Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Control Plane DDoS-Schutz Datenstromerkennung Übersicht

Die Datenstromerkennung ist eine Erweiterung des DDoS-Schutzes der Steuerungsebene, die die DDoS-Policerhierarchien ergänzt. Es ist Teil einer vollständigen DDoS-Schutzlösung für die Steuerungsebene. Die Datenstromerkennung verwendet eine begrenzte Anzahl von Hardwareressourcen, um die Ankunftsrate von Host-gebundenen Datenströmen des Steuerdatenverkehrs zu überwachen. Die Durchflusserkennung ist viel skalierbarer als eine Lösung, die auf Filter-Policern basiert. Filter-Policer verfolgen alle Datenströme, was eine beträchtliche Menge an Ressourcen verbraucht. Im Gegensatz dazu verfolgt die Datenstromerkennung nur Datenströme, die sie als verdächtig identifiziert, und verbraucht dafür viel weniger Ressourcen.

Die Anwendung zur Datenstromerkennung besteht aus zwei miteinander verbundenen Komponenten: Erkennung und Nachverfolgung. Die Erkennung ist der Prozess, bei dem Datenströme, bei denen der Verdacht besteht, dass sie nicht ordnungsgemäß sind, identifiziert und anschließend kontrolliert werden. Tracking ist der Prozess, bei dem Ströme verfolgt werden, um festzustellen, ob sie wirklich feindlich sind und wann sich diese Ströme innerhalb akzeptabler Grenzen erholen.

Datenstromerkennung und -steuerung

Die Datenstromerkennung ist standardmäßig deaktiviert. Wenn Sie sie auf der Hierarchieebene aktivieren, beginnt die Anwendung mit der [edit system ddos-protection global] Überwachung des gesteuerten Datenverkehrsflusses, wenn eine DDoS-Schutzpolizei der Steuerungsebene für fast alle Protokollgruppen und Pakettypen verletzt wird. Sie können nicht nur die Datenstromerkennung global aktivieren, sondern auch den Betriebsmodus für fast alle Protokollgruppen und Pakettypen konfigurieren, d. h. ob er automatisch durch die Verletzung eines DDoS-Schutz-Policers ausgelöst wird (Standardeinstellung) oder immer aktiviert ist. Sie können die globalen Konfigurationseinstellungen für einzelne Protokollgruppen und Pakettypen überschreiben. Abgesehen von den Ereignisberichtsraten sind alle anderen Merkmale der Datenstromerkennung nur auf der Ebene der einzelnen Pakettypen konfigurierbar.

Die erweiterte Abonnentenverwaltung unterstützt die Datenstromerkennung für den DDoS-Schutz auf der Steuerungsebene ab Junos OS Version 17.3R1.

Anmerkung:

Für die folgenden Gruppen und Pakettypen können Sie die Datenstromerkennung nicht global aktivieren, da diese keine typischen Ethernet-, IP- oder IPv6-Header aufweisen:

  • Protokollgruppen: fab-probe, frame-relay, inline-ka, isis, pfe-aliveposjfmmlpund .services

  • Pakettyp: unclassified in der ip-options Protokollgruppe.

Ablaufsteuerungen werden auf drei Ebenen aggregiert. Die Abonnentenebene ist die feinste Körnung der drei und besteht aus Flows für einzelne Abonnentensitzungen. Die logische Schnittstellenebene aggregiert mehrere Anwenderdatenströme, ist daher grobkörniger und bietet keine Unterscheidung in einzelne Anwenderdatenströme. Die physische Schnittstellenebene aggregiert mehrere logische Schnittstellenströme und bietet somit die gröbere Ansicht der Datenverkehrsströme.

Sie können die Datenstromerkennung auf jeder der drei Ablaufsteuerungsebenen aktivieren oder deaktivieren. Sie können festlegen, dass die Datenstromerkennung automatisch durch einen Verstoß gegen den DDoS-Schutz ausgelöst wird oder immer aktiviert bleibt. Im automatischen Modus wird die Datenstromerkennung erst aktiviert, wenn ein Verstoß gegen die DDoS-Schutzpolizei auftritt. Die Datenstromerkennung wird auf der feinsten Ebene initiiert, wobei die Erkennung als oder automatickonfiguriert iston.

Wenn ein Datenfluss eintrifft, prüft die Datenstromerkennung, ob der Datenstrom bereits in einer Tabelle mit verdächtigen Datenströmen aufgeführt ist. Ein verdächtiger Datenstrom ist ein Datenstrom, der die standardmäßig oder in der Konfiguration zulässige Bandbreite überschreitet. Wenn der Datenstrom nicht in der Tabelle enthalten ist und der Datenstromerkennungsmodus auf Aggregationsebene festgelegt ist on, listet die Datenstromerkennung den Datenstrom in der Tabelle auf. Wenn der Flow nicht in der Tabelle enthalten ist und der Flow-Erkennungsmodus ist automatic, prüft die Flow-Erkennung, ob dieser Flow verdächtig ist.

Wenn der Datenstrom verdächtig ist, wird er in die Datenflusstabelle aufgenommen. Wenn der Datenstrom nicht verdächtig ist, wird er auf der nächsten gröberen Aggregationsebene, auf der die Datenstromerkennung auf onfestgelegt ist, auf die gleiche Weise verarbeitet. Wenn auf keiner der höheren Ebenen die Erkennung aktiviert ist, wird der Datenstrom zur DDoS-Schutzpaketpolizei fortgesetzt, wo er weitergeleitet oder gelöscht werden kann.

Wenn bei der ersten Überprüfung der Datenstrom in der Tabelle gefunden wird, wird der Datenstrom je nach Einstellung des Steuerungsmodus für diese Aggregationsebene gelöscht, überwacht oder beibehalten. Alle Pakete in verworfenen Datenströmen werden verworfen. Bei überwachten Datenströmen werden Pakete so lange verworfen, bis der Datenstrom innerhalb der für die Aggregationsebene akzeptablen Bandbreite liegt. Gespeicherte Flows werden zur Verarbeitung an die nächste Aggregationsebene weitergeleitet.

Weitere Informationen finden Sie unter Konfigurieren der globalen Funktionsweise der Datenstromerkennung.

Datenstromverfolgung

Die Anwendung zur Datenstromerkennung verfolgt Datenströme, die in der Tabelle mit verdächtigen Datenströmen aufgeführt sind. Es überprüft regelmäßig jeden Eintrag in der Tabelle, um festzustellen, ob der aufgelistete Datenstrom immer noch verdächtig ist (und die Bandbreite verletzt). Wenn ein verdächtiger Datenstrom die Bandbreite kontinuierlich überschritten hat, seit er für einen Zeitraum in die Tabelle eingefügt wurde, der länger als der konfigurierbare Datenstromerkennungszeitraum ist, wird er als schuldiger Datenstrom und nicht nur als verdächtig betrachtet. Wenn die Bandbreite jedoch für weniger als den Erkennungszeitraum überschritten wurde, wird die Verletzung als falsch positiv behandelt. Die Datenstromerkennung betrachtet den Datenfluss als sicher und beendet die Verfolgung (löscht ihn aus der Tabelle).

Sie können eine Zeitüberschreitungsfunktion aktivieren, die fehlerhafte Flows für einen konfigurierbaren Timeout-Zeitraum unterdrückt, in dem der Flow in der Flow-Tabelle verbleibt. (Unterdrückung ist das Standardverhalten, aber die Datenstromerkennungsaktion kann durch die Konfiguration der Durchflussebenensteuerung geändert werden.) Wenn bei der Überprüfung der aufgelisteten Flows ein Schema gefunden wird, für das das Timeout aktiviert ist und der Timeoutzeitraum abgelaufen ist, hat das Flow eine Zeitüberschreitung überschritten und wird aus der Flow-Tabelle entfernt.

Wenn die Zeitüberschreitung noch nicht abgelaufen ist oder die Zeitüberschreitungsfunktion nicht aktiviert ist, führt die Anwendung eine Wiederherstellungsprüfung durch. Wenn die Zeit seit der letzten Verletzung der Bandbreite durch den Datenfluss länger ist als der konfigurierbare Wiederherstellungszeitraum, hat sich der Datenfluss erholt und wird aus der Datenflusstabelle entfernt. Wenn die Zeit seit dem letzten Verstoß kürzer als der Wiederherstellungszeitraum ist, wird der Datenfluss in der Datenflusstabelle beibehalten.

Benachrichtigungen

Standardmäßig generiert die Datenstromerkennung automatisch Systemprotokolle für eine Vielzahl von Ereignissen, die während der Datenstromerkennung auftreten. Die Protokolle werden in der Datenstromerkennungs-CLI als Berichte bezeichnet. Alle Protokollgruppen und Pakettypen sind standardmäßig abgedeckt, Sie können jedoch die automatische Protokollierung für einzelne Pakettypen deaktivieren. Sie können auch die Rate konfigurieren, mit der Berichte gesendet werden, dies gilt jedoch global für alle Pakettypen.

Jeder Bericht gehört zu einem der beiden folgenden Typen:

  • Datenstromberichte: Diese Berichte werden durch Ereignisse im Zusammenhang mit der Identifizierung und Verfolgung von schädlichen Datenströmen generiert. Jeder Bericht enthält identifizierende Informationen für den Flow, der das Ereignis erlebt hat. Diese Informationen werden verwendet, um die Flusstabelle genau zu verwalten. Flows werden basierend auf den Informationen im Bericht gelöscht oder in der Tabelle aufbewahrt. In Tabelle 1 wird das Ereignis beschrieben, das die einzelnen Flussberichte auslöst.

    Tabelle 1: Auslösendes Ereignis für Datenstromerkennungsberichte

    Name

    Beschreibung

    DDOS_SCFD_FLOW_FOUND

    Ein verdächtiger Datenstrom wurde erkannt.

    DDOS_SCFD_FLOW_TIMEOUT

    Die Zeitüberschreitungsfrist für einen fehlerhaften Datenfluss läuft ab. Die Datenstromerkennung unterdrückt (oder überwacht) den Datenstrom nicht mehr.

    DDOS_SCFD_FLOW_RETURN_NORMAL

    Ein übeltäterischer Datenstrom kehrt innerhalb des Bandbreitenlimits zurück.

    DDOS_SCFD_FLOW_CLEARED

    Ein fehlerhafter Datenstrom wird manuell mit einem clear Befehl oder automatisch gelöscht, wenn sich die Überwachung verdächtiger Datenströme auf eine andere Aggregationsebene verlagert.

    DDOS_SCFD_FLOW_AGGREGATED

    Kontrollströme werden auf einer gröberen Ebene aggregiert. Dieses Ereignis tritt ein, wenn sich die Durchflusstabelle der Kapazität nähert oder wenn der Durchfluss bei einer bestimmten Durchflussebene nicht gefunden werden kann und die nächstgröbere Ebene gesucht werden muss.

    DDOS_SCFD_FLOW_DEAGGREGATED

    Kontrollflüsse werden auf eine feinere Ebene deaggregiert. Dieses Ereignis tritt ein, wenn die Datenflusstabelle nicht sehr voll ist oder wenn die Datenstromsteuerung wirksam ist und die Gesamtankunftsrate für den Datenfluss beim Policer für den Pakettyp für einen festen, internen Zeitraum unter seiner Bandbreite liegt.

  • Berichte über Bandbreitenverletzungen: Diese Berichte werden durch Ereignisse im Zusammenhang mit der Entdeckung verdächtiger Datenströme generiert. Jeder Bericht enthält identifizierende Informationen für den Flow, der das Ereignis erlebt hat. Diese Informationen werden verwendet, um den verdächtigen Datenstrom nachzuverfolgen und Datenflüsse zu identifizieren, die in der Datenflusstabelle platziert werden. In Tabelle 2 wird das Ereignis beschrieben, das die einzelnen Verstoßmeldungen auslöst.

    Tabelle 2: Auslösendes Ereignis für Berichte zu Bandbreitenverletzungen

    Name

    Beschreibung

    DDOS_PROTOCOL_VIOLATION_SET

    Der eingehende Datenverkehr für ein Steuerungsprotokoll hat die konfigurierte Bandbreite überschritten.

    DDOS_PROTOCOL_VIOLATION_CLEAR

    Der eingehende Datenverkehr für ein verletztes Kontrollprotokoll wurde wieder auf den Normalzustand zurückgesetzt.

Ein Bericht wird nur gesendet, wenn er durch ein Ereignis ausgelöst wird. Das heißt, es gibt keine NULL- oder leeren Berichte. Da die Berichte regelmäßig erstellt werden, sind die einzigen Ereignisse von Interesse, die während des Intervalls seit dem letzten Bericht auftreten.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
17.3R1
Die erweiterte Abonnentenverwaltung unterstützt die Datenstromerkennung für den DDoS-Schutz auf der Steuerungsebene ab Junos OS Version 17.3R1.