RFC: 3882
Оригинал: Configuring BGP to Block Denial-of-Service Attacks
Категория: Информационный
Дата публикации:
Автор:
Перевод: Николай Малых

RFC 3882, Страница 2 из 6

2. Расширенный метод активизации «черных дыр» с помощью BGP

В этом документе описан метод, позволяющий проинструктировать выбранный набор маршрутизаторов о необходимости изменения адреса следующего интервала (next hop) для определенного префикса путем использования протокола BGP. В качестве следующего интервала может использоваться null-интерфейс или интерфейс рассмотренной ниже «сливной трубы». Метод не использует списков доступа или средств ограничения трафика для трактовки связанного с атакой трафика, а также не включает изменения адреса следующего интервала для всей сети. Значение next hop будет изменяться только на выбранных маршрутизаторах вспомогательной группы BGP в целевой/атакуемой AS.

Для подготовки сети к использованию этого метода оператору нужно определить уникальную группу (community) для каждого граничного маршрутизатора AS, который может использоваться для доставки в сеть связанного с атакой трафика. Например, сеть с номером автономной системы BGP 65001 имеет два граничных маршрутизатора R1 и R2. Группа 65001:1 создается для идентификации маршрутизатора R1, группа 65001:2 — для R2, а группа 65001:666 используется для идентификации обоих маршрутизаторов.

После определения групп BGP маршрутизаторы R1 и R2 нужно настроить, как показано ниже:

  1. Создать статический маршрут, указывающий на сеть RFC 1918 для null-интерфейса.

  2. Создать список управления доступом для AS-Path, которому соответствует анонс локального префикса BGP.

  3. Создать список управления доступом для BGP community, которому соответствует значение группы, выделенное оператором для соответствующего маршрутизатора (например, 65001:1 для маршрутизатора R1).

  4. Создать список управления доступом для BGP community, которому соответствует значение группы, выделенное оператором для всех маршрутизаторов (т. е., 65001:666 для R1 и R2).

  5. В BGP следует применять политику импорта маршрутов iBGP к получаемым анонсам iBGP для реализации показанной ниже логики (должны выполняться все приведенные ниже условия — AND)

    • Правило, разрешающее маршруты, соответствующие перечисленным ниже критериям, и вносящее указанные изменения.

      1. Проверить соответствие группе (community) указанной для данного маршрутизатора (т. е., 65001:1 для R1).
      2. Проверить соответствие AS-Path для локально сгенерированных анонсов BGP.
      3. Установить для BGP next hop сеть RFC 1918.
      4. Заменить значение BGP на общепринятую (well-known) группу no-advertise.
    • Правило, разрешающее маршруты, соответствующие перечисленным ниже критериям, и вносящее указанные изменения.

      1. Проверить соответствие группе, включающей все маршруты (т. е., 65001:666).
      2. Проверить соответствие AS-Path для локально сгенерированных анонсов BGP.
      3. Установить для BGP next hop сеть RFC 1918.
      4. Заменить значение BGP на общепринятую группу no-advertise.
2007 - 2017 © Русские переводы RFC, IETF, ISOC.