Plan de contrôle Protection contre les DDoS Présentation de la détection de flux

Détection et contrôle de flux

La détection de flux est désactivée par défaut. Lorsque vous l’activez au niveau de la [edit system ddos-protection global] hiérarchie, l’application commence à surveiller les flux de trafic de contrôle lorsqu’un mécanisme de contrôle de protection DDoS du plan de contrôle n’est pas respecté pour presque tous les groupes de protocoles et types de paquets. En plus d’activer la détection de flux globalement, vous pouvez configurer son mode de fonctionnement (c’est-à-dire s’il est automatiquement déclenché par la violation d’un mécanisme de contrôle de protection DDoS (valeur par défaut) ou s’il est toujours actif) pour presque tous les groupes de protocoles et types de paquets. Vous pouvez remplacer les paramètres de configuration globale pour les groupes de protocoles individuels et les types de paquets. À l’exception des taux de rapport d’événements, toutes les autres caractéristiques de la détection de flux sont configurables uniquement au niveau des types de paquets individuels.

La gestion améliorée des abonnés prend en charge la détection de flux pour la protection contre les attaques DDoS sur le plan de contrôle à partir de la version 17.3R1 de Junos OS.

Les flux de contrôle sont agrégés à trois niveaux. Le niveau d’abonné est le plus granulaire des trois et se compose de flux pour les sessions d’abonnés individuelles. Le niveau de l’interface logique agrège plusieurs flux d’abonnés, il est donc plus grossier et ne permet pas de discriminer les flux d’abonnés individuels. Le niveau de l’interface physique agrège plusieurs flux d’interface logique, de sorte qu’il fournit la vue la plus grossière des flux de trafic.

Vous pouvez activer ou désactiver la détection de flux à l’un des trois niveaux de débit de contrôle. Vous pouvez configurer la détection de flux pour qu’elle soit automatiquement déclenchée en cas de non-respect du mécanisme de protection DDoS ou pour qu’elle reste toujours active. En mode automatique, la détection de flux ne s’active qu’après une violation du mécanisme de contrôle de la protection DDoS. La détection de flux démarre au niveau le plus précis où la détection est configurée pour être on ou automatic.

Lorsqu’un flux arrive, la détection de flux vérifie si le flux est déjà répertorié dans un tableau de flux suspects . Un flux suspect est un flux qui dépasse la bande passante autorisée par défaut ou par configuration. Si le flux ne figure pas dans la table et que le mode de détection de flux au niveau d’agrégation est on, la détection de flux répertorie le flux dans la table. Si le flux n’est pas dans la table et que le mode de détection de flux est automatic, la détection de flux vérifie si ce flux est suspect.

Si le flux est suspect, il va dans la table de flux. Si le flux n’est pas suspect, il est traité de la même manière au niveau d’agrégation grossier suivant pour lequel la détection de flux est définie sur on. Si la détection n’est activée à aucun des niveaux supérieurs, le flux est poursuivi jusqu’au mécanisme de contrôle des paquets de protection DDoS pour action, où il peut être transmis ou abandonné.

Lorsque la vérification initiale détecte le flux dans la table, le flux est abandonné, contrôlé ou conservé, selon le paramètre du mode de contrôle pour ce niveau d’agrégation. Tous les paquets des flux abandonnés sont abandonnés. Dans les flux contrôlés, les paquets sont abandonnés jusqu’à ce que le flux se trouve dans la bande passante acceptable pour le niveau d’agrégation. Les flux conservés sont transmis au niveau d’agrégation suivant pour traitement.

Pour plus d’informations, consultez Configuration du fonctionnement global de la détection de flux.

Suivi des flux

L’application de détection de flux suit les flux qui ont été répertoriés dans la table de flux suspects. Il vérifie régulièrement chaque entrée de la table pour déterminer si le flux répertorié est toujours suspect (violation de la bande passante). Si un flux suspect a continuellement violé la bande passante depuis qu’il a été inséré dans la table pendant une période supérieure à la période de détection de flux configurable, il est alors considéré comme un flux coupable plutôt que simplement suspect. Toutefois, si la bande passante a été violée pendant une période inférieure à la période de détection, la violation est traitée comme un faux positif. La détection de flux considère que le flux est sûr et arrête son suivi (le supprime de la table).

Vous pouvez activer une fonctionnalité de délai d’expiration qui supprime les flux coupables pendant une période de délai d’expiration configurable, pendant laquelle le flux est conservé dans la table de flux. (La suppression est le comportement par défaut, mais l’action de détection de flux peut être modifiée par la configuration du contrôle du niveau de flux.) Si la vérification des flux répertoriés en détecte un pour lequel le délai d’expiration est activé et que le délai d’expiration a expiré, le flux a expiré et il est supprimé de la table de flux.

Si le délai d’expiration n’a pas encore expiré ou si la fonctionnalité de délai d’expiration n’est pas activée, l’application effectue une vérification de récupération. Si le temps écoulé depuis la dernière violation de la bande passante par le flux est supérieur à la période de récupération configurable, le flux a été récupéré et est supprimé de la table de flux. Si le temps écoulé depuis la dernière violation est inférieur à la période de récupération, le flux est conservé dans la table de flux.

Notifications

Par défaut, la détection de flux génère automatiquement des journaux système pour divers événements qui se produisent lors de la détection de flux. Les journaux sont appelés rapports dans l’interface de ligne de commande de détection de flux. Tous les groupes de protocoles et types de paquets sont couverts par défaut, mais vous pouvez désactiver la journalisation automatique pour chaque type de paquet. Vous pouvez également configurer la vitesse à laquelle les rapports sont envoyés, mais cela s’applique globalement à tous les types de paquets.

Chaque rapport appartient à l’un des deux types suivants :

• Rapports de flux : ces rapports sont générés par des événements associés à l’identification et au suivi des flux coupables. Chaque rapport comprend des informations d’identification pour le flux qui a vécu l’événement. Ces informations sont utilisées pour maintenir avec précision la table de flux ; Les flux sont supprimés ou conservés dans le tableau en fonction des informations contenues dans le rapport. Le tableau 1 décrit l’événement qui déclenche chaque rapport de flux.

  Tableau 1 : événement déclencheur pour les rapports de détection de flux

  Nom	Description
  DDOS_SCFD_FLOW_FOUND	Un flux suspect est détecté.
  DDOS_SCFD_FLOW_TIMEOUT	Le délai d’expiration expire pour un flux coupable. La détection de flux cesse de supprimer (ou de surveiller) le flux.
  DDOS_SCFD_FLOW_RETURN_NORMAL	Un flux coupable revient à l’intérieur de la limite de bande passante.
  DDOS_SCFD_FLOW_CLEARED	Un flux responsable est effacé manuellement à l’aide d’une clear commande ou automatiquement lorsque la surveillance des flux suspects passe à un autre niveau d’agrégation.
  DDOS_SCFD_FLOW_AGGREGATED	Les flux de contrôle sont agrégés à un niveau plus grossier. Cet événement se produit lorsque la table de flux approche de la capacité ou lorsque le débit est introuvable à un niveau de débit particulier et qu’il faut rechercher le niveau le plus grossier suivant.
  DDOS_SCFD_FLOW_DEAGGREGATED	Les flux de contrôle sont désagrégés à un niveau plus fin. Cet événement se produit lorsque la table de flux n’est pas très pleine ou lorsque le contrôle de flux est efficace et que le taux d’arrivée total du flux au niveau du mécanisme de contrôle pour le type de paquet est inférieur à sa bande passante pendant une période interne fixe.

• Rapports de violation de bande passante : ces rapports sont générés par des événements associés à la découverte de flux suspects. Chaque rapport comprend des informations d’identification pour le flux qui a vécu l’événement. Ces informations sont utilisées pour suivre le flux suspect et identifier les flux placés dans la table de flux. Le tableau 2 décrit l’événement qui déclenche chaque rapport d’infraction.

  Tableau 2 : événement déclencheur pour les rapports de violation de la bande passante

  Nom	Description
  DDOS_PROTOCOL_VIOLATION_SET	Le trafic entrant d’un protocole de contrôle dépassait la bande passante configurée.
  DDOS_PROTOCOL_VIOLATION_CLEAR	Le trafic entrant pour un protocole de contrôle violé est revenu à la normale.

Un rapport n’est envoyé que lorsqu’il est déclenché par un événement ; c’est-à-dire qu’il n’y a pas de rapports nuls ou vides. Étant donné que les rapports sont établis périodiquement, les seuls événements d’intérêt sont ceux qui se produisent pendant l’intervalle depuis le dernier rapport.