Escolar Documentos
Profissional Documentos
Cultura Documentos
03 BGP Bloqueio Dos Flood - Ear PDF
03 BGP Bloqueio Dos Flood - Ear PDF
<bgp@comdominio.com.br>
Internet
ISP A ISP B
HTTPd
ALVO
Consequências Financeiras
/ Eventual quebra de SLA com clientes
/ Eventual desistência futura (descrédito no serviço)
/ Consumo de banda no link IP com o UPStream ISP (franquia
mínima com excedente variável baseado em 95% − o que
corresponde a 36h mês).
Flood
Origem Externa ao AS Internet
NOC/SOC
ISP A ISP B
Telco/
iNOC
Domínio de Atuação/
Administração AS
NOC
HTTPd
ALVO
Utilização em Exemplos:
Internet
ISP A ISP B
eBGP
Multihomed
# ISP
ISP Cliente
ASN
Bloco CIDR
HTTPd
ALVO
...
AS65001 AS65002
AS65000
Anúncio Tráfego
192.168.0.0/20 Normal
HTTPd
(1) (1)
(2)
AS65001 AS65002
Anúncio Tráfego
192.168.0.0/20 Ataque
Alvo IP 192.168.10.10
Bloqueio ...
X
Flood DROP
AS65001 AS65002 192.168.10.10/32
65002:666
(2)
Anúncio
AS65000 192.168.10.10/32
65002:666
(1)
Anúncio Flood
192.168.0.0/20 Bloqueado
(3)
Alvo IP 192.168.10.10
!
! Exemplo de Configuração BGP para cliente
!
route−map static−to−bgp permit 10
match tag 12345
set community 65002:666
set origin igp
!
! Redistribuição no BGP das rotas estáticas identificadas
! com TAG padrão
!
router bgp 65000
!
redistribute static route−map static−to−bgp
!
! No route−map do neighbor do ISP, permitir anúncios com
! match na community 65002:666
!
! Exemplo de IP bloqueado com rota estática para Null0 e TAG
!
ip route 192.168.10.10 255.255.255.255 Null0 tag 12345
!
***
Adaptado dos trabalhos de Christopher Morrow e Brian (MCI/UUNET) [6] e
Barry Greene (Cisco) [8]. Configuração Cisco em carácter ilustrativo.
No site existe exemplo de configuração para Juniper também.
!
! Exemplo de Configuração BGP para ISP
!
! Rota Estática next−hop de descerte − Test Net (192.0.2.0/24)
ip route 192.0.2.0 255.255.255.0 Null0
!
ip community−list standard black−hole−id permit 65002:666
!
ip prefix−list BGP−CIDR−cliente description CIDR ISP Cliente
ip prefix−list BGP−CIDR−cliente seq 10 permit 192.168.0.0/20 le 32
!
! Route−map de entrada com neighbor ISP cliente
! deve ter outras entradas para permitir os anúncios normais.
!
route−map BlackHole−IN permit 10
match community black−hole−id
match ip address prefix−list BGP−CIDR−cliente
set ip next−hop 192.0.2.1
set community no−export additive
!
!
router bgp 65002
!
neighbor < ISP−cliente−ip > route−map BlackHole−IN in
!
neighbor < ISP−cliente−ip > ebgp multi−hop 2
!
Abordagem Alternativa
AS65002
AS65001 AS65003
...
...
(1)
Sessão eBGP Sessão eBGP
Acesso IP Bloqueio
(2)
Anúncio
192.168.0.0/20
(3)
Tráfego
Normal
AS65000 HTTPd
Ataque
AS65002
AS65001 AS65003
(1) ...
...
(2) (1)
Bloqueio
AS65002
AS65001 (3) (3) AS65003
X X
...
(2)
Flood DROP ...
192.168.10.10/32
65002:666
(3)
Flood
Tráfego
Normal Bloqueado
(4)
AS65000 Alvo IP 192.168.10.10
... (1)
(1) (1)
(2)
AS65001 AS65002
FLOOD
AS65000 (3)
Anúncio Tráfego
192.168.0.0/20 Ataque
Ambos ISP
Alvo IP 192.168.10.10
... (1)
(1) (1)
X
Flood DROP
AS65001 192.168.10.10/32
Bloqueio Remoto 65002:666
de BlackHole AS65002
X ISP AS65001
: ISP AS65002
Anúncio
AS65000 192.168.10.10/32
65002:666
Anúncio Anúncio
192.168.0.0/20 192.168.0.0/21
Ambos ISP ISP 65002
Alvo IP 192.168.10.10
... (1)
(1) (1)
X X X X
Flood DROP Flood DROP
192.168.10.10/32 192.168.10.10/32
65001:666 65002:666
AS65001 AS65002
Anúncio Anúncio
192.168.10.10/32 192.168.10.10/32
65001:666 65002:666
ISP 1
AS65001
ISP 2 ISP 3
AS65002 AS65003
AS65000
Gigabit Ethernet
VLAN Única[*]
ISP 4 ISP 5
AS65004 AS65005
HTTPd
ISP 4 ISP 5
HTTPd AS65004 AS65005
(4)
Como identificar do ISP Origem ?
[*}: ISP não possuem
Como bloquear sem desligar link ? filtros Anti−spoofing
ISP 1
AS65001
ISP 2 ISP 3
AS65002 AS65003
AS65000
Gigabit Ethernet IEEE 802.1Q
VLAN por peer
[*]
ISP 4 ISP 5
AS65004 AS65005
HTTPd
AS65002
AS65001 AS65003
...
...
Bloqueio Geral
AS65002
AS65001 AS65003
X X
...
Flood DROP
...
192.168.10.10/32
65002:666
Anúncio
192.168.10.10/32 Tráfego
65002:666 Ataque X
Filtrado
Tráfego
Anúncio Normal X
192.168.0.0/20 Filtrado
Bloqueio Seletivo
AS65002
AS65001 AS65003
...
X
...
Flood Redirect Sinkhole
192.168.10.10/32 Server
to Sinkhole Server
Anúncio
192.168.10.10/32 Tráfego
65002:888 Ataque X
Filtrado
Tráfego
Anúncio Normal :
192.168.0.0/20 Ok
Internet
ISP A ISP D
GBLX
ISP B Routed ISP C
AS3549
RJ SP
Routed
comDominio AS16397
iBGP
GBLX eBGP
Internet AS3549
Routed Interface de
Gerenciamento
Atacantes Sistema de
Controle
RJ SP
Routed
HTTPd
ALVO
comDominio AS16397
iBGP
GBLX eBGP
Internet AS3549
Routed
Tráfego
DoS
ISP C
Atacantes
RJ SP
X
Routed
HTTPd
ALVO
comDominio AS16397
iBGP
GBLX eBGP
Internet AS3549
Tráfego
X Routed
DoS
Atacantes
RJ SP
Routed
HTTPd
ALVO
comDominio AS16397
Alvo: IP 200.219.219.219
inetnum: 200.219.192/19
asn: AS16397
entidade: Comdominio Soluções de Tecnologia S/A.
Bloqueio Recursivo
O upstream ISP poderia repassar o bloqueio
(BGP communities) para os seus upstream ISPs e peers,
sob o controle do ISP cliente.
Anti−Spoofing
A utilização de Filtros nos elementos concentradores
de acesso e borda poderiam ajudar a minimizar os
problemas de ataques.
Equipe de Redes.
http://www.intron.com.br/doc/gter18.bgp−bloqueio−dos−flood.ear.pdf