03 BGP Bloqueio Dos Flood - Ear PDF

BGP no Bloqueio de DoS Flood
Eduardo Ascenço Reis

<eduardo@intron.com.br>
<eduardo.reis@comdominio.com.br>
<bgp@comdominio.com.br>
GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 1/41

Agenda
/Definição da Abordagem do Trabalho

/Caracterização de Ataques DoS/DDoS
/Caracterização do Efeito de Flood
/Identificação do Evento de Ataque
/Definição do Modelo
/Bloqueio utilizando BGP Communities para Black Hole
/Bloqueio utilizando Black Hole Route−Server no ISP
/Ataque por Múltiplas Entradas
/Caso de Pontos de Troca de Tráfego (PTT/NAP)
/Abordagem Alternativa de Proteção (SinkHole)
/Estudo de Caso
/Demonstração de Bloqueio
/Pontos Extras
/Referências

Definição da Abordagem do Trabalho
Este trabalho abordará formas de tratamento do

efeito de Flood ou inundação, que se caracteriza por
alto tráfego de entrada em ataques de DoS (Deny of Service).
Esse efeito é um problema normalmente enfrentado por muitos

provedores de serviço Internet (Provedores de Acesso,
Backbone, Serviços, Operadoras, Data Centers, etc).
O foco do trabalho será na infra−estrutura lógica de rede

(BackBone) das empresas afetadas por ataques desse tipo e
não exatamente na parte de segurança relacionada ao DoS.

Caracterização de Ataques DoS/DDoS (1/3)
" Objetivo: indisponibilizar um serviço aberto na Internet

(HTTPd, SMTPd, etc)
" Motivo: spam, concorrente (LAN house), ex−funcionário

(implanta IRCd), etc
" Origem: Uma (DoS − Deny of Service) ou

Muitas (DDoS −Distributed Deny of Service)

Tipo Característica Observação

Endereços IP 1 Público Real Fácil Rastreamento
Poderia ter sido
de Origem 2 Privado / Loopback bloqueado na origem
(política anti−spoofing)
Mais comum e de difícil

3 Público Forjado
rastreamento
Tipo Origem Destino

Número de Endereços 1 1 1
IP Envolvidos 2 Muitos 1
3 Muitos Muitos

Internet
ISP A ISP B
HTTPd
ALVO

Caracterização do Efeito de Flood (1/4)
Efeito Inundação (Flood) − Visão do provedor de acesso do alvo:

/ Alto tráfego de entrada
/ Saturação de link IP
/ Comprometimento das conexões externas
Normalmente é um efeito indireto do ataque DoS (SYN Flood,

UDP frag), salvo ataques contra a infraestrutura.
Tráfego do ataque ocupa o meio de transmissão prejudicando o

tráfego válido de clientes (alvo e demais clientes afetados
indiretamente) e do tráfego de controle (BGP).

Consequências Financeiras
/ Eventual quebra de SLA com clientes
/ Eventual desistência futura (descrédito no serviço)
/ Consumo de banda no link IP com o UPStream ISP (franquia
mínima com excedente variável baseado em 95% − o que
corresponde a 36h mês).
Dependendo da frequência dos ataques, acordos de troca de tráfego

podem também ser prejudicados, pois pode ocorrer uma inversão no
sentido do tráfego − relação OUT/IN passando de fornecedor para
consumidor de conteúdo.

Flood
Origem Externa ao AS Internet
NOC/SOC
ISP A ISP B
Telco/
iNOC
ISP Cliente (AS) Link Saturado

Alto Tráfego Entrada
Domínio de Atuação/
Administração AS
NOC
HTTPd
ALVO

OUT: Tráfego de Saída

IN: Tráfego de Entrada
Identificação do Evento de Ataque
Situação: Ataque DoS em andamento com efeito Flood
Sistema Interno de Defesa do Provedor de Acesso do Alvo
Padrão de Tráfego Suspeito

Intrusion Detection System (IDS)
(e.g. Snort)
Alarmes de Threshold no links de borda e Acesso

Segurança do Cliente Alvo (e.g. MRTG)
Análise dos fluxos de tráfego de

ataque (e.g. Cisco Netflow)
Resultado: Identificado Endereço IP Alvo

Definição do Modelo (1/2)
" ISP Cliente: Fornece acesso IP ao alvo do ataque DoS
" ISP: Fornece conexão IP ao ISP cliente
Utilização em Exemplos:
Espaço de Endereçamento IP privado − RFC1918 [1]

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
ASN privados − RFC1930 [2]

64512 − 65535

Definição do Modelo (2/2)
Internet
ISP A ISP B
eBGP
Multihomed
# ISP
ISP Cliente
ASN
Bloco CIDR
HTTPd
ALVO

Bloqueio com BGP Communities para Black Hole (1/6)
BGP−4 (Border Gateway Protocol 4) [3]
BGP Communities Attribute [4]

Type Code 8 − optional transitive with variable length
Cada Community tem 8 octetos e

podem ser expressos na forma <ASN>:<VALUE>
Well−known Communities (e.g. NO_EXPORT, NO_ADVERTISE, etc)
Communities => Identificação de Prefixo
Muito utilizado por ISP − ajuda na simplificação na

administração/operação das políticas de roteamento (IPJ) [5].
BGP−4 => Sinalização Remota de Black Hole via Communities

REMOTE TRIGGERED BLACKHOLE (RTB)
MCI/UUNET [6] − (Sprint) [7].

...
... AS65003 AS65004 AS65005 ...
AS65001 AS65002
AS65000
Anúncio Tráfego
192.168.0.0/20 Normal
HTTPd

Ataque ... (1)
(1) (1)
... AS65003 AS65004 AS65005 ...
(2)
AS65001 AS65002
AS65000 FLOOD (3)
Anúncio Tráfego
192.168.0.0/20 Ataque
Alvo IP 192.168.10.10

Bloqueio ...
... AS65003 AS65004 AS65005 ...
X
Flood DROP
AS65001 AS65002 192.168.10.10/32
65002:666
(2)
Anúncio
AS65000 192.168.10.10/32
65002:666
(1)
Anúncio Flood
192.168.0.0/20 Bloqueado
(3)
Alvo IP 192.168.10.10

!
! Exemplo de Configuração BGP para cliente
!
route−map static−to−bgp permit 10
match tag 12345
set community 65002:666
set origin igp
!
! Redistribuição no BGP das rotas estáticas identificadas
! com TAG padrão
!
router bgp 65000
!
redistribute static route−map static−to−bgp
!
! No route−map do neighbor do ISP, permitir anúncios com
! match na community 65002:666
!
! Exemplo de IP bloqueado com rota estática para Null0 e TAG
!
ip route 192.168.10.10 255.255.255.255 Null0 tag 12345
!
***
Adaptado dos trabalhos de Christopher Morrow e Brian (MCI/UUNET) [6] e
Barry Greene (Cisco) [8]. Configuração Cisco em carácter ilustrativo.
No site existe exemplo de configuração para Juniper também.

!
! Exemplo de Configuração BGP para ISP
!
! Rota Estática next−hop de descerte − Test Net (192.0.2.0/24)
ip route 192.0.2.0 255.255.255.0 Null0
!
ip community−list standard black−hole−id permit 65002:666
!
ip prefix−list BGP−CIDR−cliente description CIDR ISP Cliente
ip prefix−list BGP−CIDR−cliente seq 10 permit 192.168.0.0/20 le 32
!
! Route−map de entrada com neighbor ISP cliente
! deve ter outras entradas para permitir os anúncios normais.
!
route−map BlackHole−IN permit 10
match community black−hole−id
match ip address prefix−list BGP−CIDR−cliente
set ip next−hop 192.0.2.1
set community no−export additive
!
!
router bgp 65002
!
neighbor < ISP−cliente−ip > route−map BlackHole−IN in
!
neighbor < ISP−cliente−ip > ebgp multi−hop 2
!

Bloqueio Utilizando Black Hole Route−Server no ISP (1/4)
Abordagem Alternativa
Sinalização de bloqueio também é trocada via BGP,

porém utiliza uma segunda sessão dedicada entre o ISP
cliente e o servidor de bloqueio no ISP.
O servidor de bloqueio do ISP utiliza o recurso de

BGP communities para repassar a sinalização de bloqueio
aos roteadores do ISP.
*** Case Global Crossing

AS65002
AS65001 AS65003
...
...
(1)
Sessão eBGP Sessão eBGP
Acesso IP Bloqueio
(2)
Anúncio
192.168.0.0/20
(3)
Tráfego
Normal
AS65000 HTTPd

Ataque
AS65002
AS65001 AS65003
(1) ...
...
(2) (1)

Acesso IP (3) Bloqueio
FLOOD
Anúncio
192.168.0.0/20
Tráfego
Ataque
Tráfego
Normal
AS65000 Alvo IP 192.168.10.10

Bloqueio
AS65002
AS65001 (3) (3) AS65003
X X
...
(2)
Flood DROP ...
192.168.10.10/32
65002:666
(3)

Acesso IP Bloqueio
Anúncio Anúncio (1)

192.168.0.0/20 192.168.10.10/32
Flood
Tráfego
Normal Bloqueado
(4)
AS65000 Alvo IP 192.168.10.10

Ataque por Múltiplas Entradas (1/3)
... (1)
(1) (1)
... AS65003 AS65004 AS65005 ...
(2)
AS65001 AS65002
FLOOD
AS65000 (3)
Anúncio Tráfego
192.168.0.0/20 Ataque
Ambos ISP
Alvo IP 192.168.10.10

Ataque por Múltiplas Entradas − 1 ISP com RTB (2/3)
... (1)
(1) (1)
... AS65003 AS65004 AS65005 ...
X
Flood DROP
AS65001 192.168.10.10/32
Bloqueio Remoto 65002:666
de BlackHole AS65002
X ISP AS65001
: ISP AS65002
Anúncio
AS65000 192.168.10.10/32
65002:666
Anúncio Anúncio
192.168.0.0/20 192.168.0.0/21
Ambos ISP ISP 65002
Alvo IP 192.168.10.10

Ataque por Múltiplas Entradas − Ambos ISP com RTB (3/3)
... (1)
(1) (1)
... AS65003 AS65004 AS65005 ...
X X X X
Flood DROP Flood DROP
192.168.10.10/32 192.168.10.10/32
65001:666 65002:666
AS65001 AS65002
Anúncio Anúncio
192.168.10.10/32 192.168.10.10/32
65001:666 65002:666
Anúncio Bloqueio Remoto

192.168.0.0/20 de BlackHole
: ISP AS65001
: ISP AS65002
AS65000 Alvo IP 192.168.10.10

Caso de Pontos de Troca de Tráfego (PTT/NAP) − (1/3)
Acordo de Troca de Tráfego Multilateral
ISP 1
AS65001
ISP 2 ISP 3
AS65002 AS65003
AS65000
Gigabit Ethernet
VLAN Única[*]
ISP 4 ISP 5
AS65004 AS65005
HTTPd
[*] Matrix Comutação

Switch Família Ethernet

Acordo de Troca de Tráfego Multilateral

Ataque IPs Válidos IPs Válidos
Forjados Forjados
... (1) [*]
...
ISP 1
AS65001
ISP 2 ISP 3
AS65002 AS65003
AS65000 Flood (3) (2) [*}
ISP 4 ISP 5
HTTPd AS65004 AS65005
(4)
Como identificar do ISP Origem ?
[*}: ISP não possuem
Como bloquear sem desligar link ? filtros Anti−spoofing

Acordo de Troca de Tráfego Bilateral
ISP 1
AS65001
ISP 2 ISP 3
AS65002 AS65003
AS65000
Gigabit Ethernet IEEE 802.1Q
VLAN por peer
[*]
ISP 4 ISP 5
AS65004 AS65005
HTTPd
Por Sub−Interface (ISP)

: Análise de Tráfego [*] Matrix Comutação
Switch Família Ethernet
: Bloqueio

Abordagem Alternativa de Proteção − Sink Hole (1/4)
Ferramentas de Bloqueio de DoS Flood
Atuam no Bloqueio Geral IP Alvo
Interrompe Causa DoS efetivo

Efeito Flood para IP Alvo
Alternativa (RFC−3882) [9]
O tráfego total para IP alvo é redirecionado para servidor

de segurança (Sink Hole Server), que filtra o tráfego do
ataque e permite o encaminhamento do tráfego normal para
o host alvo.

AS65002
AS65001 AS65003
...
...
Anúncio Tráfego Tráfego

192.168.0.0/20 Ataque Normal
AS65000 Alvo IP 192.168.10.10

Bloqueio Geral
AS65002
AS65001 AS65003
X X
...
Flood DROP
...
192.168.10.10/32
65002:666
Anúncio
192.168.10.10/32 Tráfego
65002:666 Ataque X
Filtrado
Tráfego
Anúncio Normal X
192.168.0.0/20 Filtrado
AS65000 Alvo IP 192.168.10.10

Bloqueio Seletivo
AS65002
AS65001 AS65003
...
X
...
Flood Redirect Sinkhole
192.168.10.10/32 Server
to Sinkhole Server
Anúncio
192.168.10.10/32 Tráfego
65002:888 Ataque X
Filtrado
Tráfego
Anúncio Normal :
192.168.0.0/20 Ok
AS65000 Alvo IP 192.168.10.10

Estudo de Caso (1/4)
Internet
ISP A ISP D
GBLX
ISP B Routed ISP C
AS3549
RJ SP
Routed
comDominio AS16397

iBGP
GBLX eBGP
Internet AS3549
Routed Interface de
Gerenciamento
Atacantes Sistema de
Controle
RJ SP
Routed
HTTPd
ALVO
comDominio AS16397

iBGP
GBLX eBGP
Internet AS3549
Routed
Tráfego
DoS
ISP C
Atacantes
RJ SP
X
Routed
HTTPd
ALVO
comDominio AS16397

iBGP
GBLX eBGP
Internet AS3549
Tráfego
X Routed
DoS
Atacantes
RJ SP
Routed
HTTPd
ALVO
comDominio AS16397

Demonstração de Bloqueio
: Testes de Conectividade (ping e traceroute)

Registro.br
Estação da Apresentação
: Verificação de Entrada BGP

route−server.gblx.net
route−views.routeviews.org
Alvo: IP 200.219.219.219
inetnum: 200.219.192/19
asn: AS16397
entidade: Comdominio Soluções de Tecnologia S/A.

Pontos Extras
Bloqueio Recursivo
O upstream ISP poderia repassar o bloqueio
(BGP communities) para os seus upstream ISPs e peers,
sob o controle do ISP cliente.
Anti−Spoofing
A utilização de Filtros nos elementos concentradores
de acesso e borda poderiam ajudar a minimizar os
problemas de ataques.

Referências
[1] RFC 1918 − Address Allocation for Private Internets
[2] RFC 1930 − Guidelines for creation, selection, and registration

of an Autonomous System (AS)
[3] RFC 1771 − A Border Gateway Protocol 4 (BGP−4)
[4] RFC 1997 − BGP Communities Attribute
[5] Cisco − IPJ − Application of BGP Communities

http://www.cisco.com/warp/public/759/ipj_6−2/ipj_6−2_bgp_communities.html
[6] MCI/UUNET − Morrow, Christopher L.

http://www.secsup.org/CustomerBlackHole/
[7] Sprint − REMOTE TRIGGERED BLACKHOLE (RTB)

http://www.sprintlink.net/policy/bgp.html
[8] NANOG − ISP Security − Real World Techniques

http://www.nanog.org/mtg−0110/greene.html
[9] RFC3882 − Configuring BGP to Block Denial−of−Service Attacks

Agradecimentos
Equipes de Engenharia, Operações e HOC.
Equipe de Redes.
Marco Medugno <Marco.Medugno@globalcrossing.com>
http://www.intron.com.br/doc/gter18.bgp−bloqueio−dos−flood.ear.pdf

03 BGP Bloqueio Dos Flood - Ear PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

03 BGP Bloqueio Dos Flood - Ear PDF

Enviado por

Direitos autorais:

Formatos disponíveis

BGP no Bloqueio de DoS Flood

Eduardo Ascenço Reis

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 1/41

/Definição da Abordagem do Trabalho

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 2/41

Este trabalho abordará formas de tratamento do

Esse efeito é um problema normalmente enfrentado por muitos

O foco do trabalho será na infra−estrutura lógica de rede

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 3/41

" Objetivo: indisponibilizar um serviço aberto na Internet

" Motivo: spam, concorrente (LAN house), ex−funcionário

" Origem: Uma (DoS − Deny of Service) ou

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 4/41

Tipo Característica Observação

Mais comum e de difícil

Tipo Origem Destino

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 5/41

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 6/41

Efeito Inundação (Flood) − Visão do provedor de acesso do alvo:

Normalmente é um efeito indireto do ataque DoS (SYN Flood,

Tráfego do ataque ocupa o meio de transmissão prejudicando o

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 7/41

Dependendo da frequência dos ataques, acordos de troca de tráfego

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 8/41

ISP Cliente (AS) Link Saturado

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 9/41

OUT: Tráfego de Saída

Situação: Ataque DoS em andamento com efeito Flood

Sistema Interno de Defesa do Provedor de Acesso do Alvo

Padrão de Tráfego Suspeito

Alarmes de Threshold no links de borda e Acesso

Análise dos fluxos de tráfego de

Resultado: Identificado Endereço IP Alvo

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 11/41

" ISP Cliente: Fornece acesso IP ao alvo do ataque DoS

" ISP: Fornece conexão IP ao ISP cliente

Espaço de Endereçamento IP privado − RFC1918 [1]

ASN privados − RFC1930 [2]

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 12/41

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 13/41

BGP−4 (Border Gateway Protocol 4) [3]

BGP Communities Attribute [4]

Cada Community tem 8 octetos e

Well−known Communities (e.g. NO_EXPORT, NO_ADVERTISE, etc)

Communities => Identificação de Prefixo

Muito utilizado por ISP − ajuda na simplificação na

BGP−4 => Sinalização Remota de Black Hole via Communities

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 14/41

... AS65003 AS65004 AS65005 ...

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 15/41

Ataque ... (1)

... AS65003 AS65004 AS65005 ...

AS65000 FLOOD (3)

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 16/41

... AS65003 AS65004 AS65005 ...

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 17/41

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 18/41

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 19/41

Sinalização de bloqueio também é trocada via BGP,

O servidor de bloqueio do ISP utiliza o recurso de

*** Case Global Crossing

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 20/41

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004 21/41