一、 簡介:
當互聯網上DDOS流量攻向我們的網絡,連接上游ISP的鏈路將變得非常擁塞,為了減輕DDOS流量所帶來影響,減輕鏈路帶寬的擁塞,我們可以在上游ISP處把這些DDOS攻擊流量路由到黑洞裡面,但實現的前提條件是上游ISP協商出一個BGP blackhole community。
二、 思路:
如果運營商提供黑洞,有兩個方面需要我們考慮:
1. 我們需要考慮什麼樣的情況下才把流量路由到黑洞裡面?
首先想到的當然是流量監控與分析,如當某些IP或某些IP段流量達到一定程度,當某些IP的PPS達到一定程度,我們可以認為發往這個(些)IP的流量是異常流量,是DDOS攻擊流量。
2. 我們又如何把這些流量路由到黑洞裡面呢?
l 為DDOS攻擊的主機(如:202.96.134.133/32)創建一個指向黑洞的主機路由,把這條路由打上一個特殊的BGP blackhole community(如4134:65535)後通告到上游ISP,因此,上游ISP可以根據BGP blackhole community把攻擊流量路由到黑洞。
l 若DDOS攻擊的是一段主機(如:202.96.134.0/24),我們可以創建一個指向黑洞的一段IP的路由,把這條路由打上一個特殊的BGP blackhole community(如4134:65535)後通告到上游ISP,因此,上游ISP可以根據BGP blackhole community把攻擊流量路由到黑洞。
l 當監控到流量恢復正常後,我們把這條(段)路由的BGP blackhole community標籤除去。
三、 實施:
以下實施是在Cisco 路由器上實現的。
1.創建一條指向黑洞的路由,打上999的標籤
Ip route 202.96.134.133 255.255.255.255 null0 tag 999
2.創建一個用來打上BGP blackhole community的route-map
Route-map blackhole permit 10
Match tag 999
Set community 4134:65535
Route-map blackhole permit 20
!
3. 將BGP blackhole community通告到ISP
Router bgp 65535
Network 202.96.132.0 mask 255.255.255.0
Network 202.96.134.0 mask 255.255.255.0
Neighbor 202.96.134.1 remote-as 4134
Neighbor 202.96.134.1 remote-as active
Neighbor 202.96.134.1 route-map blackhole out
四、 總結:
該方法實施簡單,當IP受到外界攻擊,鏈路帶寬擁塞時,不需要再電話或郵件通知ISP封鎖受攻擊的IP,當恢復時也不再需要ISP的配合,我們完全可以自已掌控。
但先結條件是你必須要BGP ASNUMBER自有IP