近隣検索キャッシュ保護
まとめNDP キャッシュ保護により、IPv6 の導入シナリオで、特定のタイプの攻撃(サービス拒否(DoS)攻撃からルーティング エンジンを保護できます。
近隣検索キャッシュ保護の概要
ルーティング エンジンは、IPv6 の導入シナリオで特定サービス拒否(DoS)攻撃を受けやすい場合があります。一般的に、IPv6 サブネットは非常に大規模になる傾向があります。たとえば、サブネットの割り当てられていないアドレスの数が /64 多いなどです。各コントロール プレーンのアドレスルーティング エンジン、未知のアドレスのアドレス解決を実行します。攻撃者はこの割 コントロール プレーンり当てられていないアドレス スペースに対して解決ルーティング エンジン要求を生成することで、アプリケーションの一部に対してすぐに圧倒され、キャッシュがオーバーフローする可能性があります。攻撃者は、生成されるリクエストの数と、キューに追加されるリクエストのレートの両方に依存します。このようなシナリオでは、ルーター リソースを結び付け、ルーティング エンジン が有効な近隣の勧誘に応答したり、既存の近隣キャッシュ エントリーを維持したりすることを回避できます。その結果、正規ユーザーに対する DoS 攻撃が効果的に発生します。
このような攻撃を緩和するDoSは次のとおりです。
使用されていないアドレス スペースをフィルタする。
サブネットのサイズを最小限に抑える。
サブネットの破棄ルートを設定します。
近隣検索キャッシュのエントリーのサイズと解決率に制限を適用します。
近隣検索キャッシュへの影響を最小限に抑えるのは、キャッシュに追加できる IPv6 ネイバーおよび新しい未解決のネクスト ホップ アドレスの数を制限することで可能です。設定ステートメントを使用して、 および 設定ステートメントまたはシステム全体を使用して、インターフェイスごとに制限 nd6-max-cache nd6-new-hold-limit を nd-system-cache-limit 設定できます。
ACX、EX22XX、EX3200、EX33XX、SRX などの小規模プラットフォームの場合、デフォルトでは 20,000 です。
EX4200、EX45XX、EX4300、EX62XX、QFX、MX などの中規模プラットフォームの場合、デフォルトでは 75,000 です。
その他のプラットフォームでは、デフォルトで 100,000 です。
近隣検索キャッシュ保護の設定
ルーティング エンジンは、IPv6 の導入シナリオで、特定サービス拒否(DoS)攻撃に影響を受けやすい場合があります。一般的に、IPv6 サブネットは非常に大規模な傾向があります。たとえば、サブネット /64 に割り当てられていないアドレスの数が多いなどです。各コントロール プレーンのアドレスルーティング エンジン、未知のアドレスのアドレス解決を実行します。攻撃者はこの割り当てられていないアドレス スペースコントロール プレーンを生成して解決要求を生成することで、ルーティング エンジン の機能をすぐに使い抜く可能性があります。その結果、キャッシュがオーバーフローします。攻撃者は、生成されるリクエストの数と、キューに追加されるリクエストのレートの両方に依存します。
近隣検索プロセスは、近隣探索プロトコルを実装するコントロール プレーンの一部です。アドレス解決を実行し、近隣キャッシュ内のエントリーを維持する必要があります。DoS 攻撃を緩和する 1 つの方法は、近隣検索キャッシュのサイズと新しいネクスト ホップ エントリの解決率に制限を与え、特定のカテゴリーの近隣探索トラフィックに優先度を設定することで行います。インターフェイスおよびシステム全体ごとに近隣探索キャッシュの制限を設定できます。
開始する前に、リリース15.1以降Junos OSを実行してください。
ローカル制限は個々のインターフェイスに適用され、近隣探索キューにある解決済みおよび未解決エントリーに対して定義され、グローバル制限はシステム全体に適用されます。
インターフェイスで近隣探索キャッシュ保護を設定するには、次の手順に示します。
設定を検証するには、動作コマンド show interfaces interface-name を実行します。
近隣検索キャッシュ保護をシステム全体で設定するには、次の手順に示します。
近隣検索キャッシュのシステム全体の制限を設定します。
[edit] user@host# set system nd-system-cache-limit limit
設定されたシステム全体の制限を検証するには、動作コマンドを show system statistics icmp6 実行します。
ACX、EX22XX、EX3200、EX33XX、SRX などの小規模プラットフォームの場合、デフォルトでは 20,000 です。
EX4200、EX45XX、EX4300、EX62XX、QFX、MX などの中規模プラットフォームの場合、デフォルトでは 75,000 です。
その他のプラットフォームでは、デフォルトで 100,000 です。
例: サービス拒否攻撃を防御するための近隣探索キャッシュ保護の設定
この例では、近隣探索に追加できる IPv6 ネイバー エントリーの数に制限を設定する方法を示しています。キャッシュへのエントリ数の制限を実行すると、攻撃(サービス拒否 DoS)を軽減できます。近隣検索キャッシュ機能では、次の 2 種類の制限に対応しています。
ローカル — インターフェイスごとにローカル制限を設定し、近隣探索キャッシュ内の解決済みおよび未解決エントリーに対して定義されます。
グローバル: グローバルな制限がシステム全体に適用されます。グローバル制限は、パブリック インターフェイスと管理インターフェイス(fxp0など)に対してさらに別に定義されています。管理インターフェイスには、単一のグローバル制限とローカル制限はありません。グローバル制限では、内部ルーティング インスタンスのループバック インターフェイス、管理インターフェイス、パブリック インターフェイスなど、近隣検索キャッシュのエントリーにシステム全体のキャップを適用します。
要件
この例では、MX シリーズ15.1以降Junos OSを実行するルーターを使用する必要があります。
概要
ルーティング エンジンは、IPv6 導入シナリオで特定DoSタイプの攻撃に影響を受けやすい場合があります。一般的に、IPv6 サブネットは非常に大規模になりがちです。たとえば、サブネットの割り当てられていないアドレス数が多DoS /64 可能性があります。各コントロール プレーンのアドレスルーティング エンジン、未知のアドレスのアドレス解決を実行します。攻撃者はこの割り当てられていないアドレス スペースコントロール プレーンを要求してルーティング エンジンキューをオーバーフローすることで、アプリケーションの一部に対してすぐに圧倒される可能性があります。攻撃者は、生成されるリクエストの数と、キューに追加されるリクエストのレートの両方に依存します。
近隣検索プロセスは、近隣探索プロトコルを実装コントロール プレーンデバイスの一部です。アドレス解決を実行し、近隣のキャッシュを維持する必要があります。DoS 攻撃を緩和する 1 つの方法は、近隣検索キューの制限を制限する方法です。これは、キュー サイズと解決率を制限し、近隣探索トラフィックの特定のカテゴリーに優先度を設定することで可能です。
構成
近隣検索キャッシュ保護を設定するには、以下のタスクを実行します。
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set interfaces ge-0/3/0 unit 5 family inet6 nd6-max-cache 100 set interfaces ge-0/3/0 unit 5 family inet6 nd6-new-hold-limit 100
また、近隣検索キャッシュに格納されている IPv6 ネイバー エントリーの数にシステム全体で制限を設定できます。この制限には、ループバック インターフェイス、管理インターフェイス、パブリック インターフェイスも含まれます。
set system nd-system-cache-limit 100
異なるインターフェイス タイプに対するステートメントからの制限分散 nd-system-cache-limit は、特定の固定割合に従って実行されます。として nd-system-cache-limit 定義され、 X 内部ルーティング インターフェイスの近隣探索キャッシュ制限が(デフォルト Y は200)の場合、次のように設定されます。
パブリック最大キャッシュ制限 Z = 80% X- Y ( )
管理インターフェイスの最大キャッシュ制限(fxp0 など M )=20%( X-Y
近隣検索キャッシュ保護の設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI CLI エディター の使用 」を 参照してください。
インターフェイスごとに近隣検索キャッシュ保護を設定するには、次の手順に示します。
および を
nd6-max-cache設定しますnd6-new-hold-limit。[edit] user@host# set interfaces ge-0/3/0 unit 5 family inet6 nd6-max-cache 100 user@host# set interfaces ge-0/3/0 unit 5 family inet6 nd6-new-hold-limit 100
結果
近隣検索キャッシュ保護をローカルで確認するには、設定モード show interfaces ge-0/3/0 から を入力します。出力結果に意図した設定結果が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces ge-0/3/0
unit 5{
family inet6 {
nd6-max-cache 100;
nd6-new-hold-limit 100;
}
}
検証
設定が正常に機能されていることを確認します。
近隣検索キャッシュ保護のグローバル検証
目的
出力に近隣探索キャッシュのシステム全体の制限が反映されているのを検証します。
アクション
動作モードから コマンドを実行 show system statistics icmp6 します。
user@host> show system statistics icmp6
icmp6:
79 Calls to icmp_error
0 Errors not generated because old message was icmp error
0 Errors not generated because rate limitation
Output histogram:
79 unreach
30 echo
163 multicast listener query
6 multicast listener report
940 neighbor solicitation
694184 neighbor advertisement
0 Messages with bad code fields
0 Messages < minimum length
0 Bad checksums
0 Messages with bad length
Input histogram:
10 echo reply
6 multicast listener report
693975 neighbor solicitation
Histogram of error messages to be generated:
0 No route
0 Administratively prohibited
0 Beyond scope
79 Address unreachable
0 Port unreachable
0 Time exceed transit
0 Time exceed reassembly
0 Erroneous header field
0 Unrecognized next header
0 Unrecognized option
0 Unknown
0 Message responses generated
0 Messages with too many ND options
100000 Max System ND nh cache limit
79840 Max Public ND nh cache limit
200 Max IRI ND nh cache limit
19960 Max Management intf ND nh cache limit
79840 Current Public ND nexthops present
4 Current IRI ND nexthops present
0 Current Management ND nexthops present
909266 Total ND nexthops creation failed as limit reached
909266 Public ND nexthops creation failed as public limit reached
0 IRI ND nexthops creation failed as iri limit reached
0 Management ND nexthops creation failed as mgt limit reached
意味
近隣検索キャッシュ エントリーに適用されるシステム全体のキャップ 100000 は .
Management ND nexthops creation failed as mgt limit reached は、システム全体の制限に達した場合の管理インターフェイスのドロップ数を示します。は、管理、パブリック、または内部ルーティング インスタンス インターフェイスの障害を示し、システム全体でエントリー数に制限が達した場合のパブリック インターフェイスのドロップ数を Total ND nexthops creation failed as limit reached Public ND nexthops creation failed as public limit reached 示します。
近隣検索キャッシュ保護のローカル検証
目的
出力に設定されたインターフェイス制限が反映されていることを検証します。
アクション
動作モードから コマンドを実行 show interfaces ge-0/3/0 します。
user@host> show interfaces ge-0/3/0
Logical interface ge-0/2/0.8 (Index 348) (SNMP ifIndex 690)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.8 ] Encapsulation: ENET2
Input packets : 181628
Output packets: 79872
Protocol inet6, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 79840, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Is-Primary
Addresses, Flags: Is-Preferred Is-Primary
Destination: 8001:1::/64, Local: 8001:1::1:1
Addresses, Flags: Is-Preferred
Destination: fe80::/64, Local: fe80::56e0:3200:8c6:e0a4
Protocol multiservice, MTU: Unlimited
意味
インターフェイスge-0/3/0に接続できる新しい未解決ネクストホップ アドレスのエントリーの最大数と最大エントリー数は、 です 100000 。
NH drop cnt は、インターフェイスの最大キュー サイズの制限に達したため、サービスされていないネイバー検出リクエストの数を指します。