Descripción general de la detección de flujo de protección DDoS del plano de control

Detección y control de flujo

La detección de flujo está deshabilitada de forma predeterminada. Cuando se habilita en el nivel de jerarquía, la aplicación comienza a supervisar los flujos de [edit system ddos-protection global] tráfico de control cuando se infringe un controlador de policía de protección DDoS del plano de control para casi todos los grupos de protocolos y tipos de paquetes. Además de habilitar la detección de flujo globalmente, puede configurar su modo de operación, es decir, si se activa automáticamente por la infracción de un policía de protección DDoS (el predeterminado) o si siempre está activado, para casi todos los grupos de protocolos y tipos de paquetes. Puede invalidar las opciones de configuración global para grupos de protocolos y tipos de paquetes individuales. Aparte de las tasas de informes de eventos, todas las demás características de la detección de flujo solo se pueden configurar a nivel de tipos de paquetes individuales.

La administración mejorada de suscriptores admite la detección de flujo para la protección DDoS del plano de control a partir de la versión 17.3R1 de Junos OS.

Los flujos de control se agregan en tres niveles. El nivel de suscriptor es el más granulado de los tres y consiste en flujos para sesiones de suscriptor individuales. El nivel de interfaz lógica agrega múltiples flujos de suscriptores, por lo que es más grueso y no proporciona discriminación en flujos de suscriptores individuales. El nivel de interfaz física agrega varios flujos de interfaz lógica, por lo que proporciona la vista más gruesa de los flujos de tráfico.

Puede desactivar o activar la detección de flujo en cualquiera de los tres niveles de flujo de control. Puede configurar la detección de flujo para que se active automáticamente por una infracción del policía de protección DDoS o para que permanezca siempre activa. En el modo automático, la detección de flujo se activa solo después de que se produce una infracción del policía de protección DDoS. La detección de flujo se inicia en el nivel más preciso donde la detección está configurada para ser on o automatic.

Cuando llega un flujo, la detección de flujo comprueba si el flujo ya aparece en una tabla de flujos sospechosos . Un flujo sospechoso es aquel que excede el ancho de banda permitido por defecto o configuración. Si el flujo no está en la tabla y el modo de detección de flujo de nivel de agregación es on, la detección de flujo muestra el flujo en la tabla. Si el flujo no está en la tabla y el modo de detección de flujo es automatic, la detección de flujo comprueba si este flujo es sospechoso.

Si el flujo es sospechoso, entonces va en la tabla de flujo. Si el flujo no es sospechoso, se procesa de la misma manera en el siguiente nivel de agregación más grueso que tenga la detección de flujo establecida en on. Si ninguno de los niveles superiores tiene activada la detección, el flujo continúa hacia el aplicador de paquetes de protección DDoS para que actúe, donde se puede pasar o soltar.

Cuando la comprobación inicial encuentra el flujo en la tabla, el flujo se cae, se controla o se mantiene, según la configuración del modo de control para ese nivel de agregación. Se descartan todos los paquetes de flujos descartados. En los flujos vigilados, los paquetes se descartan hasta que el flujo se encuentra dentro del ancho de banda aceptable para el nivel de agregación. Los flujos conservados se pasan al siguiente nivel de agregación para su procesamiento.

Para obtener más información, consulte Configuración del funcionamiento global de la detección de flujo.

Seguimiento de flujo

La aplicación de detección de flujo realiza un seguimiento de los flujos que se han enumerado en la tabla de flujo sospechoso. Comprueba periódicamente cada entrada de la tabla para determinar si el flujo enumerado sigue siendo sospechoso (viola el ancho de banda). Si un flujo sospechoso ha violado continuamente el ancho de banda desde que se insertó en la tabla durante un período mayor que el período de detección de flujo configurable, entonces se considera un flujo culpable en lugar de simplemente sospechoso. Sin embargo, si el ancho de banda se ha infringido durante menos del período de detección, la infracción se trata como un falso positivo. La detección de flujo considera que el flujo es seguro y deja de rastrearlo (lo elimina de la tabla).

Puede habilitar una función de tiempo de espera que suprima los flujos culpables durante un período de tiempo de espera configurable, durante el cual el flujo se mantiene en la tabla de flujos. (La supresión es el comportamiento predeterminado, pero la configuración del control de nivel de flujo puede cambiar la acción de detección de flujo). Si la comprobación de los flujos enumerados encuentra uno para el que el tiempo de espera está habilitado y el período de tiempo de espera ha expirado, el flujo ha agotado el tiempo de espera y se elimina de la tabla de flujos.

Si el tiempo de espera aún no ha expirado o si la característica de tiempo de espera no está habilitada, la aplicación realiza una comprobación de recuperación. Si el tiempo transcurrido desde la última vez que se infringió el flujo del ancho de banda es mayor que el período de recuperación configurable, el flujo se ha recuperado y se elimina de la tabla de flujos. Si el tiempo transcurrido desde la última infracción es inferior al período de recuperación, el flujo se mantiene en la tabla de flujos.

Notificaciones

De forma predeterminada, la detección de flujo genera automáticamente registros del sistema para una variedad de eventos que se producen durante la detección de flujo. Los registros se denominan informes en la CLI de detección de flujo. Todos los grupos de protocolos y tipos de paquetes están cubiertos de forma predeterminada, pero puede deshabilitar el registro automático para tipos de paquetes individuales. También puede configurar la velocidad a la que se envían los informes, pero esto se aplica globalmente a todos los tipos de paquetes.

Cada informe pertenece a uno de los dos tipos siguientes:

• Informes de flujo: estos informes se generan a partir de eventos asociados con la identificación y el seguimiento de los flujos culpables. Cada informe incluye información de identificación para el flujo que experimentó el evento. Esta información se utiliza para mantener con precisión la tabla de flujo; Los flujos se eliminan o conservan en la tabla en función de la información del informe. En la tabla 1 se describe el evento que desencadena cada informe de flujo.

  Tabla 1: Evento desencadenante para informes de detección de flujo

  Nombre	Descripción
  DDOS_SCFD_FLOW_FOUND	Se detecta un flujo sospechoso.
  DDOS_SCFD_FLOW_TIMEOUT	El período de tiempo de espera expira para un flujo culpable. La detección de flujo deja de suprimir (o monitorear) el flujo.
  DDOS_SCFD_FLOW_RETURN_NORMAL	Un flujo culpable vuelve a estar dentro del límite de ancho de banda.
  DDOS_SCFD_FLOW_CLEARED	Un flujo culpable se borra manualmente con un clear comando o automáticamente como resultado de un monitoreo de flujo sospechoso que cambia a un nivel de agregación diferente.
  DDOS_SCFD_FLOW_AGGREGATED	Los flujos de control se agregan a un nivel más grueso. Este evento ocurre cuando la tabla de flujo se acerca a su capacidad o cuando no se puede encontrar el flujo en un nivel de flujo particular y se debe buscar el siguiente nivel más grueso.
  DDOS_SCFD_FLOW_DEAGGREGATED	Los flujos de control se desagregan a un nivel más fino. Este evento ocurre cuando la tabla de flujo no está muy llena o cuando el control de flujo es efectivo y la velocidad total de llegada del flujo en el controlador para el tipo de paquete está por debajo de su ancho de banda durante un período interno fijo.

• Informes de infracciones de ancho de banda: estos informes se generan mediante eventos asociados con el descubrimiento de flujos sospechosos. Cada informe incluye información de identificación para el flujo que experimentó el evento. Esta información se utiliza para rastrear el flujo sospechoso e identificar los flujos que se colocan en la tabla de flujo. En la Tabla 2 se describe el evento que desencadena cada informe de infracción.

  Tabla 2: Evento desencadenante de informes de infracción de ancho de banda

  Nombre	Descripción
  DDOS_PROTOCOL_VIOLATION_SET	El tráfico entrante para un protocolo de control superó el ancho de banda configurado.
  DDOS_PROTOCOL_VIOLATION_CLEAR	El tráfico entrante de un protocolo de control infringido volvió a la normalidad.

Un informe se envía solo cuando se activa por un evento; es decir, no hay informes nulos o vacíos. Debido a que los informes se realizan periódicamente, los únicos eventos de interés son los que ocurren durante el intervalo desde el último informe.