则流检测会在表中列出该流。如果流不在表中,并且流量检测模式为 automatic,则流量检测将检查此流量是否可疑。

如果流可疑,则它进入流表。如果流不可疑,则会在下一个较粗的聚合级别以相同的方式处理该流,该流检测设置为 on。如果未打开任何更高级别的检测,则流量将继续流向 DDoS 保护数据包监管器进行操作,可以在其中传递或丢弃。

当初始检查在表中找到流时,将根据该聚合级别的控制模式设置丢弃、监管或保留流。丢弃的流中的所有数据包都将被丢弃。在监管流中,数据包将被丢弃,直到流在聚合级别可接受的带宽内。保留的流将传递到下一个聚合级别进行处理。

流跟踪

流检测应用程序跟踪可疑流表中列出的流。它会定期检查表中的每个条目,以确定列出的流是否仍然可疑(违反带宽)。如果可疑流自插入表中以来持续违反带宽的时间超过可配置的流检测周期,则将其视为 罪魁祸首 流,而不仅仅是可疑流。但是,如果违反带宽的时间少于检测期,则该违规将被视为误报。流检测认为流是安全的,并停止跟踪它(将其从表中删除)。

您可以启用超时功能,在可配置的超时期限内抑制罪魁祸首流,在此期间,流将保留在流表中。(抑制是默认行为,但流检测操作可以通过流级别控制配置进行更改。如果对所列流的检查发现启用了超时且超时期限已过期的流,则该流已超时,并且将从流表中删除。

如果超时尚未过期或未启用超时功能,则应用程序将执行恢复检查。如果自上次违反带宽以来流的时间长于可配置的恢复期,则流已恢复并从流表中删除。如果自上次冲突以来的时间小于恢复期,则流将保留在流表中。

通知

默认情况检测会为流检测期间发生的各种事件自动生成系统日志。日志在流检测 CLI 中称为 报告 。默认情况下涵盖所有协议组和数据包类型,但您可以禁用单个数据包类型的自动日志记录。您还可以配置发送报告的速率,但这全局适用于所有数据包类型。

每个报表都属于以下两种类型之一:

  • 流报告 - 这些报告由与识别和追踪罪魁祸首流关联的事件生成。每个报告都包含经历事件的流的标识信息。此信息用于准确维护流量表;流将根据报告中的信息删除或保留在表中。 表 1 描述了触发每个流报告的事件。

    表 1:流检测报告的触发事件

    名字

    描述

    DDOS_SCFD_FLOW_FOUND

    检测到可疑流。

    DDOS_SCFD_FLOW_TIMEOUT

    罪魁祸首流的超时期限已过期。流量检测停止抑制(或监视)流量。

    DDOS_SCFD_FLOW_RETURN_NORMAL

    罪魁祸首流返回到带宽限制内。

    DDOS_SCFD_FLOW_CLEARED

    使用命令手动 clear 清除罪魁祸首流,或者在可疑流监视转移到不同聚合级别后自动清除。

    DDOS_SCFD_FLOW_AGGREGATED

    控制流聚合到较粗的级别。当流量表接近容量时,或者在特定流量级别找不到流量,并且必须搜索下一个较粗的流量级别时,会发生此事件。

    DDOS_SCFD_FLOW_DEAGGREGATED

    控制流将分解到更精细的级别。当流表不是很满或流控制有效且数据包类型的监管器上的流的总到达速率在固定的内部时间段内低于其带宽时,会发生此事件。

  • 带宽违规报告 — 这些报告由发现可疑流量相关的事件生成。每个报告都包含经历事件的流的标识信息。此信息用于跟踪可疑流并识别放置在流表中的流。 表 2 描述了触发每个违规报告的事件。

    表 2:带宽违规报告的触发事件

    名字

    描述

    DDOS_PROTOCOL_VIOLATION_SET

    控制协议的传入流量超出了配置的带宽。

    DDOS_PROTOCOL_VIOLATION_CLEAR

    违反控制协议的传入流量恢复正常。

仅当事件触发时,才会发送报告;也就是说,没有空或空报告。由于报告是定期生成的,因此唯一感兴趣的事件是在自上次报告以来的时间间隔内发生的事件。

相关文档

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
17.3R1
增强型订阅者管理支持自 Junos OS 17.3R1 版起控制平面 DDoS 保护的流量检测。