Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

コントロール プレーン分散型サービス拒否(DDoS)防御の概要

サービス拒否(DoS)攻撃とは、ネットワーク要素またはサーバーのすべてのリソースを使用して、有効なユーザーがネットワークまたはサーバーリソースへのアクセスを拒否しようとする試みです。分散型サービス拒否(DDoS)攻撃は、複数のソースからの攻撃を伴い、ネットワークを攻撃するトラフィックの量を大幅に増やすことができます。この攻撃は通常、ネットワーク プロトコル制御パケットを使用して、デバイスの制御プレーンに対する多数の例外をトリガーします。その結果、処理負荷が過度に高くなり、通常のネットワーク運用が中断します。

ジュニパーのデバイスでは、コントロール プレーン DDoS 攻撃を受けている間もデバイスが機能し続けることができます。悪意のある制御パケットを特定して抑制すると同時に、正当な制御トラフィックの処理を可能にします。ネットワーク管理者は、DDoS攻撃防御を一元管理することで、ネットワーク制御トラフィックのプロファイルをカスタマイズできます。ルーターの場合、 GRES(グレースフル ルーティング エンジン スイッチオーバー )と統合型 ISSU(インサービス ソフトウェア アップグレード)スイッチオーバーの保護と監視が継続します。加入者数が増えるにつれて保護は減少しません。

DDoS 違反のホストバウンド トラフィック ポリサー

コントロール プレーンを DDoS 攻撃から保護するために、デバイスはホストバウンド トラフィックに対してデフォルトでポリサーを有効にしています。必要に応じて、多くのポリサーのデフォルト値を変更できます。ホストバウンドトラフィックは、OSPFやBGPなどのルーティングプロトコル向けのプロトコル制御パケットを含め、ルーティングエンジン宛てのトラフィックです。また、ルーターの IP アドレス宛てのトラフィックは、ホストバウンド トラフィックと見なされます。

ポリサーは、特定のプロトコルまたは場合によっては、プロトコルの特定の制御パケット タイプに対するすべての制御トラフィックのレート制限を指定します。パケット タイプとプロトコル グループのポリサー アクションは、デバイス、ルーティング エンジン、ライン カードのレベルで監視できます。また、ポリサー イベントのログ記録を制御することもできます。

デバイスは、デフォルトまたは設定されたポリサー値を超えると、制御トラフィックをドロップします。DDoS 違反が発生しても、デバイスはパケット処理を停止しません。料金が制限されるだけです。各違反は即座に通知を生成し、攻撃の可能性をオペレーターに通知します。デバイスは違反をカウントし、違反が開始された時間と最後に観察された違反の時間をメモします。トラフィック レートが帯域幅違反のしきい値を下回ると、回復タイマーによって、トラフィック フローが正常に戻ったと見なされるタイミングが決定されます。タイマーが終了する前に違反が発生しない場合、デバイスは違反状態をクリアして通知を生成します。

メモ:

PTX ルーターおよび QFX シリーズ スイッチでは、タイマーは 300 秒に設定されており、変更できません。

保護の最初の行は、パケット転送エンジン(PFE)のポリサーです。複数のラインカードを持つデバイスでは、各ラインカードからのポリサーの状態と統計情報がルーティングエンジンにリレーされ、集約されます。ポリサーの状態は、スイッチオーバー中も維持されます。ライン カード統計情報と違反カウントはスイッチオーバー中に保持されますが、ルーティング エンジン ポリサーの統計情報は保持されません。ラインカードのすべてのポートから受信した制御トラフィックは、パケット転送エンジンに収束し、そこでポリシングされ、過剰なパケットがルーティングエンジンに到達する前にドロップし、ルーティングエンジンが処理できるトラフィック量のみを受信できるようにします。

この機能をサポートするACXシリーズルーターは、アグリゲートポリサーのみをサポートし、ラインカードレベルでのポリシングをサポートしていません。ルーティング エンジン レベルでデフォルト ポリサー値をグローバルに変更することも、特定のプロトコル グループに対して変更することもできます。これは PFE チップセット レベルまで伝播します。ただし、他のデバイスと同様に、ラインカードレベルで追加のスケーリングパラメータを適用することはできません。ルーティング エンジン レベルで、または特定のプロトコル グループに対してポリシー実行を無効にできます。ポリシー実行をグローバルに無効にすると、デバイス上のコントロール プレーン DDoS 保護が効果的に無効になります。

QFX10000 シリーズ スイッチと PTX シリーズ ルーターは、PFE チップセット、ライン カード、ルーティング エンジンの 3 つのレベルで DDoS 保護制限を適用します。

コントロールプレーンのDDoS防御では、イベントロギングによる違反の通知に加えて、ポリサーの監視、ポリサーの設定、発生した違反数、違反の日時、パケット到着レート、受信またはドロップしたパケット数などの情報を取得できます。

メモ:

制御プレーン DDoS 保護ポリサーは、システムのトラフィック キューに対して動作します。QFX5100およびQFX5200シリーズのスイッチは、キュー数よりも多くのプロトコルのトラフィックを管理するため、多くの場合、システムは複数のプロトコルを同じキューにマッピングする必要があります。あるプロトコルのトラフィックがキューを他のプロトコルと共有し、DDoS 保護ポリサーの制限に違反している場合、これらのデバイスは、システムが違反の原因となったプロトコルのトラフィックをシステムが区別しないため、マッピングされたすべてのプロトコルのそのキューに対する違反を報告します。ネットワークを流れるトラフィックのタイプについて知っている内容を使用して、報告されたプロトコルのうち、実際に違反をトリガーしたトラフィックを特定できます。

プラットフォームのサポート

Junos OSリリース14.2以降のリリースでは、コントロールプレーンDDoS攻撃防御が特定のプラットフォームでサポートされています。一般的に、以下のプラットフォームの一部のモデルでは、デフォルトでコントロールプレーンDDoS保護が有効になっており、デフォルトのポリサーパラメーターを変更するための設定オプションをサポートしています。

  • ACXシリーズルーター。

  • EX9200スイッチ。

  • MPC のみがインストールされている MX シリーズ ルーター。

  • MPCが組み込まれたMXシリーズルーター。

    メモ:

    テキストがラインカードやラインカードポリサーを指すシンプルさのために、これらのルーターには組み込みのMPCを意味します。

    これらのルーターにはFPCスロットがないため、コマンドによってshowフィールドにFPC表示される情報は実際にTFEBを指します。

  • PE ベースの FPC(PTX3000、PTX5000、PTX1000、PTX10000)のみがインストールされている PTX シリーズ ルーターは、Junos OS リリース 17.4R1 以降のコントロール プレーン DDoS 保護をサポートしています。

    PTX10002 ルーターは、Junos OS リリース 18.2R1 以降のコントロール プレーン DDoS 保護をサポートしています。

    PTX10003 ルーターは、Junos OS Evolved リリース 19.3R1 以降、コントロール プレーン DDoS 攻撃防御をサポートしています。

    PTX10008 ルーターは、Junos OS Evolved リリース 20.1R1 以降、コントロール プレーン DDoS 保護をサポートしています。

  • QFX5100シリーズ、QFX5200シリーズ、QFX10000シリーズのスイッチを含むQFXシリーズスイッチ。

    QFX10002-60Cスイッチは、Junos OSリリース18.1R1以降のコントロールプレーンDDoS保護をサポートしています。

  • タイプ 5 FPC のみがインストールされている T4000 ルーター。

メモ:
  • Junos Evolvedプラットフォームでは、デバイスのlo0インターフェイス上でおよび/またはinet6プロトコルファミリーを設定inetして、これらのプロトコルファミリーでDDoS保護を行う必要があります。

  • 一部のEXシリーズスイッチは、コントロールプレーンDDoS保護を持つかもしれませんが、デフォルトのポリサーパラメーターを表示または変更するCLIオプションをサポートしていません。

  • MPC(MXシリーズ)に加えて他のラインカードを持つルータープラットフォームでは、タイプ5 FPC(T4000)、またはPEベースのFPC(PTX3000、PTX5000、PTX1000、PTX10000)では、CLIは設定を受け入れますが、他のラインカードは保護されないため、ルーターは保護されません。

  • ルーティング プラットフォームの Junos OS リリース 17.3R1 に、拡張加入者管理に対するコントロール プレーン DDoS 保護サポートが追加されました。

  • サポートされているプロトコル グループとパケット タイプに対してデフォルトで設定されたコントロール プレーン DDoS 保護パラメーターを変更するために、ACX シリーズ ルーターをサポートする PTX シリーズ ルーターと QFX シリーズ スイッチには、MX シリーズおよび T4000 ルーターで使用可能なオプションとは大きく異なる CLI 設定オプションがあります。さまざまなデバイスで使用可能な設定オプションについては、以下の設定ステートメントを参照してください。

ポリサー タイプとパケット優先度

コントロール プレーン DDoS 攻撃防御には、2 種類のポリサーが含まれます。

  • アグリゲート ポリサーは、プロトコル グループに属するパケット タイプの完全なセットに適用されます。例えば、すべての PPPoE 制御パケット タイプまたはすべての DHCPv4 制御パケット タイプに適用される集約ポリサーを設定できます。帯域幅(パケット/秒[pps])とバースト(バーストのパケット)制限を指定し、帯域幅とバースト制限を拡張し、アグリゲート ポリサーにトラフィック優先度を設定できます。アグリゲート ポリサーは、すべてのプロトコル グループでサポートされています。

  • パケットタイプポリサーとも呼ばれる個々のポリサーは、プロトコルグループ内の制御パケットタイプごとに割り当てられます。例えば、1つ以上のPPPoE制御パケット、RADIUS制御パケット、またはマルチキャストスヌーピングパケットにポリサーを設定できます。帯域幅(pps)とバースト(パケット)の制限値を指定し、帯域幅とバースト制限を拡張し、パケット タイプ ポリサーのトラフィック優先度を設定できます。一部のプロトコル グループでは、個々のポリサーを使用できます。

プロトコル グループとパケット タイプのサポートは、以下のようにプラットフォームや Junos OS リリースによって異なります。

制御パケットは、まず個々のポリサー(サポートされている場合)と、その集約ポリサーによってポリサーされます。個々のポリサーがドロップしたパケットがアグリゲート ポリサーに到達することはありません。個々のポリサーを通過するパケットは、その後、集約ポリサーによってドロップすることができます。

メモ:

ACX シリーズ ルーターは、サポートされているプロトコル グループの集合ポリサーのみをサポートします。

プロトコル グループ内のパケット タイプには、デフォルトで設定可能な優先度(低、中、高)があります。各制御パケットは、プロトコル グループ内の各パケット タイプに設定された優先度に基づいて、集約ポリサーによって課されるパケット レート制限内の帯域幅について他のパケットと競合します。

優先メカニズムは絶対です。優先度の高いトラフィックは、中優先度と優先度の低いトラフィックよりも帯域幅を優先します。優先度の低いトラフィックは、優先度の低いトラフィックよりも帯域幅を優先します。優先度の低いトラフィックは、優先度の高いトラフィックと中優先度のトラフィックが残す帯域幅のみを使用できます。優先度の高いトラフィックがすべての帯域幅を消費する場合、優先度の低いトラフィックはすべて破棄されます。

Junos OS リリース 23.2R1 以前のリリースでは、MX シリーズ デバイスでは、デバイス内のライン カードのタイプによって、受信プロトコルの分散サービス拒否(DDoS)優先度が高まります。Junos OSリリース23.2R1以降、デバイスはDDoSパラメータテーブルに基づいてプロトコルのDDoS優先度を決定します。この拡張機能により、デバイスのラインカードに関係なく、デバイスは特定のプロトコルのすべてのパケットをデフォルトで同じように処理できます。CLIを使用してDDoSパラメータテーブルを変更できます。この機能により、ネットワーク内のデバイスがプロトコルに優先順位を付け、DDoS攻撃から保護する方法の一貫性が向上します。

ポリサー優先度動作の例

たとえば、PPPoE プロトコル グループのコントロール プレーン DDoS 保護をサポートするデバイスで、このプロトコル グループ内でパケット タイプを設定する方法を検討します。この例では、他の PPPoE パケット タイプを無視して、PADI および PADT パケットに個別のポリサーを設定し、これらのすべてのパケットに対して PPPoE 集約ポリサーを設定するとします。PADT パケットは、PPPoE アプリケーションがリソースを解放して新しい接続を受け入れることが可能になるため、PADT パケットを PADI パケットよりも優先します。そのため、PADT パケットには高い優先度を、PADI パケットには低い優先度を割り当てます。

アグリゲート ポリサーは、プロトコル グループに合計パケット レート制限を課します。個々のポリサーが通過した PADT パケットは、PADT パケットの優先度が高いため、個々のポリサーが通過する PADI パケットの前にその帯域幅にアクセスできます。利用可能なすべての帯域幅を使用するように多くの PADT パケットが通過した場合、集約ポリサーに残っている帯域幅がないため、すべての PADI パケットがドロップされます。

ポリサー階層の例

制御プレーン DDoS ポリサーは、プロトコル制御トラフィックの階層型フローに合わせて編成されています。ラインカードのすべてのポートから受信したトラフィックを制御し、パケット転送エンジン上で収束します。ルーター上のすべてのライン カードからのトラフィックを制御し、ルーティング エンジンで収束します。同様に、DDoS ポリサーは制御パスに沿って階層的に配置されるため、余分なパケットはパス上でできるだけ早くドロップされます。この設計では、過剰な悪意のあるトラフィックを除去してシステム リソースを保護し、ルーティング エンジンが処理できるトラフィック量のみを受信できるようにします。

たとえば、MXシリーズルーターでこの設計を実装するには、5つのDDoSポリサーが存在します。1つはパケット転送エンジン(チップセット)、2つはラインカード、2つはルーティングエンジンです。また、一部のプロトコル グループでは、合計 6 つのポリサーのパケット転送エンジンに集約ポリサーが存在します。簡潔にするために、テキストは一般的な大文字と小文字に従います。例えば、 図 1 は PPPoE トラフィックのポリサー プロセスを示しています。 図 2 は、DHCPv4 トラフィックのポリサー プロセスを示しています。(DHCPv6 トラフィックにも同じプロセスが適用されます)。

メモ:

PTX シリーズ ルーターと QFX シリーズ スイッチの設計は、パケット転送エンジン内のポリサーのみでシンプルであることを思い出してください。PTX10003 および PTX10008 ルーターは、コントロール プレーン DDoS 保護制限を 3 つのレベルで適用します。2 つはパケット転送エンジン チップセットとライン カード レベルで、もう 1 つはルーティング エンジン レベルです。ただし、パケット タイプと集約ポリサーは、これらのプラットフォームすべてで同様に動作します。

図 1:PPPoE パケット Policer Hierarchy for PPPoE Packetsのポリサー階層

図 2:DHCPv4 パケット Policer Hierarchy for DHCPv4 Packetsのポリサー階層

制御パケットは、処理と転送のためにパケット転送エンジンに到着します。最初のポリサー(1)は、個々のポリサー(図1)または集合ポリサー(図2)のいずれかです。

  • 最初のポリサーは、2 つの例外を除き、個々のポリサーをサポートするプロトコル グループの個々のポリサーです。DHCPv4 および DHCPv6 トラフィックの場合、最初のポリサーは集約ポリサーです。

  • 最初のポリサーは、集約ポリサーのみをサポートするプロトコルグループの集合ポリサーです。

最初のポリサーを通過するトラフィックは、ライン カード ポリサーの 1 つまたは両方によって監視されます。カードに複数のパケット転送エンジンがある場合、すべてのパケット転送エンジンからのトラフィックはラインカード ポリサーで収束します。

  • トラフィックが個々のポリサーをサポートするプロトコル グループに属している場合、そのトラフィックはライン カードの個々のポリサー(2)とライン カードアグリゲート ポリサー(3)を通過します。個々のポリサーを通過するトラフィックは、集約ポリサーによってドロップすることができます。DHCPv4およびDHCPv6トラフィックは、パケット転送エンジンの集約ポリサーによって監視されましたが、ラインカードでは、個々のポリサーをサポートする他のプロトコルと同様に処理されます。

  • トラフィックがアグリゲート ポリサーのみをサポートするプロトコル グループに属している場合、ライン カードの集約ポリサーのみがトラフィックを監視します。

ライン カード ポリサーを通過するトラフィックは、ルーティング エンジン ポリサーのいずれかまたは両方によって監視されます。すべてのライン カードからのトラフィックはルーティング エンジン ポリサーで収束します。

  • トラフィックが個々のポリサーをサポートするプロトコル グループに属する場合、トラフィックはルーティング エンジンの個々のポリサー(4)とルーティング エンジンアグリゲート ポリサー(5)を通過します。個々のポリサーを通過するトラフィックは、集約ポリサーによってドロップすることができます。ラインカードレベルにあったように、ルーティングエンジンのDHCPv4およびDHCPv6トラフィックは、個々のポリサーをサポートする他のプロトコルと同様に処理されます。

  • トラフィックが集約ポリサーのみをサポートするプロトコル グループに属している場合、集約ポリサーのみがトラフィックを監視します。

この設計では、3 つのポリサーが、集約ポリサーのみをサポートするプロトコル グループのトラフィックを評価します。その他のグループには、ANCP、ダイナミックVLAN、FTP、IGMPトラフィックが含まれます。集約ポリサーと個々のポリサーの両方をサポートするプロトコルグループのトラフィックは、5つのポリサーすべてによって評価されます。その他のグループには、DHCPv4、MLP、PPP、PPPoE、 バーチャルシャーシ トラフィックが含まれます。

図 1 は、制御プレーン DDoS 保護が PPPoE 制御パケットをどのように規制するかを示しています。

  1. たとえば、PADR パケットは、パケット転送エンジンの最初のポリサーで評価され、パケット レート制限内であるかどうかを判断します。上限を超える PADR パケットは破棄されます。

  2. ライン カード上のすべてのパケット転送エンジンでポリサーを通過するすべての PADR パケットは、次にライン カードの個々のポリサーによって評価されます。上限を超える PADR パケットは破棄されます。

  3. ライン カードの個々のポリサーを通過するすべての PADR パケットは、ライン カード アグリゲート ポリサーに進みます。上限を超える PADR パケットは破棄されます。

  4. ルーター上のすべてのライン カード上のライン カード集合ポリサーによって渡されるすべての PADR パケットは、ルーティング エンジンの個々のポリサーに進みます。上限を超える PADR パケットは破棄されます。

  5. 最後に、ルーティング エンジンの個々のポリサーによって渡されるすべての PADR パケットは、ルーティング エンジンアグリゲート ポリサーに進みます。上限を超える PADR パケットは破棄されます。ここでドロップされない PADR パケットは、安全な通常のトラフィックとして渡されます。

デフォルトでは、3つの個々のポリサー(パケット転送エンジン、ラインカード、ルーティングエンジン)はすべて、特定のパケットタイプに対して同じパケットレート制限を持っています。この設計では、他のパケット転送エンジンやラインカードから同じタイプのトラフィックが競合していない限り、パケット転送エンジンとラインカードからのすべての制御トラフィックがルーティングエンジンに到達できます。競合するトラフィックが存在する場合、過剰なパケットはコンバージェンス ポイントで破棄されます。つまり、競合するすべてのパケット転送エンジンのライン カードと、競合するすべてのライン カードのルーティング エンジンでドロップされます。

パケット レートを制限するポリサー動作の例

例えば、PADI パケットのポリサー bandwidth オプションを 1 秒あたり 1000 パケットに設定するとします。この値は、パケット転送エンジン、ラインカード、ルーティングエンジンの個々の PADI ポリサーに適用されます。スロット 5 のカードのみが PADI パケットを受信している場合、最大 1000 PADI pps がルーティング エンジンに到達できます(PPPoE アグリゲート ポリサーを超えていない場合)。しかし、スロット 9 のカードが 1000 pps で PADI パケットを受信しており、その PPPoE アグリゲート ポリサーを超えないとします。トラフィックは、両方のライン カードで個々のポリサーと集約ポリサーを通過させ、ルーティング エンジンに進みます。ルーティング エンジンでは、合計パケット レートは 2,000 pps です。ルーティング エンジンの PADI ポリサーでは、1000 個の PADI pps しか通過できないため、1,000 以上のパケットをドロップします。帯域幅(pps)の制限を超えている限り、余分なパケットは破棄され続けます。

ライン カードでは、帯域幅(pps)制限とバースト(バーストのパケット)制限の両方に拡張係数を適用して、各スロットのトラフィック制限を微調整できます。例えば、個々のポリサーが PADI パケット レートを 1000 pps に、バースト サイズを 50,000 パケットに設定するとします。スロット番号とスケーリング係数を指定することで、あらゆるラインカード上の PADI パケットのトラフィック制限を減らすことができます。スロット5の帯域幅拡張係数が20の場合、この例のトラフィックは1000 ppsの20%、またはそのスロットのラインカードでは200 ppsに減少します。同様に、そのスロットのバースト スケーリング 係数が 50 の場合、バースト サイズは 50% 削減され、25,000 パケットに減少します。デフォルトでは、スケーリング係数は100に設定されているため、トラフィックはレート制限の100%で通過できます。

コントロールプレーンのDDoS攻撃防御と加入者ログインパケット過負荷保護の比較

制御プレーン DDoS 保護機能に加え、MX シリーズ ルーターには加入者ログイン 過負荷保護メカニズムが組み込まれています。ログイン過負荷保護メカニズム(負荷分散メカニズムとも呼ばれます)は、受信加入者ログインパケットを監視し、システムの一般的な負荷に応じてシステムが処理できる内容のみを許可します。システムが処理できる量を超えるパケットは破棄されます。この過剰な負荷を取り除くことで、システムは最適なパフォーマンスを維持し、過負荷状態でのログイン完了率の低下を防ぐことができます。このメカニズムは最小限のリソースを使用し、デフォルトで有効になっています。ユーザー設定は不要です。

このメカニズムによって提供される保護は、高レートの受信パケットに対する防御の第 1 レベルとして、コントロール プレーン DDoS 保護が提供するものに対して副次的になります。コントロール プレーン DDoS 攻撃防御はパケット転送エンジン上で動作し、すべてのプロトコルのすべてのパケット タイプに対して保護します。対照的に、ログイン 過負荷保護メカニズムはルーティング エンジン上にあり、特に DHCPv4 DHCPDISCOVER、DHCPv6 SOLICIT、PPPoE PADI パケットなどの受信接続開始パケットでのみ動作します。

リリース履歴テーブル
リリース
説明
19.4R1-S1
PTX10008 ルーターは、Junos OS Evolved リリース 20.1R1 以降、コントロール プレーン DDoS 保護をサポートしています。
19.3R1
PTX10003 ルーターは、Junos OS Evolved リリース 19.3R1 以降、コントロール プレーン DDoS 攻撃防御をサポートしています。
18.2R1
PTX10002 ルーターは、Junos OS リリース 18.2R1 以降のコントロール プレーン DDoS 保護をサポートしています。
18.2R1
QFX10002-60Cスイッチは、Junos OSリリース18.1R1以降のコントロールプレーンDDoS保護をサポートしています。
17.4R1
PE ベースの FPC(PTX3000、PTX5000、PTX1000、PTX10000)のみがインストールされている PTX シリーズ ルーターは、Junos OS リリース 17.4R1 以降のコントロール プレーン DDoS 保護をサポートしています。
17.3R1
ルーティング プラットフォームの Junos OS リリース 17.3R1 に、拡張加入者管理に対するコントロール プレーン DDoS 保護サポートが追加されました。
14.2
Junos OSリリース14.2以降のリリースでは、コントロールプレーンDDoS攻撃防御が特定のプラットフォームでサポートされています。