컨트롤 플레인 DDoS Protection 플로우 탐지 개요

플로우 감지 및 제어

플로우 감지는 기본적으로 비활성화되어 있습니다. 계층 수준에서 활성화 [edit system ddos-protection global] 하면 거의 모든 프로토콜 그룹 및 패킷 유형에 대해 컨트롤 플레인 DDoS 보호 폴리서가 위반될 때 애플리케이션이 제어 트래픽 플로우를 모니터링하기 시작합니다. 플로우 탐지를 전역적으로 활성화하는 것 외에도, 거의 모든 프로토콜 그룹 및 패킷 유형에 대해 플로우 탐지의 작동 모드, 즉 디도스(DDoS) 공격 보호 폴리서 위반에 의해 자동으로 트리거되는지(기본값) 또는 항상 켜져 있는지 여부를 구성할 수 있습니다. 개별 프로토콜 그룹 및 패킷 유형에 대한 글로벌 구성 설정을 재정의할 수 있습니다. 이벤트 보고 속도를 제외한 플로우 감지의 다른 모든 특성은 개별 패킷 유형 수준에서만 구성할 수 있습니다.

향상된 가입자 관리는 Junos OS 릴리스 17.3R1부터 컨트롤 플레인 DDoS 보호를 위한 플로우 감지를 지원합니다.

메모:

다음 그룹 및 패킷 유형은 일반적인 이더넷, IP 또는 IPv6 헤더가 없기 때문에 플로우 감지를 전역적으로 활성화할 수 없습니다.

• 프로토콜 그룹: fab-probe, frame-relay, inline-ka, isisjfm, posmlppfe-alive, 및 .services

• 패킷 유형: unclassified 프로토콜 그룹에서 ip-options .

제어 흐름은 세 가지 수준으로 집계됩니다. 가입자 수준은 세 가지 중 가장 세분화된 수준이며 개별 가입자 세션에 대한 플로우로 구성됩니다. 논리적 인터페이스 수준은 여러 가입자 플로우를 집계하므로 더 거칠게 세분화되며 개별 가입자 플로우에 대한 차별을 제공하지 않습니다. 물리적 인터페이스 수준은 여러 논리적 인터페이스 플로우를 집계하여 트래픽 플로우에 대한 가장 대략적인 뷰를 제공합니다.

이러한 수준에서 흐름 감지를 끄거나 켤 수 있습니다. 또한 DDoS 보호 폴리서 위반에 의해 자동으로 트리거되는지 또는 항상 켜져 있는지 여부를 구성할 수 있습니다. 흐름 감지는 감지가 또는 automatic로 on 구성된 가장 세분화된 수준에서 시작됩니다.

흐름이 도착하면 흐름 감지는 해당 흐름이 이미 의심스러운 흐름 테이블에 나열되어 있는지 확인합니다. 의심스러운 플로우는 기본 또는 구성에서 허용하는 대역폭을 초과하는 플로우입니다. 플로우가 테이블에 없고 어그리게이션 레벨 플로우 감지 모드가 on인 경우, 플로우 감지는 테이블에 플로우를 나열합니다. 플로우가 테이블에 없고 플로우 감지 모드가 automatic인 경우, 플로우 감지는 이 플로우가 의심스러운지 여부를 확인합니다.

흐름이 의심스러우면 흐름 테이블로 이동합니다. 흐름이 의심스럽지 않으면 흐름 감지가 로 설정된 on다음 거친 집계 수준에서 동일한 방식으로 처리됩니다. 상위 수준 중 어느 것도 탐지되지 않은 경우, 플로우는 디도스(DDoS) 공격 보호 패킷 폴리서로의 지속적인 조치를 취하며, 여기서 전달되거나 삭제될 수 있습니다.

초기 점검이 테이블에서 플로우를 찾으면 해당 집계 레벨에 대한 제어 모드 설정에 따라 플로우가 삭제, 폴리싱 또는 유지됩니다. 손실된 흐름의 모든 패킷이 삭제됩니다. 폴리싱된 플로우에서는 플로우가 어그리게이션 수준에 대해 허용 가능한 대역폭 내에 있을 때까지 패킷이 삭제됩니다. 유지된 흐름은 처리를 위해 다음 집계 수준으로 전달됩니다.

플로우 트래킹

플로우 감지 애플리케이션은 의심스러운 플로우 테이블에 나열된 플로우를 추적합니다. 테이블의 각 항목을 주기적으로 검사하여 나열된 플로우가 여전히 의심스러운지(대역폭 위반) 여부를 확인합니다. 의심스러운 플로우가 구성 가능한 플로우 감지 기간보다 긴 기간 동안 테이블에 삽입된 이후 지속적으로 대역폭을 위반한 경우, 이는 단순히 의심스러운 플로우가 아닌 범 인 플로우로 간주됩니다. 그러나 대역폭이 탐지 기간보다 짧은 기간 동안 위반된 경우 위반은 거짓 긍정으로 처리됩니다. 흐름 감지는 흐름을 안전한 것으로 간주하고 추적을 중지합니다(테이블에서 삭제).

구성 가능한 타임아웃 기간 동안 원인 플로우를 억제하는 타임아웃 기능을 활성화할 수 있으며, 이 기간 동안 플로우는 플로우 테이블에 유지됩니다. (억제는 기본 동작이지만 플로우 감지 동작은 플로우 레벨 제어 구성에 의해 변경될 수 있습니다.) 나열된 플로우를 점검한 결과 타임아웃이 활성화되고 타임아웃 기간이 만료된 플로우가 발견되면 플로우가 타임아웃되어 플로우 테이블에서 제거됩니다.

제한시간이 아직 만료되지 않았거나 제한시간 기능이 사용 가능하지 않은 경우, 애플리케이션은 복구 검사를 수행합니다. 흐름이 대역폭을 마지막으로 위반한 이후의 시간이 구성 가능한 복구 기간보다 길면 흐름이 복구되고 흐름 테이블에서 제거됩니다. 마지막 위반 이후의 시간이 복구 기간보다 짧으면 플로우 테이블에 플로우가 유지됩니다.

알림을

기본적으로 플로우 감지는 플로우 감지 중에 발생하는 다양한 이벤트에 대한 시스템 로그를 자동으로 생성합니다. 이러한 로그는 플로우 감지 CLI에서 보고서 라고 합니다. 모든 프로토콜 그룹 및 패킷 유형이 기본적으로 적용되지만 개별 패킷 유형에 대한 자동 로깅을 비활성화할 수 있습니다. 보고서 전송 속도를 구성할 수도 있지만 이는 모든 패킷 유형에 전역적으로 적용됩니다.

각 보고서는 다음 두 가지 유형 중 하나에 속합니다.

• 플로우 보고서 - 이러한 보고서는 범인 플로우의 식별 및 추적과 관련된 이벤트에 의해 생성됩니다. 각 보고서에는 이벤트가 발생한 흐름에 대한 식별 정보가 포함됩니다. 이 정보는 플로우 테이블을 정확하게 유지하는 데 사용됩니다. 흐름은 보고서의 정보에 따라 테이블에서 삭제되거나 유지됩니다. 표 1 에서는 각 플로우 보고서를 트리거하는 이벤트에 대해 설명합니다.

  표 1: 플로우 감지 보고서에 대한 트리거 이벤트

  이름	묘사
  DDOS_SCFD_FLOW_FOUND	의심스러운 흐름이 감지되었습니다.
  DDOS_SCFD_FLOW_TIMEOUT	범인 흐름에 대한 시간 초과 기간이 만료됩니다. 흐름 감지는 흐름 억제(또는 모니터링)를 중지합니다.
  DDOS_SCFD_FLOW_RETURN_NORMAL	원인 플로우가 대역폭 제한 내로 돌아갑니다.
  DDOS_SCFD_FLOW_CLEARED	원인 플로우는 명령을 사용하여 clear 수동으로 지워지거나, 의심스러운 플로우 모니터링이 다른 집계 수준으로 전환된 결과로 자동으로 지워집니다.
  DDOS_SCFD_FLOW_AGGREGATED	제어 흐름은 더 거친 수준으로 집계됩니다. 이 이벤트는 플로우 테이블이 용량에 근접하거나 특정 플로우 수준에서 플로우를 찾을 수 없어 다음 거친 레벨을 검색해야 할 때 발생합니다.
  DDOS_SCFD_FLOW_DEAGGREGATED	제어 흐름은 더 세분화된 수준으로 세분화됩니다. 이 이벤트는 플로우 테이블이 꽉 차지 않았거나 플로우 제어가 유효하고 패킷 유형에 대한 폴리서의 플로우에 대한 총 도달 속도가 고정된 내부 기간 동안 대역폭보다 낮을 때 발생합니다.

• 대역폭 위반 보고서 - 이 보고서는 의심스러운 플로우 검색과 관련된 이벤트에 의해 생성됩니다. 각 보고서에는 이벤트가 발생한 흐름에 대한 식별 정보가 포함됩니다. 이 정보는 의심스러운 플로우를 추적하고 플로우 테이블에 배치된 플로우를 식별하는 데 사용됩니다. 표 2 에서는 각 위반 보고서를 트리거하는 이벤트에 대해 설명합니다.

  표 2: 대역폭 위반 보고서에 대한 트리거 이벤트

  이름	묘사
  DDOS_PROTOCOL_VIOLATION_SET	제어 프로토콜에 대한 수신 트래픽이 구성된 대역폭을 초과했습니다.
  DDOS_PROTOCOL_VIOLATION_CLEAR	위반된 제어 프로토콜에 대한 수신 트래픽이 정상으로 돌아왔습니다.

보고서는 이벤트에 의해 트리거될 때만 전송됩니다. 즉, null 또는 빈 보고서가 없습니다. 보고서는 주기적으로 작성되므로 마지막 보고서 이후의 간격 동안 발생하는 이벤트만 관심 있는 이벤트입니다.