Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Пример: настройка защиты от DDoS-атак плоскости управления

На этом примере показано, как настроить защиту от DDoS-атак на плоскости управления, что позволяет маршрутизатору быстро выявлять атаку и предотвращать поток вредоносных пакетов управления из-за изнуряющих системных ресурсов.

Требования

Для защиты от DDoS-атак плоскости управления требуется следующее оборудование и программное обеспечение:

  • Маршрутизаторы серии MX, которые установлены только ПК, маршрутизаторы ядра T4000, которые имеют только FPC5s, коммутаторы EX9200.

    Примечание:

    Если в маршрутизаторе есть другие карты в дополнение к MPCs или FPC5, CLI принимает конфигурацию, но другие карты не защищены и, следовательно, маршрутизатор не защищен.

  • Ос Junos версии 11.2 или более поздней версии

Для настройки этой функции не требуется специальная конфигурация, помимо инициализации устройств.

Обзор

Распределенные атаки типа «отказ в обслуживании» используют несколько источников для затопления сети или маршрутизатора пакетами управления протоколами. Этот вредоносный трафик вызывает большое количество исключений в сети и пытается исчерпать системные ресурсы, чтобы отказать действительным пользователям в доступе к сети или серверу.

В этом примере описывается, как настроить полицейских, ограничивающих скорость, которые выявляют лишний контроль трафика и сбрасывают пакеты до того, как маршрутизатор пострадает. Выборочные задачи включают в себя настройку полицейских для определенных типов пакетов управления в группе протоколов, настройку агрегированного ограничителя для группы протоколов и обход этого ограничителя для определенного типа пакета контроля, а также указание вариантов отслеживания DDoS-операций.

В этом примере не показаны все возможные варианты конфигурации.

Топологии

Конфигурации

Процедуры

Быстрая настройка командной строки

Чтобы быстро настроить защиту от DDoS-атак плоскости управления для групп протоколов и конкретных типов пакетов управления, копируйте следующие команды, вставить их в текстовый файл, удалить любые разрывы строки, а затем скопировать и вставить команды в интерфейс командной строки.

Пошаговая процедура

Следующий пример требует навигации по различным уровням в иерархии конфигурации. Для получения инструкций по этому вопросу см . Использование редактора командной строки в режиме конфигурации.

Для настройки защиты от DDoS-атак:

  1. Укажите группу протоколов.

  2. Настройка максимальной скорости трафика (в пакеты в секунду [pps]) для агрегированного ограничителя DHCPv4; то есть для сочетания всех пакетов DHCPv4.

    Примечание:

    Вы меняете скорость трафика с помощью этого варианта bandwidth . Хотя термин «пропускная способность» обычно относится к битам в секунду (б/с), этот bandwidth вариант представляет ценность пакетов в секунду (pps).

  3. Настраивайте максимальный размер всплеска (количество пакетов) для агрегированного полицейского устройства DHCPv4.

  4. Настраивайте максимальную скорость трафика (pps) для policer DHCPv4 для обнаружения пакетов.

  5. Сократите время восстановления за нарушения DHCPv4 обнаружения полицейских.

  6. Настройка максимального размера всплеска (количество пакетов) для DHCPv4 обнаружить policer.

  7. Повысьте приоритет пакетов предложения DHCPv4.

  8. Предотвращение включения пакетов предложений в совокупную пропускную способность (pps); то есть пакеты предложения не способствуют объединению трафика DHCPv4 для определения превышения совокупной полосы пропускания (pps). Однако пакеты предложения по-прежнему включены в статистику скорости трафика.

  9. Сократите полосу пропускания (pps) и размер разрыва (пакеты), разрешенные до того, как будет объявлено нарушение для DHCPv4, который обеспечивает ограничитель на MPC или FPC5 в слоте 1.

  10. Настройте максимальную скорость трафика для агрегированного ограничителя PPPoE, то есть для сочетания всех пакетов PPPoE.

  11. Настраивайте отслеживание всех событий обработки протоколов DDoS.

Результаты

Из режима конфигурации подтвердите конфигурацию, введя show ddos-protection команду. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.

Если настройка устройства завершена, введите commit его из режима конфигурации.

Проверки

Чтобы подтвердить правильность работы конфигурации защиты от DDoS-атак, выполняйте следующие задачи:

Проверка конфигурации и эксплуатации защиты от DDoS-атак DHCPv4

Цель

Убедитесь, что значения dhCPv4 и ограничителя протокола изменились по умолчанию. Благодаря потоку трафика DHCPv4 и PPPoE убедитесь, что сотрудники полиции работают правильно. Как показано здесь, вы можете ввести команды для отображения заинтересованных сотрудников или ввести show ddos-protection protocols dhcpv4 команду для отображения этой информации для всех типов пакетов DHCPv4.

Действий

Из эксплуатационного режима введите show ddos-protection protocols dhcpv4 aggregate команду.

Из эксплуатационного режима введите show ddos-protection protocols dhcpv4 discover команду.

Из эксплуатационного режима введите show ddos-protection protocols dhcpv4 offer команду.

Смысл

В выходной части этих команд перечислены конфигурация полицейских и статистические данные о трафике для агрегации DHCPv4, обнаружение и предложение сотрудников полиции соответственно.

В Aggregate policer configuration разделе, приведенном в первом примере выхода, и Individual policer configuration в разделах во втором и третьем примерах выходного продукта перечислены настроенные значения для пропускной способностью, разрыва, приоритета, времени восстановления и шунтирования.

В System-wide information разделе показана общая статистика трафика DHCPv4 и нарушения для полицейских, зарегистрированных во всех сетевых картах и на модулях маршрутизации. В Routing engine information разделе показана статистика трафика и нарушения для сотрудников полиции, зарегистрированных в механизме маршрутизации. В FPC slot 1 information разделе показана статистика трафика и нарушения для сотрудников полиции, регистрируемые только на линейной карте в слоте 1.

Выходной материал для агрегированного ополчителя в этом примере показывает следующую информацию:

  • В System-wide information разделе показано, что 71 064 пакета DHCPv4 всех типов были получены во всех сетевых картах и модуля маршрутизации. В разделе показано одно нарушение с меткой времени и что агрегированный полицейский на линейной карте сократил 23 115 из этих пакетов.

  • В FPC slot 1 information разделе показано, что эта линейная карта получила все 71 064 пакета DHCPv4, но ее агрегированный полицейский испытал нарушение и снял 23 115 пакетов, показанных в другом разделе. Отдельные сотрудники линейной карты сняли дополнительные 11 819 пакетов.

  • В Routing Engine information разделе показано, что все остальные 36 130 пакетов достигли модуля маршрутизации и что его агрегированный полицейский не сбрасывал никаких дополнительных пакетов.

    Разница между количеством полученных и сброшенных пакетов DHCPv4 на линейную плату [71 064 - (23 115 + 11 819)] соответствует количеству, полученному в двигателе маршрутизации. Это может быть не всегда так, так как пакеты могут быть получены и сброшены на более чем одной линейной плате. В этом примере только линейная карта в слоте 1received любые пакеты DHCPv4.

Выходной продукт для DHCPv4 обнаруживает policer пакетов в этом примере показывает следующую информацию:

  • В System-wide information разделе показано, что 47 949 DHCPv4 обнаруживают, что пакеты были получены во всех сетевых картах и модуля маршрутизации. В разделе показано одно нарушение с меткой времени и что агрегированный полицейский на линейной карте высадил 11 819 из этих пакетов.

  • В FPC slot 1 information разделе показано, что эта линейная карта получила все 47 949 пакетов DHCPv4, но ее отдельный полицейский испытал нарушение и снял 11 819 пакетов, показанных в другом разделе.

  • В Routing Engine information разделе показано, что только 36 130 DHCPv4 обнаруживают пакеты, достигшие модуля маршрутизации, и что в нем не было никаких дополнительных пакетов.

    Разница между количеством полученных и сброшенных пакетов DHCPv4 на линейную плату (47 949 – 11 819) соответствует количеству, полученному в модуля маршрутизации. Это может быть не всегда так, так как пакеты могут быть получены и сброшены на более чем одной линейной плате. В этом примере только линейная карта в слоте 1received любые пакеты DHCPv4 обнаруживают.

Выходной продукт для DHCPv4, ограничив пакет, в этом примере отображается следующая информация:

  • Этот отдельный полицейский никогда не был нарушен в любом месте.

  • Пакеты предложений DHCPv4 не поступали в любом месте.

Проверка конфигурации DDoS-атак PPPoE

Цель

Убедитесь, что значения полицейских PPPoE изменились по сравнению с значениями по умолчанию.

Действий

Из эксплуатационного режима введите show ddos-protection protocols pppoe parameters brief команду.

Из операционного show ddos-protection protocols pppoe padi режима введите командование и введите команду padr .

Смысл

В выходной части команды перечислена show ddos-protection protocols pppoe parameters brief текущая конфигурация для каждого из отдельных полицейских пакетов PPPoE и агрегированного полицейского устройства PPPoE. Изменение значения по умолчанию указывается звездочкой рядом с измененным значением. Единственным изменением, внесенным в полицейских PPPoE в этапах настройки, было ограничение пропускной способности полиции (pps); это изменение подтверждается в выходе. Помимо значений конфигурации, выход команды также сообщает о том, был ли полицейский отключен, обходит ли он агрегированный полицейский (что означает, что трафик этого типа пакетов не включен для оценки агрегированным полицейским), и был ли полицейский изменен для одной или нескольких сетевых карт.

Выход команды в этом примере show ddos-protection protocols pppoe padi показывает следующую информацию:

  • В System-wide information разделе показано, что 704 832 908 пакетов PPPoE PADI были получены во всех сетевых картах и модуля маршрутизации. В разделе показано одно нарушение на линейной карте, которое все еще продолжается, и что агрегированный полицейский на линейной карте сократил 660 788 548 пакетов PADI.

  • В FPC slot 3 information разделе показано, что эта линейная карта получила все 704 832 908 пакетов PADI. Его отдельный полицейский бросил 660 788 548 из этих пакетов, а его агрегированный полицейский бросил остальные 4 094 030 пакетов. Нарушение продолжается и продолжается более суток.

  • В Routing Engine information разделе показано, что только 39 950 330 пакетов PADI достигли модуля маршрутизации и что в нем не было никаких дополнительных пакетов.

    Разница между количеством пакетов PADI, полученных и сброшенных на линейную плату [704,832,908 - (660 788 548 + 4 094030)] соответствует количеству, полученному в двигателе маршрутизации. Это может быть не всегда так, так как пакеты могут быть получены и сброшены на более чем одной линейной плате. В этом примере только линейная карта в слоте 3 получила любые пакеты PADI.

Выход команды в этом примере show ddos-protection protocols pppoe padr показывает следующую информацию:

  • В System-wide information разделе показано, что 494 663 595 пакетов PPPoE PADR были получены во всех сетевых картах и модуля маршрутизации. В разделе показано одно нарушение на линейной карте, которое все еще продолжается, и что полицейский на линейной карте сократил 484 375 900 пакетов PADR.

  • В FPC slot 1 information разделе показано, что эта линейная карта получила все 494 663 595 пакетов PADR. Его отдельный полицейский упал 484,375,900 из этих пакетов. Нарушение продолжается и продолжается более пяти часов.

  • В Routing Engine information разделе показано, что только 10 287 695 пакетов PADR достигли модуля маршрутизации и что у нее не было никаких дополнительных пакетов.

    Разница между количеством полученных и сброшенных пакетов PADR на линейную плату (494,663,595 - 484 375 900) соответствует количеству, полученному в двигателе маршрутизации. Это может быть не всегда так, так как пакеты могут быть получены и сброшены на более чем одной линейной плате. В этом примере только линейная карта в слоте 1 получила любые пакеты PADR.

Примечание:

Этот сценарий невозможен при отображении всех пакетов PADI, полученных на одной линейной плате, и всех пакетов PADR на другой линейной карте. Цель этого сценария заключается в том, чтобы проиллюстрировать, как сообщается о нарушениях, допущенных сотрудниками полиции для отдельных сетевых карт.