コントロールプレーンの分散型サービス拒否(DDoS)防御の概要

DDoS違反に対するホストバウンドトラフィックポリサー

DDoS攻撃からコントロールプレーンを保護するため、デバイスではホストバウンドトラフィックに対してポリサーがデフォルトで有効になっています。必要に応じて、多くのポリサーのデフォルト値を変更できます。ホストバウンド トラフィックは、OSPF や BGP などのルーティング プロトコルのプロトコル制御パケットを含む、ルーティングエンジン 宛てのトラフィックです。ルーターの IP アドレス宛てのトラフィックも、ホストバウンド トラフィックと見なされます。

ポリサーは、特定のプロトコルのすべての制御トラフィックのレート制限を指定します。場合によっては、プロトコルの特定の制御パケット タイプに対しても指定します。デバイス、ルーティングエンジン、およびラインカードのレベルで、パケットタイプおよびプロトコルグループのポリサーアクションを監視できます。また、ポリサー イベントのロギングを制御することもできます。

デバイスは、デフォルトまたは設定されたポリサー値を超えると、制御トラフィックをドロップします。DDoS 違反が発生しても、デバイスはパケットの処理を停止しません。それは彼らのレートを制限するだけです。違反が発生するたびに、攻撃の可能性についてオペレーターに警告する通知が直ちに生成されます。デバイスは違反をカウントし、違反が開始された時刻と最後に確認された違反の時刻を記録します。トラフィックレートが帯域幅違反のしきい値を下回ると、リカバリータイマーにより、トラフィックフローが正常に戻ったと見なすタイミングが決定されます。タイマーが終了する前に違反が発生しない場合、デバイスは違反状態をクリアし、通知を生成します。

手記：

PTXルーターとQFXシリーズスイッチでは、タイマーは300秒に設定されており、変更することはできません。

保護の最前線は、パケット転送エンジン(PFE)上のポリサーです。複数のライン カードを持つデバイスでは、各ラインカードからのポリサーの状態と統計情報がルーティングエンジンにリレーされ、集約されます。ポリサーの状態は、スイッチオーバー中も維持されます。ラインカードの統計情報と違反カウントはスイッチオーバー中に保存されますが、ルーティングエンジンのポリサーの統計情報は保持されません。ラインカードのすべてのポートから到着した制御トラフィックは、パケット転送エンジンに収束してポリシングされ、ルーティングエンジンに到達する前に余分なパケットをドロップして、ルーティングエンジンが処理できる量のトラフィックのみを受信するようにします。

この機能をサポートするACXシリーズルーターは、集約ポリサーのみをサポートし、ラインカードレベルでのポリシングはサポートしません。デフォルトのポリサー値は、グローバルに、または特定のプロトコル グループに対して、ルーティングエンジン レベルで変更でき、PFEチップセット レベルに伝播されます。ただし、他のデバイスのようにラインカードレベルで追加のスケーリングパラメーターを適用することはできません。ポリシングは、ルーティングエンジン レベルでグローバルに、または特定のプロトコル グループに対して無効にできます。ポリシングをグローバルに無効にすると、デバイスのコントロール プレーン DDoS 保護が事実上無効になります。

QFX10000シリーズスイッチとPTXシリーズルーターは、PFEチップセット、ラインカード、ルーティングエンジンの3つのレベルでDDoS保護制限を適用します。

コントロールプレーンDDoS保護では、イベントログを通じて違反を通知するだけでなく、ポリサーを監視し、ポリサーの設定、発生した違反の数、違反の日時、パケットの到着率、受信またはドロップしたパケットの数などの情報を取得できます。

手記：

コントロールプレーンDDoS保護ポリサーは、システムのトラフィックキューに作用します。スイッチのQFX5100およびQFX5200ラインは、キューの数よりも多くのプロトコルのトラフィックを管理するため、システムは多くの場合、複数のプロトコルを同じキューにマッピングする必要があります。あるプロトコルのトラフィックが他のプロトコルとキューを共有し、DDoS 保護ポリサーの制限に違反した場合、システムはどのプロトコルのトラフィックが特に違反を引き起こしたかを区別しないため、これらのデバイスは、マップされたすべてのプロトコルのそのキューの違反を報告します。ネットワークを通過するトラフィックの種類について知っていることを使用して、報告されたプロトコルのどれが実際に違反を引き起こしたかを特定できます。

プラットフォームのサポート

Junos OS リリース 14.2 以降のリリースでは、コントロール プレーン DDoS 保護が特定のプラットフォームでサポートされています。一般に、次のプラットフォームの一部のモデルでは、コントロール プレーン DDoS 保護が既定で有効になっており、既定のポリサー パラメーターを変更する構成オプションがサポートされています。

• ACXシリーズルーター。

• EX9200スイッチ。

• MPCのみがインストールされているMXシリーズ ルーター

• MPCを内蔵したMXシリーズルーター。

  手記：

  わかりやすくするために、テキストがライン カードまたはラインカード ポリサーを参照している場合、これらのルーターでは、組み込み MPC を意味します。

  これらのルーターにはFPCスロットがないため、showコマンドでFPCフィールドに表示される情報は、実際にはTFEBを参照しています。

• PE ベースの FPC(PTX3000、PTX5000、PTX1000、PTX10000)のみがインストールされている PTXシリーズ ルーターは、Junos OS リリース 17.4R1 以降、コントロール プレーンの DDoS 攻撃防御をサポートしています。

  PTX10002ルーターは、Junos OS リリース 18.2R1以降、コントロールプレーンDDoS保護をサポートしています。

  PTX10003ルーターは、Junos OS Evolvedリリース19.3R1以降、コントロールプレーンDDoS保護をサポートしています。

  PTX10004ルーターは、Junos OS Evolvedリリース20.3R1以降、コントロールプレーンDDoS保護をサポートしています。

  PTX10008ルーターは、Junos OS Evolvedリリース20.1R1以降、コントロールプレーンDDoS保護をサポートしています。

• QFX5100シリーズ、QFX5200ライン、およびスイッチのQFX10000シリーズを含むQFXシリーズスイッチ。

  QFX10002-60Cスイッチは、Junos OS リリース 18.1R1以降、コントロールプレーンDDoS保護をサポートしています。

• タイプ5 FPCのみがインストールされているT4000ルーター

手記：

• Junos Evolvedプラットフォームでは、DDoS 防御がそれぞれ機能するように、デバイスの lo0 インターフェイスで inet プロトコル ファミリーと inet6 プロトコル ファミリーを構成する必要があります。

• 一部のEXシリーズスイッチにはコントロールプレーンDDoS保護が搭載されている場合がありますが、デフォルトのポリサーパラメーターを表示または変更するCLIオプションはサポートされていません。

• MPC(MXシリーズ)、タイプ5 FPC(T4000)、PEベースFPC(PTX3000、PTX5000、PTX1000、PTX10000)の他に他のラインカードが搭載されているルータープラットフォームの場合、CLIは設定を受け入れますが、他のラインカードは保護されていないため、ルーターは保護されません。

• 拡張加入者管理用のコントロールプレーンDDoS保護サポートが、ルーティングプラットフォームのJunos OS リリース17.3R1に追加されました。

• サポートされているプロトコルグループとパケットタイプのデフォルト設定コントロールプレーンDDoS保護パラメーターを変更するために、サポートされているACXシリーズルーター、PTXシリーズルーター、QFXシリーズスイッチのCLI設定オプションは、MXシリーズおよびT4000ルーターで利用可能なオプションとは大きく異なります。さまざまなデバイスで使用可能な設定オプションについては、次の設定ステートメントを参照してください。

  • PTXシリーズルーター以外のルーティングデバイスについては、 プロトコル(DDoS)を参照してください。

  • ACXシリーズルーター、PTXシリーズルーター、QFXシリーズスイッチについては、 プロトコル(DDoS)(ACXシリーズ、PTXシリーズ、QFXシリーズ)を参照してください。

ポリサーの種類とパケットの優先順位

コントロール プレーン DDoS 保護には、次の 2 種類のポリサーが含まれます。

• 集約ポリサーは、プロトコル グループに属するパケット タイプの完全なセットに適用されます。たとえば、すべてのPPPoE制御パケットタイプまたはすべてのDHCPv4制御パケットタイプに適用される集約ポリサーを設定できます。帯域幅(pps(パケット/秒[pps]))とバースト(バースト内のパケット)制限を指定し、帯域幅とバースト制限をスケーリングし、集約ポリサーのトラフィック優先度を設定できます。集約ポリサーは、すべてのプロトコル グループでサポートされています。

• 個々のポリサーは、パケットタイプ ポリサーとも呼ばれ、プロトコル グループ内の制御パケット タイプごとに割り当てられます。たとえば、1 つ以上のタイプの PPPoE 制御パケット、RADIUS 制御パケット、またはマルチキャスト スヌーピング パケットに対してポリサーを設定できます。帯域幅(pps)とバースト(パケット)の制限値を指定し、帯域幅とバーストの制限をスケーリングし、パケットタイプポリサーのトラフィック優先度を設定できます。一部のプロトコル グループでは、個別のポリサーを使用できます。

プロトコルグループとパケットタイプのサポートは、プラットフォームやJunos OSリリースによって、以下のように異なります。

• PTXシリーズルーター以外のルーティングデバイスについては、 プロトコル(DDoS)を参照してください。

• ACXシリーズルーター、PTXシリーズルーター、QFXシリーズスイッチについては、 プロトコル(DDoS)(ACXシリーズ、PTXシリーズ、QFXシリーズ)を参照してください。

制御パケットは、まず個々のポリサー(サポートされている場合)によってポリシングされ、次に集約ポリサーによってポリシングされます。個々のポリサーによってドロップされたパケットは、集約ポリサーに到達することはありません。個々のポリサーを通過したパケットは、その後、集約ポリサーによって破棄される可能性があります。

手記：

ACXシリーズルーターは、サポートされているプロトコルグループのアグリゲートポリサーのみをサポートします。

プロトコル グループ内のパケット タイプには、デフォルトで設定可能な優先度(低、中、高)があります。各制御パケットは、プロトコル グループ内の各パケット タイプに設定された優先度に基づいて、集約ポリサーによって課されるパケット レート制限内の帯域幅をめぐって他のパケットと競合します。

優先順位メカニズムは絶対です。優先度の高いトラフィックには、中優先度および低優先度のトラフィックよりも優先的に帯域幅が割り当てられます。中程度の優先度のトラフィックは、優先度の低いトラフィックよりも優先的に帯域幅を取得します。優先度の低いトラフィックは、優先度の高いトラフィックと中優先度のトラフィックが残した帯域幅のみを使用できます。優先度の高いトラフィックが帯域幅をすべて使用する場合、優先度の低いトラフィックはすべて破棄されます。

Junos OS リリース 23.2R1 より前のリリースでは、MXシリーズデバイスでは、デバイス内のラインカードのタイプによって、受信プロトコルの分散型サービス拒否(DDoS)の優先度が変動します。Junos OS リリース 23.2R1 以降、デバイスは DDoS パラメーター テーブルに基づいてプロトコルの DDoS 優先度を決定します。この機能拡張により、デバイスは、デバイスのラインカードに関係なく、特定のプロトコルのすべてのパケットをデフォルトで同じように処理できます。この機能により、DDoS攻撃から保護するためにネットワーク内のデバイスがプロトコルに優先順位を付ける方法の一貫性が向上します。 表 1 は、既定の DDOS 優先度の変更を示しています。 edit system ddos-protection protocol proto-name (aggregate | subtype) priority level CLI コマンドを使用して優先度を変更できます。

表1:DDOSパラメータテーブルのデフォルトのDDOS優先度

	DDOSパラメータテーブルのプロトコルデフォルトDDOS優先度
	Junos OS リリース 23.2R1 以前	Junos OS リリース 23.2R1 以降
BGP	低い	高い
自民党	高い	高い
ICMP	高い	中程度
ICMPv6の	高い	中程度
ND_ROUTER_SOLICIT	高い	高い
ND_ROUTER_ADVERT	低い	高い
ND_NEIGHBOUR_SOLICIT	高い	高い
ND_NEIGHBOUR_ADVERT	低い	高い
ND_NEIGHBOUR_REDIRECT	低い	高い
IGMPの	高い
BFDの	高い	高い
GRE キープアライブ	高い	高い
GRE	低い	中程度

ポリサーのプライオリティ動作の例

たとえば、PPPoE プロトコル グループのコントロール プレーン DDoS 保護をサポートするデバイスで、このプロトコル グループ内でパケット タイプを構成する方法を検討してください。この例では他の PPPoE パケット タイプを無視して、PADI および PADT パケットに個別のポリサーを設定し、これらすべてのパケットに PPPoE 集約ポリサーを設定するとします。PADT パケットを使用すると、PPPoE アプリケーションがリソースを解放して新しい接続を受け入れることができるため、PADT パケットが PADI パケットよりも優先されます。したがって、PADT パケットには高い優先度を割り当て、PADI パケットには低い優先度を割り当てます。

集約ポリサーは、プロトコル グループに合計パケット レート制限を課します。個々のポリサーによって渡された PADT パケットは、PADT パケットの優先順位が高いため、個々のポリサーによって渡された PADI パケットよりも前にその帯域幅にアクセスできます。非常に多くの PADT パケットが通過し、使用可能な帯域幅をすべて使用すると、集約ポリサーに帯域幅が残っていないため、すべての PADI パケットがドロップされます。

ポリサー階層の例

コントロールプレーンDDoSポリサーは、プロトコル制御トラフィックの階層フローに一致するように編成されています。ラインカードのすべてのポートから到着した制御トラフィックは、パケット転送エンジンに収束します。ルーター上のすべてのラインカードからの制御トラフィックは、ルーティングエンジンに収束します。同様に、DDoS ポリサーは制御パスに沿って階層的に配置されるため、過剰なパケットはパス上でできるだけ早くドロップされます。この設計では、過剰な悪意のあるトラフィックを除去することで、ルーティングエンジンが処理可能な量のトラフィックのみを受信するようにすることで、システム リソースを保持しています。

例えば、この設計をMXシリーズルーターに実装するために、5つのDDoSポリサー(パケット転送エンジン(チップセット)に1つ、ラインカードに2つ、ルーティングエンジンに2つ存在します。パケット転送エンジンには、一部のプロトコルグループの集約ポリサーも存在し、合計6つのポリサーがあります。わかりやすくするために、テキストは一般的なケースに従っています。たとえば、 図 1 は、PPPoE トラフィックのポリサー プロセスを示しています。 図 2 は、DHCPv4 トラフィックのポリサー プロセスを示しています。(同じプロセスが DHCPv6 トラフィックにも適用されます)。

手記：

PTXシリーズルーターとQFXシリーズスイッチは、パケット転送エンジンのみにポリサーを使用するシンプルな設計であることを思い出してください。PTX10003およびPTX10008ルーターでは、コントロールプレーンのDDoS保護制限を3つのレベルで適用します。2つはパケット転送エンジンチップセットおよびラインカードレベル、もう1つはルーティングエンジンレベルです。ただし、パケット タイプ ポリサーと集約ポリサーは、これらすべてのプラットフォームで同様に動作します。

制御パケットは、処理と転送のためにパケット転送エンジンに到着します。最初のポリサー(1)は、個別ポリサー(図 1)または集約ポリサー(図 2)のいずれかです。

• 最初のポリサーは、2 つの例外を除いて、個々のポリサーをサポートするプロトコル グループの個々のポリサーです。DHCPv4 および DHCPv6 トラフィックの場合、最初のポリサーは集約ポリサーです。

• 最初のポリサーは、集約ポリサーのみをサポートするプロトコル グループの集約ポリサーです。

最初のポリサーを通過するトラフィックは、一方または両方のラインカード ポリサーによって監視されます。カードに複数のパケット転送エンジンがある場合、すべてのパケット転送エンジンからのトラフィックはラインカードポリサーに収束します。

• トラフィックが個々のポリサーをサポートするプロトコル グループに属している場合、トラフィックはライン カードの個別ポリサー(2)を通過し、次にラインカードの集約ポリサー(3)を通過します。個々のポリサーを通過したトラフィックは、集約ポリサーによって破棄される可能性があります。DHCPv4 および DHCPv6 のトラフィックは、パケット転送エンジンの集約ポリサーによって監視されていましたが、ラインカードでは、個々のポリサーをサポートする他のプロトコルと同様に処理されます。

• トラフィックが集約ポリサーのみをサポートするプロトコル グループに属している場合、ラインカードの集約ポリサーのみがトラフィックを監視します。

ラインカード ポリサーを通過するトラフィックは、一方または両方のルーティングエンジン ポリサーによって監視されます。すべてのラインカードからのトラフィックは、ルーティングエンジンのポリサーに収束します。

• トラフィックが個別のポリサーをサポートするプロトコル グループに属している場合、トラフィックはルーティングエンジン個別ポリサー(4)、ルーティングエンジン集約ポリサー(5)を通過します。個々のポリサーを通過したトラフィックは、集約ポリサーによって破棄される可能性があります。ライン カード レベルと同様に、ルーティングエンジンでの DHCPv4 と DHCPv6 のトラフィックは、個々のポリサーをサポートする他のプロトコルと同様に処理されます。

• トラフィックが集約ポリサーのみをサポートするプロトコル グループに属している場合、集約ポリサーのみがトラフィックを監視します。

この設計では、3 つのポリサーが、集約ポリサーのみをサポートするプロトコル グループのトラフィックを評価します。他のグループの中でも、ANCP、ダイナミックVLAN、FTP、IGMPトラフィックがこれに該当します。集約ポリサーと個別ポリサーの両方をサポートするプロトコル グループのトラフィックは、5 つのポリサーすべてによって評価されます。他のグループの中でも、DHCPv4、MLP、PPP、PPPoE、 およびオンラインシャーシ トラフィックがこれに該当します。

図 1 は、コントロール プレーン DDoS 保護が PPPoE 制御パケットをどのようにポリシングするかを示しています。

1. たとえば、PADR パケットは、パケット転送エンジンの最初のポリサーで評価され、パケットのレート制限内にあるかどうかが判断されます。制限を超えた PADR パケットは破棄されます。

2. ラインカード上のすべてのパケット転送エンジンでポリサーを通過するすべての PADR パケットは、次にラインカードの個々のポリサーによって評価されます。制限を超えた PADR パケットは破棄されます。

3. ラインカードの個々のポリサーを通過するすべての PADR パケットは、ラインカードの集約ポリサーに進みます。制限を超えた PADR パケットは破棄されます。

4. ルーター上のすべてのラインカード上のラインカード アグリゲート ポリサーによって渡されたすべての PADR パケットは、ルーティングエンジンの個々のポリサーに進みます。制限を超えた PADR パケットは破棄されます。

5. 最後に、ルーティングエンジンの個別ポリサーから渡されたすべての PADR パケットは、ルーティングエンジンのアグリゲート ポリサーへと進みます。制限を超えた PADR パケットは破棄されます。ここでドロップされない PADR パケットは、安全で通常のトラフィックとして渡されます。

デフォルトでは、3つの個別のポリサー(パケット転送エンジン、ラインカード、およびルーティングエンジン)すべてに、特定のパケットタイプに対して同じパケットレート制限が設定されます。この設計では、他のパケット転送エンジンやラインカードから同じタイプの競合するトラフィックがない限り、パケット転送エンジンおよびラインカードからのすべての制御トラフィックがルーティングエンジンに到達することができます。競合するトラフィックが存在する場合、過剰なパケットはコンバージェンス ポイントで廃棄されます。つまり、競合するすべてのパケット転送エンジンではラインカードで廃棄され、競合するすべてのラインカードではルーティングエンジンで廃棄されます。

パケットレートを制限するポリサーの動作の例

例えば、PADI パケットの policer bandwidth オプションを 1000 パケット/秒に設定したとします。この値は、パケット転送エンジン、ラインカード、およびルーティングエンジンでの個々の PADI ポリサーに適用されます。スロット 5 のカードのみが PADI パケットを受信している場合、最大 1000 個の PADI pps がルーティングエンジンに到達できます(PPPoE アグリゲーション ポリサーを超えない場合)。ただし、スロット 9 のカードも 1000 pps で PADI パケットを受信しており、その PPPoE 集約ポリサーを超えていないとします。トラフィックは、両方のラインカードで個別ポリサーとアグリゲートポリサーを通過し、ルーティングエンジンに送られます。ルーティングエンジンでは、複合パケットレートは2000 ppsです。ルーティングエンジンのPADIポリサーは、1000 PADI ppsしか通過できないため、超過した1000パケットをドロップします。帯域幅(pps)の制限を超える限り、超過したパケットをドロップし続けます。

ラインカードの帯域幅(pps)制限とバースト(バースト内のパケット)制限の両方にスケーリング係数を適用して、各スロットのトラフィック制限を微調整できます。たとえば、個々のポリサーが PADI パケット レートを 1000 pps に設定し、バースト サイズを 50,000 パケットに設定したとします。スロット番号とスケーリング係数を指定することで、任意のラインカード上のPADIパケットのトラフィック制限を削減できます。スロット 5 の帯域幅スケーリング係数を 20 にすると、この例ではトラフィックが 1000 pps の 20%、つまりそのスロットのラインカードで 200 pps に削減されます。同様に、そのスロットのバースト スケーリング係数を 50 にすると、バースト サイズは 50% 減少して 25,000 パケットになります。デフォルトでは、スケーリング係数は 100 に設定されているため、トラフィックはレート制限の 100% で通過できます。

コントロールプレーンDDoS保護と加入者ログインパケット過負荷保護の比較

コントロールプレーンDDoS保護機能に加えて、MXシリーズルーターには、加入者ログイン過負荷保護メカニズムも組み込まれています。ログイン過負荷保護メカニズム(負荷スロットリング メカニズムとも呼ばれる)は、受信する加入者ログイン パケットを監視し、システム上の一般的な負荷に従ってシステムが処理できるものだけを許可します。システムが処理できる量を超えたパケットは破棄されます。この過剰な負荷を軽減することで、システムは最適なパフォーマンスを維持し、過負荷状態でのログイン完了率の低下を防ぐことができます。このメカニズムは最小限のリソースを使用し、デフォルトで有効になっています。ユーザーによる設定は必要ありません。

このメカニズムによって提供される保護は、高レートの受信パケットに対する第 1 レベルの防御としてコントロール プレーン DDoS 保護が提供するものよりも二次的なものです。コントロールプレーンDDoS保護は、パケット転送エンジン上で動作し、すべてのプロトコルのすべてのパケットタイプから保護します。対照的に、ログイン過負荷保護メカニズムはルーティングエンジン上にあり、DHCPv4、DHCPDISCOVER、DHCPv6 SOLICIT、PPPoE PADIパケットなどの着信接続開始パケットに対してのみ動作します。