Einrichten und Verwenden der Datenstromerkennung

DDoS-Schutz Die Datenstromerkennung betrachtet einen überwachten Datenstrom als verdächtigen Datenstrom, wenn der Datenstrom seine zulässige Bandbreite überschreitet, basierend auf einem groben Test, der offensichtlich gute Datenströme ausschließt. Eine genauere Untersuchung eines verdächtigen Datenstroms erfordert, dass der Datenstrom für einen bestimmten Zeitraum gegen die Bandbreite verbleibt, bevor die Datenstromerkennung ihn als schuldigen Datenstrom einstuft, gegen den Maßnahmen ergriffen werden müssen. Sie können die flow-detect-time Anweisung einfügen, um die Dauer dieses Erkennungszeitraums zu konfigurieren, oder Sie können sich auf den Standardzeitraum von drei Sekunden verlassen.

Die erweiterte Abonnentenverwaltung unterstützt die Datenstromerkennung für den DDoS-Schutz ab Junos OS Version 17.3R1.

So geben Sie an, wie lange ein Flow verletzt werden muss, bevor die Flow-Erkennung ihn als schuldigen Flow deklariert:

• Legen Sie den Erkennungszeitraum fest.

  Fügen Sie beispielsweise die folgende Anweisung ein, um zu verlangen, dass der DHCPv4-Erkennungspaketfluss 30 Sekunden lang gegen die zulässige Bandbreite verstößt, bevor er als schuldiger Datenfluss betrachtet wird:

Nachdem die DDoS-Schutz-Datenstromerkennung einen verdächtigen Datenstrom als schuldigen Datenstrom identifiziert hat, muss festgestellt werden, wann dieser Datenstrom keine Bedrohung mehr für den Router darstellt. Wenn die Datenverkehrsflussrate wieder auf die zulässige Bandbreite fällt, muss die Rate für einen Wiederherstellungszeitraum innerhalb der Bandbreite bleiben. Erst dann betrachtet die Datenstromerkennung den Datenfluss als normal und stoppt die Verkehrsverarbeitungsaktion, die gegen den Datenstrom des Verursachers ausgeführt wird. Sie können die flow-recover-time Anweisung einschließen, um die Dauer dieses Wiederherstellungszeitraums zu konfigurieren, oder Sie können sich auf den Standardzeitraum von 60 Sekunden verlassen.

So geben Sie an, wie lange sich ein Datenfluss nach einem Verstoß innerhalb seiner zulässigen Bandbreite befinden muss, bevor die Datenstromerkennung ihn als normalen Datenfluss deklariert:

• Legen Sie den Wiederherstellungszeitraum fest.

  Fügen Sie beispielsweise die folgende Anweisung ein, um zu verlangen, dass sich der DHCPv4-Erkennungspaketfluss fünf Minuten (300 Sekunden) lang in der Wiederherstellung befindet:

Wenn die DDoS-Schutz-Datenstromerkennung einen verdächtigen Datenstrom als schuldigen Datenstrom identifiziert, wird der Datenverkehr für diesen Datenstrom standardmäßig unterdrückt, solange der Datenverkehrsfluss das Bandbreitenlimit überschreitet. Die Unterdrückung wird beendet, und der Flow wird aus der Flow-Tabelle entfernt, wenn die Zeit seit der letzten Verletzung durch den Flow größer als der Wiederherstellungszeitraum ist.

Alternativ können Sie die Anweisung zum Aktivieren der timeout-active-flows Datenstromerkennung einfügen, um einen Täterfluss für einen konfigurierbaren Zeitüberschreitungszeitraum zu unterdrücken. Wenn der Timeoutzeitraum abläuft, wird die Unterdrückung beendet und der Flow aus der Flow-Tabelle entfernt. Sie können entweder die flow-timeout-time Anweisung einschließen, um die Dauer des Timeoutzeitraums zu konfigurieren, oder sich auf das Standardtimeout von 300 Sekunden verlassen.

So aktivieren Sie die Datenstromerkennung, um einen Fehlerdatenfluss für einen Zeitüberschreitungszeitraum zu unterdrücken:

Wenn die Datenstromerkennung aktiviert ist, werden die Datenverkehrsströme standardmäßig für alle Protokollgruppen und Pakettypen überwacht. Wenn ein Polizeiverstoß auftritt, wird jeder verdächtige Datenstrom untersucht, um festzustellen, ob der Datenstrom des Täters den Verstoß verursacht hat. Sie können die Anweisung einfügen, um zu flow-level-detection konfigurieren, wie die Datenstromerkennung auf jeder Datenstromaggregationsebene für einen Pakettyp funktioniert: Abonnent, logische Schnittstelle oder physische Schnittstelle.

Wie die Datenstromerkennung auf Protokollgruppen- und Paketebene unterstützt auch die Datenstromerkennung auf Datenstromaggregationsebene drei Modi:

• automatic – Wenn ein DDoS-Schutz-Policer der Steuerungsebene verletzt wird, werden Datenverkehrsströme auf dieser Flow-Aggregationsebene nur so lange auf verdächtiges Verhalten überwacht, bis die Flow-Erkennung feststellt, dass sich der verdächtige Flow nicht auf dieser Aggregationsebene befindet und sich stattdessen auf einer gröberen Aggregationsebene befinden muss. Flüsse auf dieser Ebene werden anschließend erst wieder durchsucht, wenn der Polizist auf der gröberen Ebene nicht mehr verletzt wird.

• off: Datenverkehrsflüsse werden auf dieser Datenstromaggregationsebene nie überwacht.

• on: Datenverkehrsflüsse auf dieser Flow-Aggregationsebene werden auf verdächtige Flows überwacht, auch wenn derzeit kein DDoS-Schutzpolicer verletzt wird, wenn die Datenstromerkennung auf Paketebene auf onkonfiguriert ist. Die Überwachung wird auf dieser Ebene fortgesetzt, unabhängig davon, ob auf dieser Ebene ein verdächtiger Datenstrom identifiziert wird. Wenn der Paketebenenmodus jedoch ist automatic, muss der Policer einen Verstoß begangen haben, damit der Datenverkehrsfluss auf dieser Ebene überprüft werden kann.

Datenströme werden zuerst auf der feinkörnigsten Datenstromaggregationsebene (niedrigste Bandbreite), dem Abonnenten, untersucht. Wenn der verdächtige Datenfluss auf Abonnentenebene nicht gefunden wird, werden die Datenflüsse auf der Ebene der logischen Schnittstelle überprüft. Wenn der Verdächtige dort nicht gefunden wird, werden die Datenströme auf der Ebene der physischen Schnittstelle überprüft. Abgesehen von einer Fehlkonfiguration muss der schuldige Fluss auf dieser Ebene gefunden werden.

So konfigurieren Sie die Funktionsweise der Datenflusserkennung auf den einzelnen Datenstromaggregationsebenen:

Wenn die Datenstromerkennung aktiviert ist, wird der gesamte Datenverkehr in einem verantwortlichen Datenstrom standardmäßig für alle Protokollgruppen und Pakettypen und auf allen Datenstromaggregationsebenen verworfen. Sie können die Anweisung zum Konfigurieren der flow-level-control Datenstromerkennung einfügen, um den Datenverkehr für einzelne Pakettypen unterschiedlich zu steuern. Sie müssen das Steuerungsverhalten auf einer bestimmten Datenstromaggregationsebene angeben: Abonnent, logische Schnittstelle oder physische Schnittstelle.

Sie können die Flusssteuerung für die Datenstromerkennung so konfigurieren, dass sie einen der folgenden Modi für einen Pakettyp verwendet:

• Gesamten Datenverkehr verwerfen: Konfigurieren Sie die Datenstromsteuerung so, dass der gesamte Datenverkehr verworfen wird, wenn Sie der Meinung sind, dass der Datenstrom, der gegen eine Bandbreitenbeschränkung verstößt, bösartig ist. Dieses Verhalten ist die Standardeinstellung auf allen Flow-Aggregationsebenen.

• Überwachung des Datenverkehrs: Konfigurieren Sie die Datenstromsteuerung, um einen Datenstrom zu überwachen, der die Bandbreite verletzt und die Rate unter die Bandbreitengrenze fällt. Die Flusskontrolle fungiert in diesem Fall als einfacher Policer.

• Gesamten Datenverkehr beibehalten: Konfigurieren Sie die Datenstromsteuerung, um den gesamten Datenverkehr beizubehalten, unabhängig davon, ob der Datenverkehr gegen das Bandbreitenlimit verstößt oder unter dem Bandbreitenlimit liegt. Dieser Modus ist hilfreich, wenn Sie den Datenverkehrsfluss für Ihr Netzwerk debuggen müssen.

Der Flusssteuerungsmodus ermöglicht eine große Flexibilität bei der Verwaltung des Steuerungsdatenverkehrs in Ihrem Netzwerk. Wenn Sie z. B. nur sicherstellen möchten, dass die Datenstromsteuerung für einen Pakettyp auf allen Aggregationsebenen innerhalb ihrer Grenzwerte liegt, können Sie die Datenflusssteuerung so konfigurieren, dass der Datenverkehr auf jeder Ebene überwacht wird. Wenn Sie auch Täterströme erkennen und auf einer Ebene unterdrücken, aber den Datenverkehr nur auf die zulässige Bandbreite auf einer anderen Ebene beschränken möchten, können Sie eine Ebene so konfigurieren, dass der gesamte Datenverkehr verworfen wird, und die andere für die Überwachung des Datenverkehrs.

So konfigurieren Sie, wie die Datenstromerkennung den Datenverkehr in einem Täterdatenstrom steuert:

Standardmäßig ist die Datenstromerkennung für alle Protokollgruppen und Pakettypen deaktiviert. Sie müssen die Datenstromerkennung global aktivieren, indem Sie die flow-detection Anweisung einschließen. Wenn Sie anschließend die Datenstromerkennung für einzelne Pakettypen deaktivieren, können Sie diese globale Anweisung nicht verwenden, um alle diese individuellen Konfigurationen zu überschreiben. Sie müssen die Erkennung auf Paketkonfigurationsebene erneut aktivieren.

So aktivieren Sie die Datenstromerkennung global:

• Legen Sie die Durchflusserkennung fest.

Wenn die Datenstromerkennung bestätigt, dass es sich bei einem verdächtigen Datenfluss, der auf einer Linecard verfolgt wird, tatsächlich um einen fehlerhaften Datenstrom handelt, wird ein Bericht an die Routing-Engine gesendet. Die Datenstromerkennung meldet auch jeden Datenstrom, der sich anschließend innerhalb der zulässigen Bandbreite wiederfindet oder gelöscht wird. Sie können die Anweisung einfügen, um zu flow-report-rate begrenzen, wie viele Datenflüsse pro Sekunde auf jeder Linecard gemeldet werden können. Schuldige Datenstromereignisse werden standardmäßig für alle Protokollgruppen und Pakettypen gemeldet. Wenn zu viele Datenströme gemeldet werden, kann es auf dem Hostpfad zum Routing-Engine-Datenfluss zu Überlastungen kommen.

So konfigurieren Sie global die maximale Melderate für Ursachenströme:

• Legen Sie die Melderate fest.

Standardmäßig meldet die Datenstromerkennung der Routing-Engine alle Bandbreitenverletzungen am FPC für alle Protokollgruppen und Pakettypen. Sie können die Anweisung einfügen, um die violation-report-rate Anzahl der Datenstromerkennungsberichte pro Sekunde von den Linecards zu begrenzen und so die Belastung des Routers zu verringern. Es wird empfohlen, eine für Ihr Netzwerk geeignete Berichtsrate zu konfigurieren, anstatt sich auf den Standardwert zu verlassen.

So konfigurieren Sie global die maximale Melderate bei Bandbreitenverletzungen:

• Legen Sie die Melderate fest.

Standardmäßig protokolliert die Datenstromerkennung automatisch Polizeiverletzungsereignisse im Zusammenhang mit verdächtigen Datenströmen (Verletzungsberichte) und Datenflussereignisse von Tätern (Datenstromberichte) für alle Protokollgruppen und Pakettypen. Sie können die Anweisung einschließen, um die no-flow-logging automatische Protokollierung von Datenflussereignissen für einzelne Pakettypen zu verhindern. Die automatische Protokollierung verdächtiger Datenstromverletzungsereignisse wird mit der disable-logging Anweisung auf Hierarchieebene [edit system ddos-protection global deaktiviert.

So deaktivieren Sie die automatische Protokollierung von Datenflussereignissen für einen Pakettyp:

• Deaktivieren Sie die Protokollierung.

So deaktivieren Sie die automatische Ereignisprotokollierung bei verdächtigen Datenstromverletzungen für einen Pakettyp:

• Deaktivieren Sie die Protokollierung.

Fügen Sie beispielsweise die folgende Anweisung ein, um die automatische Protokollierung für DHCPv4 DISCOVER-Paketflüsse zu deaktivieren:

Sie können die flow-level-bandwidth Anweisung einfügen, um die maximal akzeptable Bandbreite für Datenverkehrsflüsse für einzelne Pakettypen zu konfigurieren. Sie müssen das Bandbreitenverhalten auf einer bestimmten Datenstromaggregationsebene angeben: Abonnent, logische Schnittstelle oder physische Schnittstelle. Es wird empfohlen, die Bandbreitenwerte für Ihr Netzwerk zu optimieren, anstatt sich auf die Standardwerte zu verlassen.

So konfigurieren Sie die maximale Bandbreite für Datenverkehrsflüsse auf jeder Datenstromaggregationsebene: