Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

컨트롤 플레인 DDoS 보호 플로우 감지 개요

플로우 감지는 컨트롤 플레인 DDoS 보호를 강화하여 DDoS 폴리서 계층을 보완합니다. 완전한 컨트롤 플레인 DDoS 보호 솔루션의 일부입니다. 플로우 감지는 제한된 양의 하드웨어 리소스를 사용하여 호스트 바운드 제어 트래픽의 도착 속도를 모니터링합니다. 플로우 감지는 필터 폴리서에 기반한 솔루션보다 훨씬 확장성이 뛰어 듭니다. 필터 폴리서는 많은 양의 리소스를 소비하는 모든 플로우를 추적합니다. 이와 반대로 플로우 감지는 의심스러운 것으로 식별되는 플로우만 추적하며 훨씬 적은 리소스를 사용하여 이를 수행합니다.

플로우 감지 애플리케이션에는 두 가지 상호 연관된 컴포넌트, 탐지 및 추적이 있습니다. 탐지는 부적절한 것으로 의심되는 플로우를 식별하고 이후에 제어하는 프로세스입니다. 추적은 플로우가 추적되어 해당 플로우가 진정으로 적대적인지 여부와 해당 플로우가 수용 가능한 제한 범위 내에서 복구되는 시기를 결정하는 프로세스입니다.

플로우 감지 및 제어

플로우 감지는 기본적으로 비활성화됩니다. 계층 수준에서 활성화 [edit system ddos-protection global] 하면 컨트롤 플레인 DDoS 보호 폴리서가 거의 모든 프로토콜 그룹 및 패킷 유형에 대해 위반되었을 때 애플리케이션이 제어 트래픽 플로우 모니터링을 시작합니다. 플로우 감지를 전 세계적으로 활성화할 수 있을 뿐만 아니라 거의 모든 프로토콜 그룹 및 패킷 유형에 대해 DDoS 보호 폴리서(기본값)의 위반으로 인해 자동으로 트리거되거나 항상 가동 중이건 관계없이 해당 작동 모드를 구성할 수 있습니다. 개별 프로토콜 그룹 및 패킷 유형에 대한 글로벌 구성 설정을 무시할 수 있습니다. 이벤트 보고서 속도 이외에, 플로우 감지의 다른 모든 특성은 개별 패킷 유형의 수준에서만 구성 가능합니다.

Enhanced Subscriber Management는 Junos OS Release 17.3R1을 통해 컨트롤 플레인 DDoS 보호를 위한 플로우 감지를 지원합니다.

참고:

일반적인 이더넷, IP 또는 IPv6 헤더가 없기 때문에 다음 그룹 및 패킷 유형에 대해 전역적으로 플로우 감지를 실행할 수 없습니다.

  • 프로토콜 그룹: fab-probe,frame-relay, inline-ka, isisjfmmlp,pfe-alivepos, 및 .services

  • 패킷 유형: unclassified 프로토콜 그룹에서.ip-options

제어 흐름은 세 가지 수준으로 집계됩니다. 가입자 수준은 세 가지 중에서 가장 세밀하며 개별 가입자 세션을 위한 플로우로 구성됩니다. 논리적 인터페이스 수준은 여러 가입자 플로우를 집계하므로 거친 세분화되어 개별 가입자 플로우에 대한 차별을 제공하지 않습니다. 물리적 인터페이스 수준은 여러 논리적 인터페이스 플로우를 집계하여 트래픽 플로우에 대한 가장 거친 뷰를 제공합니다.

이러한 수준 중 어느 수준에서나 플로우 감지를 끄거나 켤 수 있습니다. 또한 DDoS 보호 폴리서의 위반에 의해 자동으로 트리거되는지 또는 항상 실행 중인지 여부를 구성할 수도 있습니다. 플로우 감지는 구성 또는 automaticon 구성된 최고 수준의 세분화된 수준에서 시작됩니다.

플로우가 도착하면 플로우 감지는 플로우가 이미 의심스러운 플로우 테이블에 나열되어 있는지 여부를 확인합니다. 의심스러운 플로우는 기본적으로 허용되는 대역폭 또는 구성을 초과하는 플로우입니다. 플로우가 테이블에 없는 경우 어그리게이션 수준 플로우 감지 모드인 경우 플로우 감지가 on테이블 내 플로우를 나열합니다. 플로우가 테이블에 없는 경우 플로우 감지 모드가 automatic유동 탐지가 의심스럽는지 여부를 확인합니다.

플로우가 의심스러운 경우 플로우 테이블로 이동합니다. 플로우가 의심스럽지 않으면 플로우 감지가 설정된 다음 거친 어그리게이션 수준에서 동일한 방식으로 처리됩니다 on. 상위 수준 중 어느 것도 탐지하지 못하는 경우 플로우는 DDoS 보호 패킷 폴리서로 계속 전달되고 드롭될 수 있습니다.

초기 검사가 테이블의 플로우를 발견하면 해당 어그리게이션 수준에 대한 제어 모드 설정에 따라 플로우가 삭제되거나 정책 적용되거나 유지됩니다. 드롭된 플로우의 모든 패킷은 드롭됩니다. 폴리서드 플로우에서, 플로우가 어그리게이션 레벨에서 허용되는 대역폭 내에 들어갈 때까지 패킷이 드롭됩니다. 유지된 플로우는 처리를 위해 다음 어그리게이션 수준으로 전달됩니다.

플로우 추적

플로우 탐지 애플리케이션은 의심스러운 플로우 테이블에 나열된 플로우를 추적합니다. 테이블의 각 엔트리를 주기적으로 검사하여 나열된 플로우가 여전히 의심스러운지 여부를 확인합니다(대역폭 위반). 구성 가능한 플로우 감지 기간보다 더 큰 기간 동안 테이블에 삽입된 이후 의심스러운 플로우가 지속적으로 대역폭을 침해한 경우, 단순히 의심스러운 플로우가 아닌 원인 플로우로 간주됩니다. 그러나 탐지 기간 미만의 대역폭을 위반한 경우 위반은 오탐으로 간주됩니다. 플로우 감지는 플로우가 안전한 것으로 간주하고 추적을 중지합니다(테이블에서 삭제).

플로우가 플로우 테이블에 유지되는 구성 가능한 타임아웃 기간 동안 범인 플로우를 억제하는 타임아웃 기능을 사용할 수 있습니다. (억제는 기본 동작이지만 플로우 감지 작업은 플로우 수준 제어 구성에 의해 변경될 수 있습니다.) 나열된 플로우의 검사에서 타임아웃이 활성화되고 타임아웃 기간이 만료된 플로우를 발견하면 플로우의 시간이 초과되어 플로우 테이블에서 제거됩니다.

타임아웃이 아직 만료되지 않았거나 타임아웃 기능을 사용할 수 없는 경우 애플리케이션은 복구 검사를 수행합니다. 플로우가 마지막으로 대역폭을 위반한 이후의 시간이 구성 가능한 복구 기간보다 긴 경우 플로우가 복구되고 플로우 테이블에서 제거됩니다. 마지막 위반 이후의 시간이 복구 기간보다 적으면 플로우가 플로우 테이블에 보관됩니다.

알림을

기본적으로 플로우 감지는 플로우 감지 중에 발생하는 다양한 이벤트에 대한 시스템 로그를 자동으로 생성합니다. 로그를 플로우 감지 CLI의 보고서 라고 합니다. 모든 프로토콜 그룹 및 패킷 유형은 기본적으로 다루지만 개별 패킷 유형에 대해 자동 로깅을 비활성화할 수 있습니다. 보고서가 전송되는 속도를 구성할 수도 있지만, 이는 전 세계적으로 모든 패킷 유형에 적용됩니다.

각 보고서는 다음 두 가지 유형 중 하나에 속합니다.

  • 플로우 보고서—이러한 보고서는 범인 플로우의 식별 및 추적과 관련된 이벤트에 의해 생성됩니다. 각 보고서에는 이벤트를 경험한 플로우에 대한 정보 식별이 포함됩니다. 이 정보는 플로우 테이블을 정확하게 유지하는 데 사용됩니다. 플로우가 삭제되거나 보고서의 정보를 기반으로 테이블에 보관됩니다. 표 1 은 각 플로우 보고서를 트리거하는 이벤트를 설명합니다.

    표 1: 플로우 감지 보고서를 위한 이벤트 트리거링

    이름

    설명

    DDOS_SCFD_FLOW_FOUND

    의심스러운 흐름이 감지됩니다.

    DDOS_SCFD_FLOW_TIMEOUT

    범인 플로우의 타임아웃 기간은 만료됩니다. 플로우 감지는 플로우 억제(또는 모니터링)를 중지합니다.

    DDOS_SCFD_FLOW_RETURN_NORMAL

    원인 플로우는 대역폭 제한 내에서 회복됩니다.

    DDOS_SCFD_FLOW_CLEARED

    의심스러운 플로우 모니터링이 다른 어그리게이션 수준으로 이동하면 원인 플로우가 명령으로 수동으로 clear 또는 자동으로 지워지게 됩니다.

    DDOS_SCFD_FLOW_AGGREGATED

    제어 흐름은 거친 수준으로 집계됩니다. 이 이벤트는 플로우 테이블이 용량에 근접하거나 특정 플로우 수준에서 플로우를 찾을 수 없고 다음 거친 수준을 검색해야 하는 경우 발생합니다.

    DDOS_SCFD_FLOW_DEAGGREGATED

    제어 흐름은 더 세분화된 수준으로 세분화됩니다. 이 이벤트는 플로우 테이블이 매우 완전하지 않거나 플로우 제어가 효과적이고 패킷 유형에 대한 폴리서의 플로우 총 도착률이 고정된 내부 기간 동안의 대역폭 보다 낮은 경우에 발생합니다.

  • 대역폭 위반 보고서—이러한 보고서는 의심스러운 플로우 검색과 관련된 이벤트에 의해 생성됩니다. 각 보고서에는 이벤트를 경험한 플로우에 대한 정보 식별이 포함됩니다. 이 정보는 의심스러운 플로우를 추적하고 플로우 테이블에 배치되는 플로우를 식별하는 데 사용됩니다. 표 2 는 각 위반 보고서를 트리거하는 이벤트를 설명합니다.

    표 2: 대역폭 위반 보고서에 대한 이벤트 트리거링

    이름

    설명

    DDOS_PROTOCOL_VIOLATION_SET

    제어 프로토콜의 수신 트래픽이 구성된 대역폭을 초과했습니다.

    DDOS_PROTOCOL_VIOLATION_CLEAR

    위반된 제어 프로토콜에 대한 수신 트래픽은 정상으로 반환됩니다.

보고서는 이벤트에 의해 트리거된 경우에만 전송됩니다. 즉, null 또는 빈 보고서가 없습니다. 보고서는 주기적으로 이루어지기 때문에 관심 있는 이벤트는 마지막 보고서 이후 간격 동안 발생하는 이벤트뿐입니다.

릴리스 히스토리 테이블
릴리스
설명
17.3R1
Enhanced Subscriber Management는 Junos OS Release 17.3R1을 통해 컨트롤 플레인 DDoS 보호를 위한 플로우 감지를 지원합니다.