EN ESTA PÁGINA
Ejemplo: configuración de la protección DDoS del plano de control
En este ejemplo se muestra cómo configurar la protección DDoS del plano de control que permite al enrutador identificar rápidamente un ataque y evitar que una avalancha de paquetes de control malintencionados agote los recursos del sistema.
Requisitos
La protección DDoS del plano de control requiere el siguiente hardware y software:
enrutadores serie MX que solo tienen MPC instalados, enrutadores T4000 Core que solo tienen FPC5 instalados, conmutadores EX9200.
Nota:Si un enrutador tiene otras tarjetas además de MPC o FPC5, la CLI acepta la configuración, pero las otras tarjetas no están protegidas y, por lo tanto, el enrutador no está protegido.
Junos OS versión 11.2 o posterior
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.
Visión general
Los ataques distribuidos de denegación de servicio utilizan múltiples fuentes para inundar una red o enrutador con paquetes de control de protocolo. Este tráfico malicioso desencadena un gran número de excepciones en la red e intenta agotar los recursos del sistema para denegar a los usuarios válidos el acceso a la red o al servidor.
En este ejemplo se describe cómo configurar políticas de limitación de velocidad que identifican el exceso de tráfico de control y descartan los paquetes antes de que el enrutador se vea afectado negativamente. Las tareas de ejemplo incluyen configurar políticas para tipos de paquetes de control particulares dentro de un grupo de protocolos, configurar un controlador de agregado para un grupo de protocolos y omitir ese aplicador para un tipo de paquete de control determinado, y especificar opciones de seguimiento para operaciones DDoS.
En este ejemplo no se muestran todas las opciones de configuración posibles.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la protección DDoS del plano de control para grupos de protocolos y tipos de paquetes de control concretos, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea y, a continuación, copie y pegue los comandos en la CLI.
[edit] edit system set ddos-protection protocols dhcpv4 aggregate bandwidth 669 set ddos-protection protocols dhcpv4 aggregate burst 6000 set ddos-protection protocols dhcpv4 discover bandwidth 100 set ddos-protection protocols dhcpv4 discover recover-time 200 set ddos-protection protocols dhcpv4 discover burst 300 set ddos-protection protocols dhcpv4 offer priority medium set ddos-protection protocols dhcpv4 offer bypass-aggregate set ddos-protection protocols dhcpv4 offer fpc 1 bandwidth-scale 80 set ddos-protection protocols dhcpv4 offer fpc 1 burst-scale 75 set ddos-protection protocols pppoe aggregate bandwidth 800 set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar la protección DDoS:
Especifique un grupo de protocolos.
[edit system ddos-protection protocols] user@host# edit dhcpv4
Configure la velocidad de tráfico máxima (en paquetes por segundo [pps]) para el aplicador de agregados DHCPv4; es decir, para la combinación de todos los paquetes DHCPv4.
Nota:La tasa de tráfico se cambia mediante la
bandwidthopción. Aunque el término ancho de banda suele referirse a bits por segundo (bps), la opción debandwidthesta característica representa un valor de paquetes por segundo (pps).[edit system ddos-protection protocols dhcpv4] user@host# set aggregate bandwidth 669
Configure el tamaño máximo de ráfaga (número de paquetes) para el aplicador de políticas de agregado DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set aggregate burst 6000
Configure la velocidad de tráfico máxima (en pps) para el aplicador de políticas DHCPv4 para paquetes de detección.
[edit system ddos-protection protocols dhcpv4] user@host# set discover bandwidth 100
Disminuya el tiempo de recuperación de infracciones del controlador de detección DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set discover recover-time 200
Configure el tamaño máximo de ráfaga (número de paquetes) para el controlador de detección de DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set discover burst 300
Aumente la prioridad de los paquetes de oferta DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set offer priority medium
Impedir que los paquetes de oferta se incluyan en el ancho de banda agregado (pps); es decir, los paquetes de oferta no contribuyen al tráfico DHCPv4 combinado para determinar si se supera el ancho de banda agregado (PPS). Sin embargo, los paquetes de oferta todavía se incluyen en las estadísticas de tasa de tráfico.
[edit system ddos-protection protocols dhcpv4] user@host# set offer bypass-aggregate
Reduzca el ancho de banda (pps) y el tamaño de ráfaga (paquetes) permitidos antes de que se declare la infracción para el aplicador de políticas de oferta DHCPv4 en el MPC o FPC5 en la ranura 1.
[edit system ddos-protection protocols dhcpv4] user@host# set offer fpc 1 bandwidth-scale 80 user@host# set offer fpc 1 burst-scale 75
Configure la velocidad de tráfico máxima para el aplicador de agregados PPPoE, es decir, para la combinación de todos los paquetes PPPoE.
[edit system ddos-protection protocols dhcpv4] user@host# up [edit system ddos-protection protocols] user@host# set pppoe aggregate bandwidth 800
Configure el seguimiento para todos los eventos de procesamiento del protocolo DDoS.
[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show ddos-protection comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit system]
user@host# show ddos-protection
traceoptions {
file ddos-trace size 10m;
flag all;
}
protocols {
pppoe {
aggregate {
bandwidth 800;
}
}
dhcpv4 {
aggregate {
bandwidth 669;
burst 6000;
}
discover {
bandwidth 100;
burst 300;
recover-time 200;
}
offer {
priority medium;
fpc 1 {
bandwidth-scale 80;
burst-scale 75;
}
bypass-aggregate;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración de protección DDoS funciona correctamente, realice estas tareas:
- Verificación de la configuración y el funcionamiento de la protección contra DDoS DHCPv4
- Verificación de la configuración de DDoS PPPoE
Verificación de la configuración y el funcionamiento de la protección contra DDoS DHCPv4
Propósito
Compruebe que los valores agregados y del aplicador de protocolo de DHCPv4 hayan cambiado con respecto al valor predeterminado. Con el flujo de tráfico DHCPv4 y PPPoE, compruebe que los aplicadores funcionan correctamente. Puede introducir comandos para mostrar los controladores individuales que le interesan, como se muestra aquí, o puede introducir el show ddos-protection protocols dhcpv4 comando para mostrar esta información para todos los tipos de paquetes DHCPv4.
Acción
Desde el modo operativo, ingrese el show ddos-protection protocols dhcpv4 aggregate comando.
user@host> show ddos-protection protocols dhcpv4 aggregate
Protocol Group: DHCPv4
Packet type: aggregate (aggregate for all DHCPv4 traffic)
Aggregate policer configuration:
Bandwidth: 669 pps
Burst: 6000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
System-wide information:
Aggregate bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:27:47 PST
Violation last seen at: 2011-03-10 06:28:57 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 23115 Max arrival rate: 1000 pps
Routing Engine information:
Bandwidth: 669 pps, Burst: 6000 packets, enabled
Aggregate policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 671 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (669 pps), Burst: 100% (5000 packets), enabled
Aggregate policer is no longer being violated
Violation first detected at: 2011-03-10 06:27:48 PST
Violation last seen at: 2011-03-10 06:28:58 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 34934 Max arrival rate: 1000 pps
Dropped by individual policers: 11819
Dropped by aggregate policer: 23115
Desde el modo operativo, ingrese el show ddos-protection protocols dhcpv4 discover comando.
user@host> show ddos-protection protocols dhcpv4 discover
Protocol Group: DHCPv4
Packet type: discover (DHCPv4 DHCPDISCOVER)
Individual policer configuration:
Bandwidth: 100 pps
Burst: 300 packets
Priority: low
Recover time: 200 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:28:34 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:21 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Routing Engine information:
Bandwidth: 100 pps, Burst: 300 packets, enabled
Policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (100 pps), Burst: 100% (300 packets), enabled
Policer is no longer being violated
Violation first detected at: 2011-03-10 06:28:35 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:20 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Dropped by this policer: 11819
Dropped by aggregate policer: 0
Desde el modo operativo, ingrese el show ddos-protection protocols dhcpv4 offer comando.
user@host> show ddos-protection protocols dhcpv4 offer
Protocol Group: DHCPv4
Packet type: offer (DHCPv4 DHCPOFFER)
Individual policer configuration:
Bandwidth: 1000 pps
Burst: 1000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: Yes
System-wide information:
Bandwidth is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Routing Engine information:
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 80% (800 pps), Burst: 75% (750 packets), enabled
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
Significado
El resultado de estos comandos enumera la configuración del aplicador de políticas y las estadísticas de tráfico para los controladores de agregación, detección y oferta DHCPv4, respectivamente.
La Aggregate policer configuration sección del primer ejemplo de salida y Individual policer configuration las secciones del segundo y tercer ejemplos de salida enumeran los valores configurados para ancho de banda, ráfaga, prioridad, tiempo de recuperación y agregado de derivación.
La System-wide information sección muestra el total de todas las estadísticas e infracciones de tráfico DHCPv4 para el policía registradas en todas las tarjetas de línea y en el motor de enrutamiento. La Routing engine information sección muestra las estadísticas de tráfico y las infracciones del policía registradas en el motor de enrutamiento. La FPC slot 1 information sección muestra las estadísticas de tráfico y las infracciones para el policía registradas solo en la tarjeta de línea en la ranura 1.
El resultado del aplicador de control de agregado en este ejemplo muestra la siguiente información:
La
System-wide informationsección muestra que se recibieron 71.064 paquetes DHCPv4 de todo tipo en todas las tarjetas de línea y en el motor de enrutamiento. La sección muestra una sola violación con una marca de tiempo y que el policía agregado en una tarjeta de línea dejó caer 23,115 de estos paquetes.La
FPC slot 1 informationsección muestra que esta tarjeta de línea recibió los 71,064 paquetes DHCPv4, pero su policía agregado experimentó una violación y eliminó los 23,115 paquetes que se muestran en la otra sección. Los policías individuales de la tarjeta de línea dejaron caer 11.819 paquetes adicionales.La
Routing Engine informationsección muestra que los 36.130 paquetes restantes llegaron al motor de enrutamiento y que su aplicador de control agregado no dejó caer ningún paquete adicional.La diferencia entre el número de paquetes DHCPv4 recibidos y descartados en la tarjeta de línea [71.064 - (23.115 + 11.819)] coincide con el número recibido en el motor de enrutamiento. Puede que no siempre sea así, porque los paquetes se pueden recibir y soltar en más de una tarjeta de línea. En este ejemplo, solo la tarjeta de línea de la ranura 1recibió paquetes DHCPv4.
El resultado del analizador de paquetes de detección DHCPv4 de este ejemplo muestra la siguiente información:
La
System-wide informationsección muestra que se recibieron 47.949 paquetes de descubrimiento DHCPv4 en todas las tarjetas de línea y en el motor de enrutamiento. La sección muestra una sola violación con una marca de tiempo y que el policía agregado en una tarjeta de línea dejó caer 11,819 de estos paquetes.La
FPC slot 1 informationsección muestra que esta tarjeta de línea recibió los 47,949 paquetes de descubrimiento DHCPv4, pero su policía individual experimentó una violación y dejó caer los 11,819 paquetes que se muestran en la otra sección.La
Routing Engine informationsección muestra que sólo 36.130 paquetes de descubrimiento DHCPv4 llegaron al motor de enrutamiento y que no dejó caer ningún paquete adicional.La diferencia entre el número de paquetes de descubrimiento DHCPv4 recibidos y descartados en la tarjeta de línea (47.949 - 11.819) coincide con el número recibido en el motor de enrutamiento. Puede que no siempre sea así, porque los paquetes se pueden recibir y soltar en más de una tarjeta de línea. En este ejemplo, solo la tarjeta de línea de la ranura 1recibió paquetes de detección DHCPv4.
El resultado del aplicador de paquetes de oferta DHCPv4 en este ejemplo muestra la siguiente información:
Este policía individual nunca ha sido violado en ningún lugar.
No se han recibido paquetes de oferta DHCPv4 en ningún lugar.
Verificación de la configuración de DDoS PPPoE
Propósito
Compruebe que los valores del aplicador de política PPPoE han cambiado con respecto al valor predeterminado.
Acción
Desde el modo operativo, ingrese el show ddos-protection protocols pppoe parameters brief comando.
user@host> show ddos-protection protocols pppoe parameters brief Number of policers modified: 1 Protocol Packet Bandwidth Burst Priority Recover Policer Bypass FPC group type (pps) (pkts) time(sec) enabled aggr. mod pppoe aggregate 800* 2000 medium 300 yes -- no pppoe padi 500 500 low 300 yes no no pppoe pado 0 0 low 300 yes no no pppoe padr 500 500 medium 300 yes no no pppoe pads 0 0 low 300 yes no no pppoe padt 1000 1000 high 300 yes no no pppoe padm 0 0 low 300 yes no no pppoe padn 0 0 low 300 yes no no
Desde el modo operativo, ingrese el show ddos-protection protocols pppoe padi comando e ingrese también el comando para padr .
user@host> show ddos-protection protocols pppoe padi
Protocol Group: PPPoE
Packet type: padi (PPPoE PADI)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: low
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-09 11:26:33 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 660788548 Max arrival rate: 8008 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 39950330 Arrival rate: 298 pps
Dropped: 0 Max arrival rate: 503 pps
Dropped by aggregate policer: 0
FPC slot 3 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-09 11:26:35 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 664882578 Max arrival rate: 8008 pps
Dropped by this policer: 660788548
Dropped by aggregate policer: 4094030
user@host> show ddos-protection protocols pppoe padr
Protocol Group: PPPoE
Packet type: padr (PPPoE PADR)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:21:17 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:57 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 10287695 Arrival rate: 500 pps
Dropped: 0 Max arrival rate: 502 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-10 06:21:18 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:56 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Dropped by this policer: 484375900
Dropped by aggregate policer: 0
Significado
El resultado del show ddos-protection protocols pppoe parameters brief comando enumera la configuración actual para cada uno de los aplicadores de paquetes PPPoE individuales y el controlador de agregado PPPoE. Un cambio de un valor predeterminado se indica con un asterisco junto al valor modificado. El único cambio realizado en las políticas PPPoE en los pasos de configuración fue el límite de ancho de banda del aplicador agregado (pps); Este cambio se confirma en el resultado. Además de los valores de configuración, el resultado del comando también informa si se deshabilitó un aplicador de política, si omite el aplicador de agregado (lo que significa que el tráfico para ese tipo de paquete no se incluye para su evaluación por el aplicador de agregado) y si el controlador de políticas se ha modificado para una o más tarjetas de línea.
El resultado del show ddos-protection protocols pppoe padi comando en este ejemplo muestra la siguiente información:
La
System-wide informationsección muestra que se recibieron 704,832,908 paquetes PPPoE PADI en todas las tarjetas de línea y el motor de enrutamiento. La sección muestra una sola violación en una tarjeta de línea que todavía está en progreso, y que el policía agregado en la tarjeta de línea dejó caer 660,788,548 de los paquetes PADI.La
FPC slot 3 informationsección muestra que esta tarjeta de línea recibió los 704.832.908 paquetes PADI. Su policía individual eliminó 660,788,548 de esos paquetes y su policía agregado eliminó los otros 4,094,030 paquetes. La violación está en curso y ha durado más de un día.La
Routing Engine informationsección muestra que solo 39,950,330 paquetes PADI llegaron al motor de enrutamiento y que no dejó caer paquetes adicionales.La diferencia entre el número de paquetes PADI recibidos y descartados en la tarjeta de línea [704,832,908 - (660,788,548 + 4,094030)] coincide con el número recibido en el motor de enrutamiento. Puede que no siempre sea así, porque los paquetes se pueden recibir y soltar en más de una tarjeta de línea. En este ejemplo, solo la tarjeta de línea en la ranura 3 recibió paquetes PADI.
El resultado del show ddos-protection protocols pppoe padr comando en este ejemplo muestra la siguiente información:
La
System-wide informationsección muestra que se recibieron 494,663,595 paquetes PPPoE PADR en todas las tarjetas de línea y el motor de enrutamiento. La sección muestra una sola violación en una tarjeta de línea que todavía está en progreso, y que el policía en la tarjeta de línea dejó caer 484,375,900 de los paquetes PADR.La
FPC slot 1 informationsección muestra que esta tarjeta de línea recibió los 494.663.595 paquetes PADR. Su policía individual dejó caer 484,375,900 de esos paquetes. La violación está en curso y ha durado más de cinco horas.La
Routing Engine informationsección muestra que solo 10,287,695 paquetes PADR llegaron al motor de enrutamiento y que no dejó caer paquetes adicionales.La diferencia entre el número de paquetes PADR recibidos y descartados en la tarjeta de línea (494,663,595 - 484,375,900) coincide con el número recibido en el motor de enrutamiento. Puede que no siempre sea así, porque los paquetes se pueden recibir y soltar en más de una tarjeta de línea. En este ejemplo, solo la tarjeta de línea de la ranura 1 recibió paquetes PADR.
Este escenario no es realista al mostrar todos los paquetes PADI recibidos en una tarjeta de línea y todos los paquetes PADR en una tarjeta de línea diferente. La intención del escenario es ilustrar cómo se denuncian las infracciones policiales para tarjetas de línea individuales.