НА ЭТОЙ СТРАНИЦЕ
Пример: настройка защиты от DDoS-атак плоскости управления
На этом примере показано, как настроить защиту от DDoS-атак на плоскости управления, что позволяет маршрутизатору быстро выявлять атаку и предотвращать поток вредоносных пакетов управления из-за изнуряющих системных ресурсов.
Требования
Для защиты от DDoS-атак плоскости управления требуется следующее оборудование и программное обеспечение:
Маршрутизаторы серии MX, которые установлены только ПК, маршрутизаторы ядра T4000, которые имеют только FPC5s, коммутаторы EX9200.
Примечание:Если в маршрутизаторе есть другие карты в дополнение к MPCs или FPC5, CLI принимает конфигурацию, но другие карты не защищены и, следовательно, маршрутизатор не защищен.
Ос Junos версии 11.2 или более поздней версии
Для настройки этой функции не требуется специальная конфигурация, помимо инициализации устройств.
Обзор
Распределенные атаки типа «отказ в обслуживании» используют несколько источников для затопления сети или маршрутизатора пакетами управления протоколами. Этот вредоносный трафик вызывает большое количество исключений в сети и пытается исчерпать системные ресурсы, чтобы отказать действительным пользователям в доступе к сети или серверу.
В этом примере описывается, как настроить полицейских, ограничивающих скорость, которые выявляют лишний контроль трафика и сбрасывают пакеты до того, как маршрутизатор пострадает. Выборочные задачи включают в себя настройку полицейских для определенных типов пакетов управления в группе протоколов, настройку агрегированного ограничителя для группы протоколов и обход этого ограничителя для определенного типа пакета контроля, а также указание вариантов отслеживания DDoS-операций.
В этом примере не показаны все возможные варианты конфигурации.
Топологии
Конфигурации
Процедуры
Быстрая настройка командной строки
Чтобы быстро настроить защиту от DDoS-атак плоскости управления для групп протоколов и конкретных типов пакетов управления, копируйте следующие команды, вставить их в текстовый файл, удалить любые разрывы строки, а затем скопировать и вставить команды в интерфейс командной строки.
[edit] edit system set ddos-protection protocols dhcpv4 aggregate bandwidth 669 set ddos-protection protocols dhcpv4 aggregate burst 6000 set ddos-protection protocols dhcpv4 discover bandwidth 100 set ddos-protection protocols dhcpv4 discover recover-time 200 set ddos-protection protocols dhcpv4 discover burst 300 set ddos-protection protocols dhcpv4 offer priority medium set ddos-protection protocols dhcpv4 offer bypass-aggregate set ddos-protection protocols dhcpv4 offer fpc 1 bandwidth-scale 80 set ddos-protection protocols dhcpv4 offer fpc 1 burst-scale 75 set ddos-protection protocols pppoe aggregate bandwidth 800 set ddos-protection traceoptions file ddos-trace size 10m set ddos-protection traceoptions flag all top
Пошаговая процедура
Следующий пример требует навигации по различным уровням в иерархии конфигурации. Для получения инструкций по этому вопросу см . Использование редактора командной строки в режиме конфигурации.
Для настройки защиты от DDoS-атак:
Укажите группу протоколов.
[edit system ddos-protection protocols] user@host# edit dhcpv4
Настройка максимальной скорости трафика (в пакеты в секунду [pps]) для агрегированного ограничителя DHCPv4; то есть для сочетания всех пакетов DHCPv4.
Примечание:Вы меняете скорость трафика с помощью этого варианта
bandwidth. Хотя термин «пропускная способность» обычно относится к битам в секунду (б/с), этотbandwidthвариант представляет ценность пакетов в секунду (pps).[edit system ddos-protection protocols dhcpv4] user@host# set aggregate bandwidth 669
Настраивайте максимальный размер всплеска (количество пакетов) для агрегированного полицейского устройства DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set aggregate burst 6000
Настраивайте максимальную скорость трафика (pps) для policer DHCPv4 для обнаружения пакетов.
[edit system ddos-protection protocols dhcpv4] user@host# set discover bandwidth 100
Сократите время восстановления за нарушения DHCPv4 обнаружения полицейских.
[edit system ddos-protection protocols dhcpv4] user@host# set discover recover-time 200
Настройка максимального размера всплеска (количество пакетов) для DHCPv4 обнаружить policer.
[edit system ddos-protection protocols dhcpv4] user@host# set discover burst 300
Повысьте приоритет пакетов предложения DHCPv4.
[edit system ddos-protection protocols dhcpv4] user@host# set offer priority medium
Предотвращение включения пакетов предложений в совокупную пропускную способность (pps); то есть пакеты предложения не способствуют объединению трафика DHCPv4 для определения превышения совокупной полосы пропускания (pps). Однако пакеты предложения по-прежнему включены в статистику скорости трафика.
[edit system ddos-protection protocols dhcpv4] user@host# set offer bypass-aggregate
Сократите полосу пропускания (pps) и размер разрыва (пакеты), разрешенные до того, как будет объявлено нарушение для DHCPv4, который обеспечивает ограничитель на MPC или FPC5 в слоте 1.
[edit system ddos-protection protocols dhcpv4] user@host# set offer fpc 1 bandwidth-scale 80 user@host# set offer fpc 1 burst-scale 75
Настройте максимальную скорость трафика для агрегированного ограничителя PPPoE, то есть для сочетания всех пакетов PPPoE.
[edit system ddos-protection protocols dhcpv4] user@host# up [edit system ddos-protection protocols] user@host# set pppoe aggregate bandwidth 800
Настраивайте отслеживание всех событий обработки протоколов DDoS.
[edit system ddos-protection traceoptions] user@host# set file ddos-log user@host# set file size 10m user@host# set flag all
Результаты
Из режима конфигурации подтвердите конфигурацию, введя show ddos-protection команду. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.
[edit system]
user@host# show ddos-protection
traceoptions {
file ddos-trace size 10m;
flag all;
}
protocols {
pppoe {
aggregate {
bandwidth 800;
}
}
dhcpv4 {
aggregate {
bandwidth 669;
burst 6000;
}
discover {
bandwidth 100;
burst 300;
recover-time 200;
}
offer {
priority medium;
fpc 1 {
bandwidth-scale 80;
burst-scale 75;
}
bypass-aggregate;
}
}
}
Если настройка устройства завершена, введите commit его из режима конфигурации.
Проверки
Чтобы подтвердить правильность работы конфигурации защиты от DDoS-атак, выполняйте следующие задачи:
- Проверка конфигурации и эксплуатации защиты от DDoS-атак DHCPv4
- Проверка конфигурации DDoS-атак PPPoE
Проверка конфигурации и эксплуатации защиты от DDoS-атак DHCPv4
Цель
Убедитесь, что значения dhCPv4 и ограничителя протокола изменились по умолчанию. Благодаря потоку трафика DHCPv4 и PPPoE убедитесь, что сотрудники полиции работают правильно. Как показано здесь, вы можете ввести команды для отображения заинтересованных сотрудников или ввести show ddos-protection protocols dhcpv4 команду для отображения этой информации для всех типов пакетов DHCPv4.
Действий
Из эксплуатационного режима введите show ddos-protection protocols dhcpv4 aggregate команду.
user@host> show ddos-protection protocols dhcpv4 aggregate
Protocol Group: DHCPv4
Packet type: aggregate (aggregate for all DHCPv4 traffic)
Aggregate policer configuration:
Bandwidth: 669 pps
Burst: 6000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
System-wide information:
Aggregate bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:27:47 PST
Violation last seen at: 2011-03-10 06:28:57 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 23115 Max arrival rate: 1000 pps
Routing Engine information:
Bandwidth: 669 pps, Burst: 6000 packets, enabled
Aggregate policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 671 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (669 pps), Burst: 100% (5000 packets), enabled
Aggregate policer is no longer being violated
Violation first detected at: 2011-03-10 06:27:48 PST
Violation last seen at: 2011-03-10 06:28:58 PST
Duration of violation: 00:01:10 Number of violations: 1
Received: 71064 Arrival rate: 0 pps
Dropped: 34934 Max arrival rate: 1000 pps
Dropped by individual policers: 11819
Dropped by aggregate policer: 23115
Из эксплуатационного режима введите show ddos-protection protocols dhcpv4 discover команду.
user@host> show ddos-protection protocols dhcpv4 discover
Protocol Group: DHCPv4
Packet type: discover (DHCPv4 DHCPDISCOVER)
Individual policer configuration:
Bandwidth: 100 pps
Burst: 300 packets
Priority: low
Recover time: 200 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth is no longer being violated
No. of FPCs currently receiving excess traffic: 0
No. of FPCs that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:28:34 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:21 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Routing Engine information:
Bandwidth: 100 pps, Burst: 300 packets, enabled
Policer is never violated
Received: 36130 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (100 pps), Burst: 100% (300 packets), enabled
Policer is no longer being violated
Violation first detected at: 2011-03-10 06:28:35 PST
Violation last seen at: 2011-03-10 06:28:55 PST
Duration of violation: 00:00:20 Number of violations: 1
Received: 47949 Arrival rate: 0 pps
Dropped: 11819 Max arrival rate: 671 pps
Dropped by this policer: 11819
Dropped by aggregate policer: 0
Из эксплуатационного режима введите show ddos-protection protocols dhcpv4 offer команду.
user@host> show ddos-protection protocols dhcpv4 offer
Protocol Group: DHCPv4
Packet type: offer (DHCPv4 DHCPOFFER)
Individual policer configuration:
Bandwidth: 1000 pps
Burst: 1000 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: Yes
System-wide information:
Bandwidth is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Routing Engine information:
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 80% (800 pps), Burst: 75% (750 packets), enabled
Policer is never violated
Received: 0 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 0 pps
Dropped by aggregate policer: 0
Смысл
В выходной части этих команд перечислены конфигурация полицейских и статистические данные о трафике для агрегации DHCPv4, обнаружение и предложение сотрудников полиции соответственно.
В Aggregate policer configuration разделе, приведенном в первом примере выхода, и Individual policer configuration в разделах во втором и третьем примерах выходного продукта перечислены настроенные значения для пропускной способностью, разрыва, приоритета, времени восстановления и шунтирования.
В System-wide information разделе показана общая статистика трафика DHCPv4 и нарушения для полицейских, зарегистрированных во всех сетевых картах и на модулях маршрутизации. В Routing engine information разделе показана статистика трафика и нарушения для сотрудников полиции, зарегистрированных в механизме маршрутизации. В FPC slot 1 information разделе показана статистика трафика и нарушения для сотрудников полиции, регистрируемые только на линейной карте в слоте 1.
Выходной материал для агрегированного ополчителя в этом примере показывает следующую информацию:
В
System-wide informationразделе показано, что 71 064 пакета DHCPv4 всех типов были получены во всех сетевых картах и модуля маршрутизации. В разделе показано одно нарушение с меткой времени и что агрегированный полицейский на линейной карте сократил 23 115 из этих пакетов.В
FPC slot 1 informationразделе показано, что эта линейная карта получила все 71 064 пакета DHCPv4, но ее агрегированный полицейский испытал нарушение и снял 23 115 пакетов, показанных в другом разделе. Отдельные сотрудники линейной карты сняли дополнительные 11 819 пакетов.В
Routing Engine informationразделе показано, что все остальные 36 130 пакетов достигли модуля маршрутизации и что его агрегированный полицейский не сбрасывал никаких дополнительных пакетов.Разница между количеством полученных и сброшенных пакетов DHCPv4 на линейную плату [71 064 - (23 115 + 11 819)] соответствует количеству, полученному в двигателе маршрутизации. Это может быть не всегда так, так как пакеты могут быть получены и сброшены на более чем одной линейной плате. В этом примере только линейная карта в слоте 1received любые пакеты DHCPv4.
Выходной продукт для DHCPv4 обнаруживает policer пакетов в этом примере показывает следующую информацию:
В
System-wide informationразделе показано, что 47 949 DHCPv4 обнаруживают, что пакеты были получены во всех сетевых картах и модуля маршрутизации. В разделе показано одно нарушение с меткой времени и что агрегированный полицейский на линейной карте высадил 11 819 из этих пакетов.В
FPC slot 1 informationразделе показано, что эта линейная карта получила все 47 949 пакетов DHCPv4, но ее отдельный полицейский испытал нарушение и снял 11 819 пакетов, показанных в другом разделе.В
Routing Engine informationразделе показано, что только 36 130 DHCPv4 обнаруживают пакеты, достигшие модуля маршрутизации, и что в нем не было никаких дополнительных пакетов.Разница между количеством полученных и сброшенных пакетов DHCPv4 на линейную плату (47 949 – 11 819) соответствует количеству, полученному в модуля маршрутизации. Это может быть не всегда так, так как пакеты могут быть получены и сброшены на более чем одной линейной плате. В этом примере только линейная карта в слоте 1received любые пакеты DHCPv4 обнаруживают.
Выходной продукт для DHCPv4, ограничив пакет, в этом примере отображается следующая информация:
Этот отдельный полицейский никогда не был нарушен в любом месте.
Пакеты предложений DHCPv4 не поступали в любом месте.
Проверка конфигурации DDoS-атак PPPoE
Цель
Убедитесь, что значения полицейских PPPoE изменились по сравнению с значениями по умолчанию.
Действий
Из эксплуатационного режима введите show ddos-protection protocols pppoe parameters brief команду.
user@host> show ddos-protection protocols pppoe parameters brief Number of policers modified: 1 Protocol Packet Bandwidth Burst Priority Recover Policer Bypass FPC group type (pps) (pkts) time(sec) enabled aggr. mod pppoe aggregate 800* 2000 medium 300 yes -- no pppoe padi 500 500 low 300 yes no no pppoe pado 0 0 low 300 yes no no pppoe padr 500 500 medium 300 yes no no pppoe pads 0 0 low 300 yes no no pppoe padt 1000 1000 high 300 yes no no pppoe padm 0 0 low 300 yes no no pppoe padn 0 0 low 300 yes no no
Из операционного show ddos-protection protocols pppoe padi режима введите командование и введите команду padr .
user@host> show ddos-protection protocols pppoe padi
Protocol Group: PPPoE
Packet type: padi (PPPoE PADI)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: low
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-09 11:26:33 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 660788548 Max arrival rate: 8008 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 39950330 Arrival rate: 298 pps
Dropped: 0 Max arrival rate: 503 pps
Dropped by aggregate policer: 0
FPC slot 3 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-09 11:26:35 PST
Violation last seen at: 2011-03-10 12:03:44 PST
Duration of violation: 1d 00:37 Number of violations: 1
Received: 704832908 Arrival rate: 8000 pps
Dropped: 664882578 Max arrival rate: 8008 pps
Dropped by this policer: 660788548
Dropped by aggregate policer: 4094030
user@host> show ddos-protection protocols pppoe padr
Protocol Group: PPPoE
Packet type: padr (PPPoE PADR)
Individual policer configuration:
Bandwidth: 500 pps
Burst: 500 packets
Priority: medium
Recover time: 300 seconds
Enabled: Yes
Bypass aggregate: No
System-wide information:
Bandwidth for this packet type is being violated!
Number of slots currently receiving excess traffic: 1
Number of slots that have received excess traffic: 1
Violation first detected at: 2011-03-10 06:21:17 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:57 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Routing Engine information:
Bandwidth: 500 pps, Burst: 500 packets, enabled
Policer is never violated
Received: 10287695 Arrival rate: 500 pps
Dropped: 0 Max arrival rate: 502 pps
Dropped by aggregate policer: 0
FPC slot 1 information:
Bandwidth: 100% (500 pps), Burst: 100% (500 packets), enabled
Policer is currently being violated!
Violation first detected at: 2011-03-10 06:21:18 PST
Violation last seen at: 2011-03-10 12:04:14 PST
Duration of violation: 05:42:56 Number of violations: 1
Received: 494663595 Arrival rate: 24038 pps
Dropped: 484375900 Max arrival rate: 24062 pps
Dropped by this policer: 484375900
Dropped by aggregate policer: 0
Смысл
В выходной части команды перечислена show ddos-protection protocols pppoe parameters brief текущая конфигурация для каждого из отдельных полицейских пакетов PPPoE и агрегированного полицейского устройства PPPoE. Изменение значения по умолчанию указывается звездочкой рядом с измененным значением. Единственным изменением, внесенным в полицейских PPPoE в этапах настройки, было ограничение пропускной способности полиции (pps); это изменение подтверждается в выходе. Помимо значений конфигурации, выход команды также сообщает о том, был ли полицейский отключен, обходит ли он агрегированный полицейский (что означает, что трафик этого типа пакетов не включен для оценки агрегированным полицейским), и был ли полицейский изменен для одной или нескольких сетевых карт.
Выход команды в этом примере show ddos-protection protocols pppoe padi показывает следующую информацию:
В
System-wide informationразделе показано, что 704 832 908 пакетов PPPoE PADI были получены во всех сетевых картах и модуля маршрутизации. В разделе показано одно нарушение на линейной карте, которое все еще продолжается, и что агрегированный полицейский на линейной карте сократил 660 788 548 пакетов PADI.В
FPC slot 3 informationразделе показано, что эта линейная карта получила все 704 832 908 пакетов PADI. Его отдельный полицейский бросил 660 788 548 из этих пакетов, а его агрегированный полицейский бросил остальные 4 094 030 пакетов. Нарушение продолжается и продолжается более суток.В
Routing Engine informationразделе показано, что только 39 950 330 пакетов PADI достигли модуля маршрутизации и что в нем не было никаких дополнительных пакетов.Разница между количеством пакетов PADI, полученных и сброшенных на линейную плату [704,832,908 - (660 788 548 + 4 094030)] соответствует количеству, полученному в двигателе маршрутизации. Это может быть не всегда так, так как пакеты могут быть получены и сброшены на более чем одной линейной плате. В этом примере только линейная карта в слоте 3 получила любые пакеты PADI.
Выход команды в этом примере show ddos-protection protocols pppoe padr показывает следующую информацию:
В
System-wide informationразделе показано, что 494 663 595 пакетов PPPoE PADR были получены во всех сетевых картах и модуля маршрутизации. В разделе показано одно нарушение на линейной карте, которое все еще продолжается, и что полицейский на линейной карте сократил 484 375 900 пакетов PADR.В
FPC slot 1 informationразделе показано, что эта линейная карта получила все 494 663 595 пакетов PADR. Его отдельный полицейский упал 484,375,900 из этих пакетов. Нарушение продолжается и продолжается более пяти часов.В
Routing Engine informationразделе показано, что только 10 287 695 пакетов PADR достигли модуля маршрутизации и что у нее не было никаких дополнительных пакетов.Разница между количеством полученных и сброшенных пакетов PADR на линейную плату (494,663,595 - 484 375 900) соответствует количеству, полученному в двигателе маршрутизации. Это может быть не всегда так, так как пакеты могут быть получены и сброшены на более чем одной линейной плате. В этом примере только линейная карта в слоте 1 получила любые пакеты PADR.
Этот сценарий невозможен при отображении всех пакетов PADI, полученных на одной линейной плате, и всех пакетов PADR на другой линейной карте. Цель этого сценария заключается в том, чтобы проиллюстрировать, как сообщается о нарушениях, допущенных сотрудниками полиции для отдельных сетевых карт.