SUR CETTE PAGE
Exemple : Configuration de la protection DDoS du plan de contrôle
Cet exemple montre comment configurer la protection DDoS du plan de contrôle pour permettre au routeur d’identifier rapidement une attaque et d’empêcher un flot de paquets de contrôle malveillants d’épuiser les ressources système.
Exigences
La protection DDoS du plan de contrôle nécessite le matériel et les logiciels suivants :
Routeurs MX Series sur lesquels seuls des MPC sont installés, routeurs centraux T4000 sur lesquels seuls FPC5 sont installés, commutateurs EX9200.
Note:Si un routeur comporte d’autres cartes en plus des MPC ou FPC5, la CLI accepte la configuration, mais les autres cartes ne sont pas protégées et le routeur n’est donc pas protégé.
Junos OS version 11.2 ou ultérieure
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise pour que vous puissiez configurer cette fonctionnalité.
Aperçu
Les attaques par déni de service distribué utilisent plusieurs sources pour inonder un réseau ou un routeur de paquets de contrôle de protocole. Ce trafic malveillant déclenche un grand nombre d’exceptions dans le réseau et tente d’épuiser les ressources du système pour empêcher les utilisateurs valides d’accéder au réseau ou au serveur.
Cet exemple décrit comment configurer des mécanismes de contrôle de limitation de débit qui identifient l’excès de trafic de contrôle et abandonnent les paquets avant que le routeur ne soit affecté. Les exemples de tâches incluent la configuration de mécanismes de contrôle pour des types particuliers de paquets de contrôle au sein d’un groupe de protocoles, la configuration d’un mécanisme de contrôle d’agrégation pour un groupe de protocoles, le contournement de ce mécanisme de contrôle pour un type de paquet de contrôle particulier et la spécification d’options de traçage pour les opérations DDoS.
Cet exemple ne montre pas tous les choix de configuration possibles.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la protection DDoS du plan de contrôle pour des groupes de protocoles et des types de paquets de contrôle particuliers, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, puis copiez et collez les commandes dans l’interface de ligne de commande.
[edit] edit system set ddos-protection protocols dhcpv4 aggregate bandwidth 669 set ddos-protection protocols dhcpv4 aggregate burst 6000 set ddos-protection protocols dhcpv4 discover bandwidth 100 set ddos-protection protocols dhcpv4 discover recover-time 200 set ddos-protection protocols dhcpv4 discover burst 300 set ddos-protection protocols dhcpv4 offer priority medium set ddos-protection protocols dhcpv4 offer bypass-aggregate set ddos-protection protocols dhcpv4 offer fpc 1 bandwidth-scale 80 set ddos-protection protocols dhcpv4 offer fpc 1 burst-scale 75 set ddos-protection protocols pppoe aggregate bandwidth 800 set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer la protection DDoS :
Spécifiez un groupe de protocoles.
[edit system ddos-protection protocols] user@host# edit dhcpv4
Configurez le débit de trafic maximal (en paquets par seconde [pps]) pour le mécanisme de contrôle d’agrégation DHCPv4 ; c’est-à-dire pour la combinaison de tous les paquets DHCPv4.
Note:Vous pouvez modifier le taux de trafic à l’aide de l’option
bandwidth. Bien que le terme bande passante fasse généralement référence aux bits par seconde (bps), l’option de cette fonctionnalité représente une valeur debandwidthpaquets par seconde (pps).[edit system ddos-protection protocols dhcpv4] user@host# set aggregate bandwidth 669
Configurez la taille maximale de rafale (nombre de paquets) pour le mécanisme de contrôle d’agrégation DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set aggregate burst 6000
Configurez le débit de trafic maximal (en pps) pour le mécanisme de contrôle DHCPv4 pour les paquets de découverte.
[edit system ddos-protection protocols dhcpv4] user@host# set discover bandwidth 100
Diminution du temps de récupération pour les violations du mécanisme de détection DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set discover recover-time 200
Configurez la taille maximale de rafale (nombre de paquets) pour le mécanisme de contrôle de découverte DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set discover burst 300
Augmentez la priorité des paquets d’offres DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set offer priority medium
Empêcher les paquets d’offre d’être inclus dans la bande passante agrégée (pps) ; c’est-à-dire que les paquets d’offre ne contribuent pas au trafic DHCPv4 combiné pour déterminer si la bande passante agrégée (PPS) est dépassée. Toutefois, les paquets d’offres sont toujours inclus dans les statistiques de taux de trafic.
[edit system ddos-protection protocols dhcpv4] user@host# set offer bypass-aggregate
Réduisez la bande passante (pps) et la taille de rafale (paquets) autorisées avant que la violation ne soit déclarée pour le mécanisme de contrôle de l’offre DHCPv4 sur le MPC ou le FPC5 dans l’emplacement 1.
[edit system ddos-protection protocols dhcpv4] user@host# set offer fpc 1 bandwidth-scale 80 user@host# set offer fpc 1 burst-scale 75
Configurez le débit de trafic maximal pour le mécanisme de contrôle d’agrégation PPPoE, c’est-à-dire pour la combinaison de tous les paquets PPPoE.
[edit system ddos-protection protocols dhcpv4] user@host# up [edit system ddos-protection protocols] user@host# set pppoe aggregate bandwidth 800
Configurez le suivi pour tous les événements de traitement du protocole DDoS.
[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show ddos-protection commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit system]
user@host# show ddos-protection
traceoptions {
file ddos-trace size 10m;
flag all;
}
protocols {
pppoe {
aggregate {
bandwidth 800;
}
}
dhcpv4 {
aggregate {
bandwidth 669;
burst 6000;
}
discover {
bandwidth 100;
burst 300;
recover-time 200;
}
offer {
priority medium;
fpc 1 {
bandwidth-scale 80;
burst-scale 75;
}
bypass-aggregate;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration de la protection DDoS fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la configuration et du fonctionnement de la protection DDoS DHCPv4
- Vérification de la configuration DDoS PPPoE
Vérification de la configuration et du fonctionnement de la protection DDoS DHCPv4
But
Vérifiez que les valeurs de l’agrégat DHCPv4 et du mécanisme de contrôle de protocole ont été modifiées par rapport à la valeur par défaut. Avec le trafic DHCPv4 et PPPoE qui circule, vérifiez que les mécanismes de contrôle fonctionnent correctement. Vous pouvez entrer des commandes pour afficher les mécanismes de contrôle individuels qui vous intéressent, comme illustré ici, ou vous pouvez entrer la show ddos-protection protocols dhcpv4 commande pour afficher ces informations pour tous les types de paquets DHCPv4.
Action
À partir du mode opérationnel, entrez la show ddos-protection protocols dhcpv4 aggregate commande.
user@host> show ddos-protection protocols dhcpv4 aggregate
Protocol Group: DHCPv4
Packet type: aggregate (aggregate for all DHCPv4 traffic)
Aggregate policer configuration:
Bandwidth: 669 pps
Burst: 6000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
System-wide information:
Aggregate bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:27:47 PST
Violation last seen at: 2011-03-10 06:28:57 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 23115 Max arrival rate: 1000 pps
Routing Engine information:
Bandwidth: 669 pps, Burst: 6000 packets, enabled
Aggregate policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 671 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (669 pps), Burst: 100% (5000 packets), enabled
Aggregate policer is no longer being violated
Violation first detected at: 2011-03-10 06:27:48 PST
Violation last seen at: 2011-03-10 06:28:58 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 34934 Max arrival rate: 1000 pps
Dropped by individual policers: 11819
Dropped by aggregate policer: 23115
À partir du mode opérationnel, entrez la show ddos-protection protocols dhcpv4 discover commande.
user@host> show ddos-protection protocols dhcpv4 discover
Protocol Group: DHCPv4
Packet type: discover (DHCPv4 DHCPDISCOVER)
Individual policer configuration:
Bandwidth: 100 pps
Burst: 300 packets
Priority: low
Recover time: 200 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:28:34 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:21 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Routing Engine information:
Bandwidth: 100 pps, Burst: 300 packets, enabled
Policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (100 pps), Burst: 100% (300 packets), enabled
Policer is no longer being violated
Violation first detected at: 2011-03-10 06:28:35 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:20 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Dropped by this policer: 11819
Dropped by aggregate policer: 0
À partir du mode opérationnel, entrez la show ddos-protection protocols dhcpv4 offer commande.
user@host> show ddos-protection protocols dhcpv4 offer
Protocol Group: DHCPv4
Packet type: offer (DHCPv4 DHCPOFFER)
Individual policer configuration:
Bandwidth: 1000 pps
Burst: 1000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: Yes
System-wide information:
Bandwidth is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Routing Engine information:
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 80% (800 pps), Burst: 75% (750 packets), enabled
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
Signification
La sortie de ces commandes répertorie la configuration du mécanisme de contrôle et les statistiques de trafic pour les mécanismes de contrôle d’agrégation, de découverte et d’offre DHCPv4, respectivement.
La Aggregate policer configuration section du premier exemple de sortie et Individual policer configuration les sections des deuxième et troisième exemples de sortie répertorient les valeurs configurées pour la bande passante, la rafale, la priorité, le temps de récupération et l’agrégation de contournement.
La System-wide information section affiche le total de toutes les statistiques de trafic DHCPv4 et des violations pour le mécanisme de contrôle enregistrées sur toutes les cartes de ligne et au niveau du moteur de routage. La Routing engine information section affiche les statistiques de trafic et les violations pour le mécanisme de contrôle enregistrées sur le moteur de routage. La FPC slot 1 information section affiche les statistiques de trafic et les infractions pour le policier enregistrées uniquement sur la carte de ligne dans l’emplacement 1.
La sortie du mécanisme de contrôle d’agrégation dans cet exemple affiche les informations suivantes :
La
System-wide informationsection montre que 71 064 paquets DHCPv4 de tous types ont été reçus sur toutes les cartes de ligne et le moteur de routage. La section montre une seule violation avec un horodatage et que le mécanisme de contrôle agrégé au niveau d’une carte de ligne a abandonné 23 115 de ces paquets.La
FPC slot 1 informationsection montre que cette carte de ligne a reçu les 71 064 paquets DHCPv4, mais que son mécanisme de contrôle d’agrégation a subi une violation et a abandonné les 23 115 paquets indiqués dans l’autre section. Les contrôleurs individuels des cartes de ligne ont abandonné 11 819 paquets supplémentaires.La
Routing Engine informationsection montre que les 36 130 paquets restants ont tous atteint le moteur de routage et que son mécanisme de contrôle agrégé n’a abandonné aucun paquet supplémentaire.La différence entre le nombre de paquets DHCPv4 reçus et abandonnés sur la carte de ligne [71 064 - (23 115 + 11 819)] correspond au nombre reçu par le moteur de routage. Ce n’est pas toujours le cas, car les paquets peuvent être reçus et abandonnés sur plusieurs cartes de ligne. Dans cet exemple, seule la carte de ligne de l’emplacement 1 a reçu des paquets DHCPv4.
La sortie du mécanisme de contrôle de découverte de paquets DHCPv4 dans cet exemple affiche les informations suivantes :
La
System-wide informationsection montre que 47 949 paquets de découverte DHCPv4 ont été reçus sur toutes les cartes de ligne et le moteur de routage. La section montre une seule violation avec un horodatage et que le mécanisme de contrôle agrégé au niveau d’une carte de ligne a abandonné 11 819 de ces paquets.La
FPC slot 1 informationsection montre que cette carte de ligne a reçu les 47 949 paquets de découverte DHCPv4, mais que son contrôleur individuel a subi une violation et a abandonné les 11 819 paquets indiqués dans l’autre section.La
Routing Engine informationsection montre que seuls 36 130 paquets de découverte DHCPv4 ont atteint le moteur de routage et qu’il n’a abandonné aucun paquet supplémentaire.La différence entre le nombre de paquets de découverte DHCPv4 reçus et abandonnés sur la carte de ligne (47 949 - 11 819) correspond au nombre reçu par le moteur de routage. Ce n’est pas toujours le cas, car les paquets peuvent être reçus et abandonnés sur plusieurs cartes de ligne. Dans cet exemple, seule la carte de ligne de l’emplacement 1 a reçu des paquets de découverte DHCPv4.
La sortie du mécanisme de contrôle des paquets d’offre DHCPv4 dans cet exemple affiche les informations suivantes :
Ce policier individuel n’a jamais été violé à aucun endroit.
Aucun paquet d’offre DHCPv4 n’a été reçu à aucun endroit.
Vérification de la configuration DDoS PPPoE
But
Vérifiez que les valeurs du mécanisme de contrôle PPPoE ont changé par rapport à la valeur par défaut.
Action
À partir du mode opérationnel, entrez la show ddos-protection protocols pppoe parameters brief commande.
user@host> show ddos-protection protocols pppoe parameters brief Number of policers modified: 1 Protocol Packet Bandwidth Burst Priority Recover Policer Bypass FPC group type (pps) (pkts) time(sec) enabled aggr. mod pppoe aggregate 800* 2000 medium 300 yes -- no pppoe padi 500 500 low 300 yes no no pppoe pado 0 0 low 300 yes no no pppoe padr 500 500 medium 300 yes no no pppoe pads 0 0 low 300 yes no no pppoe padt 1000 1000 high 300 yes no no pppoe padm 0 0 low 300 yes no no pppoe padn 0 0 low 300 yes no no
À partir du mode opérationnel, entrez la show ddos-protection protocols pppoe padi commande, puis entrez également la commande pour padr .
user@host> show ddos-protection protocols pppoe padi
Protocol Group: PPPoE
Packet type: padi (PPPoE PADI)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: low
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-09 11:26:33 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 660788548 Max arrival rate: 8008 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 39950330 Arrival rate: 298 pps
Dropped: 0 Max arrival rate: 503 pps
Dropped by aggregate policer: 0
FPC slot 3 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-09 11:26:35 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 664882578 Max arrival rate: 8008 pps
Dropped by this policer: 660788548
Dropped by aggregate policer: 4094030
user@host> show ddos-protection protocols pppoe padr
Protocol Group: PPPoE
Packet type: padr (PPPoE PADR)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:21:17 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:57 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 10287695 Arrival rate: 500 pps
Dropped: 0 Max arrival rate: 502 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-10 06:21:18 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:56 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Dropped by this policer: 484375900
Dropped by aggregate policer: 0
Signification
La sortie de la show ddos-protection protocols pppoe parameters brief commande répertorie la configuration actuelle pour chacun des mécanismes de contrôle de paquets PPPoE individuels et le mécanisme de contrôle d’agrégation PPPoE. Toute modification par rapport à une valeur par défaut est signalée par un astérisque en regard de la valeur modifiée. La seule modification apportée aux mécanismes de contrôle PPPoE dans les étapes de configuration concernait la limite de bande passante du mécanisme de contrôle agrégé (pps) ; Ce changement est confirmé dans la sortie. Outre les valeurs de configuration, la sortie de la commande indique également si un mécanisme de contrôle a été désactivé, s’il contourne le mécanisme de contrôle d’agrégation (ce qui signifie que le trafic de ce type de paquet n’est pas inclus pour évaluation par le mécanisme de contrôle d’agrégation) et si le mécanisme de contrôle a été modifié pour une ou plusieurs cartes de ligne.
La sortie de la show ddos-protection protocols pppoe padi commande dans cet exemple affiche les informations suivantes :
La
System-wide informationsection montre que 704 832 908 paquets PADI PPPoE ont été reçus sur toutes les cartes de ligne et le moteur de routage. La section montre une seule violation sur une carte de ligne qui est toujours en cours, et que le contrôleur agrégé de la carte de ligne a abandonné 660 788 548 paquets PADI.La
FPC slot 3 informationsection montre que cette carte de ligne a reçu les 704,832,908 paquets PADI. Son mécanisme de contrôle individuel a supprimé 660 788 548 de ces paquets et son mécanisme de contrôle agrégé a laissé tomber les 4 094 030 paquets restants. La violation est en cours et dure depuis plus d’une journée.La
Routing Engine informationsection montre que seulement 39,950,330 paquets PADI ont atteint le moteur de routage et qu’il n’a abandonné aucun paquet supplémentaire.La différence entre le nombre de paquets PADI reçus et abandonnés sur la carte de ligne [704,832,908 - (660,788,548 + 4,094030)] correspond au nombre reçu au moteur de routage. Ce n’est pas toujours le cas, car les paquets peuvent être reçus et abandonnés sur plusieurs cartes de ligne. Dans cet exemple, seule la carte de ligne de l’emplacement 3 a reçu des paquets PADI.
La sortie de la show ddos-protection protocols pppoe padr commande dans cet exemple affiche les informations suivantes :
La
System-wide informationsection montre que 494 663 595 paquets PADR PPPoE ont été reçus sur toutes les cartes de ligne et le moteur de routage. La section montre une seule violation sur une carte de ligne qui est toujours en cours, et que le contrôleur de la carte de ligne a abandonné 484 375 900 paquets PADR.La
FPC slot 1 informationsection montre que cette carte de ligne a reçu les 494 663 595 paquets PADR. Son contrôleur individuel a abandonné 484 375 900 de ces paquets. L’infraction se poursuit et dure depuis plus de cinq heures.La
Routing Engine informationsection montre que seulement 10 287 695 paquets PADR ont atteint le moteur de routage et qu’il n’a abandonné aucun paquet supplémentaire.La différence entre le nombre de paquets PADR reçus et abandonnés sur la carte de ligne (494 663 595 - 484 375 900) correspond au nombre reçu par le moteur de routage. Ce n’est pas toujours le cas, car les paquets peuvent être reçus et abandonnés sur plusieurs cartes de ligne. Dans cet exemple, seule la carte de ligne de l’emplacement 1 a reçu des paquets PADR.
Ce scénario n’est pas réaliste en ce qui concerne l’affichage de tous les paquets PADI reçus sur une carte de ligne et de tous les paquets PADR sur une carte de ligne différente. L’objectif de ce scénario est d’illustrer la façon dont les violations des agents de police sont signalées pour les cartes de ligne individuelles.