安基網 首頁 安全 拒絕服務 查看內容

華安解密之DDoS攻防 18 流量引導方案之引流

2020-6-5 13:43| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 在前面的章節中我們介紹了華為Anti-DDoS解決方案的部署模式分為直路部署、旁路靜態引流部署和旁路動態引流部署三種方式,除直路部署外,其它兩種方式中我們的清洗設備都是處于旁掛位置,對于這樣的部署,異常的流量要完成清洗并到達最終目的地還需要經過引流和回注兩個過程。0x01 概念直路部署中,因為 ...

在前面的章節中我們介紹了華為Anti-DDoS解決方案的部署模式分為直路部署、旁路靜態引流部署和旁路動態引流部署三種方式,除直路部署外,其它兩種方式中我們的清洗設備都是處于旁掛位置,對于這樣的部署,異常的流量要完成清洗并到達最終目的地還需要經過引流和回注兩個過程。

0x01 概念

直路部署中,因為來回的流量都會經過設備轉發,所以不需要經過特殊的操作;而當清洗設備在旁路部署時,檢測設備檢測到的有異常、有威脅的流量,會通過ATIC管理中心通知清洗設備對這些流量進行清洗,這就要求原有的流量要改變當前的路徑,進入到旁掛的清洗設備上來,這個過程我們稱之為引流。引流完成后,清洗設備會對引進來的流量進行清洗,即把異常、有威脅的流量剔除,留下正常的業務流量。清洗完成后,需要再把流量返回到原有的路徑上,最終發送到目的地,這個返回流量到原路徑的過程就是回注。


0x02 分光和鏡像

在詳細介紹引流和回注之前,我們先來了解下分光和鏡像的概念。

Anti-DDoS解決方案中,在流量清洗之前,我們都知道還有一個很重要的環節——檢測,網絡部署中,如果檢測設備獨立旁路部署,也需要將網絡中的流量引導到檢測設備上來。分光和鏡像就是為檢測設備引流的手段,不過我們引入的不是真實的流量,而是復制后的流量。這是因為檢測設備只需要檢測出流量中是否有威脅即可,至于檢測的流量是真實的還是復制的是無所謂的,而且使用復制的流量不會影響正常業務的轉發。

分光和鏡像都是將流量復制一份到檢測設備,但處理方式又不相同:

l 分光是通過分光器來完成的,它是一個獨立的硬件,數據通過分光器后會將數據復制一份供檢測設備使用,即原來的流量正常通行,同時分一股出來供檢測設備分析。通過分光器復制流量時,不需要配置任何命令,也不需要外部能量,只要有輸入光即可。但是,這也帶來了一個缺點,那就是引入了一個故障點,同時也正是因為它是一個在線設備,所以在部署時,需要中斷當前網絡,對業務有一定的影響。

l 鏡像分為端口鏡像和流鏡像,端口鏡像是指將流經被監控端口的某個方向(入、出、雙向)的所有報文復制到指定的目標端口進行分析。流鏡像是在端口鏡像的基礎上增加了流分類條件,只復制滿足特定條件的報文,過濾不關心的報文,提高報文分析設備的工作效率。對于Anti-DDoS檢測設備來說,我們要分析所有進入網絡的流量是否存在異常,所以我們一般都是通過端口鏡像功能來復制流量。在端口鏡像中:

n 被監控的端口稱為:鏡像端口

n 指定的目標端口稱為:觀察端口


端口鏡像需要配置相關命令,如下圖所示的Router1上我們需要配置如下命令,這里Router1以華為NE80E路由器為例,檢測設備以華為AntiDDoS8000系列為例講解相關配置。


配置中,Router1上配置觀測端口的索引號必須與該接口所在的接口板的槽位號一致。在slot 3上配置令mirror to observe-index 1命令后,此觀測索引對應的觀測端口將作為整個3接口板的觀測端口,當此接口板上有接口進行鏡像時,報文就會被鏡像到這個整板鏡像的觀測端口上。完成上述配置后,端口GE3/0/0上接收的所有報文將被鏡像到端口GE1/0/0上發往AntiDDoS8000系列檢測設備。AntiDDoS8000系列檢測設備需設置相應的檢測板,以及在接口配置檢測功能和開啟流量統計功能。完成這些配置后,就可以對接收的流量進行分析檢測了。

對比分光和鏡像,它們各有優劣,具體對比如下表所示。

網絡部署中,請根據網絡實際情況進行合理選擇。

華為Anti-DDoS解決方案支持多種類型的檢測設備,其中AntiDDoS8000系列、AntiDDoS1600系列檢測設備是采用逐包檢測的方法對流量進行檢測,即對流量中的所有報文進行檢測,所以通過分光和鏡像功能將流量全部復制到檢測設備上來。還有一些其他的檢測設備,如華為NFA2000V,威睿GenieATM等,這類檢測設備是逐流檢測方式,它們的檢測流量來源是通過各種流采集分析協議來完成的,比如Cisco的Netflow協議,華為的NetStream協議等。這類流采集分析協議是對網絡中不同的流進行提取,然后分類統計,最后將統計信息輸出給檢測設備進行分析檢測,而不是像分光和鏡像那樣直接復制流量。關于這類協議的實現各廠商資料中都有詳細的描述,本文中不進行具體的介紹。

0x03 引流

分光、鏡像是復制流量輸出給檢測設備進行檢測;流采集分析協議是提取流量特征,把符合條件的流統計信息給檢測設備分析,這些措施都不會影響實際的業務流量轉發。然而對于清洗設備來說,我們需要清洗的是實際業務流量中的威脅或異常內容,如果清洗設備旁掛,我們必須要改變原有的業務轉發路徑,把流量引導到清洗設備上來,通過分光和鏡像等顯然是不能完成的。那當清洗設備旁路部署時,為實現流量清洗,我們是如何引流的呢?

事實上,引流可分為靜態引流和動態引流兩種

l 靜態引流:手動創建并下發引流策略到清洗設備引發引流,業務流量無論是否發生異常,都將改變原有流量的路徑將流量引流到清洗設備。

l 動態引流:檢測設備發現異常通告管理中心,管理中心自動生成引流策略并下發到清洗設備;攻擊結束,管理中心下發取消引流策略到清洗設備。

但如果按照具體的配置方法來劃分,可分為:策略路由引流和BGP引流。

l 策略路由引流:在引流的網絡設備上配置策略路由,將目的地址為防護對象的流量發送到清洗設備。

l BGP引流:通過在引流的網絡設備和清洗設備上配置BGP實現引流。

策略路由引流通常用于靜態引流方式,BGP引流根據配置的不同可以是靜態引流方式,也可以是動態引流方式。

下面我們先從策略路由引流的具體實現和配置說起。

0x04 策略路由引流

策略路由(Policy-based Routing),也稱為路由重定向(Redirect),顧名思義是指基于策略的路由機制。通常,路由設備是根據報文目的地址查找路由表進行報文轉發的,而策略路由是一種依據用戶制定的策略進行路由選擇的機制,策略路由的操作對象是數據包,在路由表已經產生的情況下,不按照先行路由表進行轉發,而是根據需要,依照某種策略改變其轉發路徑的方法。

策略路由引流,正是根據這種策略,改變報文原有的轉發路徑,引導流量到清洗設備上來。

在下圖中,Router1為引流設備,為對到達防護對象的流量進行清洗,可以在Router1的GE1/0/0接口配置策略路由,讓從外網通過GE1/0/0接口到達防護對象的流量改變原有路徑從GE1/0/1接口轉發到清洗設備進行清洗。


策略路由引流只需要在引流路由器Router1的GE1/0/0上配置策略路由,無需在清洗設備上進行任何配置。Router1以華為NE80E路由器為例,具體配置如下:

1、定義流分類。

[Router1] acl 3001

[Router1-acl-adv-3001] rule permit ip destination 1.1.1.1 0

[Router1-acl-adv-3001] rule permit ip destination 2.2.2.2 0

[Router1-acl-adv-3001] quit

[Router1] traffic classifier class1

[Router1-classifier-class1] if-match acl 3001

[Router1-classifier-class1] quit

2、配置流行為并配置報文轉發動作。

[Router1] traffic behavior behavior1

[Router1-behavior-behavior1] redirect ip-nexthop 10.1.2.2 interface GigabitEthernet 1/0/1

[Router1-behavior-behavior1] quit

3、定義流量策略并在策略中為類指定行為。

[Router1] traffic policy policy1

[Router1-trafficpolicy-policy1] classifier class1 behavior behavior1

[Router1-trafficpolicy-policy1] quit

4、在接口上應用策略路由。

[Router1] interface GigabitEthernet 1/0/0

[Router1-GigabitEthernet1/0/0] traffic-policy policy1 inbound

[Router1-GigabitEthernet1/0/0] quit

策略路由引流,配置比較簡單,方便操作,但使用這種引流方式時,如果回注流量的鏈路Down了,業務流量還是會通過策略路由送到清洗設備上來,這樣清洗后的流量又不能回注回去,勢必造成業務的中斷。所以,為了保證引流策略路由也能及時Down掉,我們可以在清洗設備上配置類似Link-group這樣的功能,將引流和回注鏈路加入到一個Link-group中,形成聯動,回注的鏈路Down了,引流的鏈路也及時Down掉,保證業務的正常轉發。

除此之外,策略路由引流不考慮流量中是否存在異常,統一的將流分類中定義的所有流量都送到清洗設備進行處理,對于正常的流量來說也會轉發到清洗設備上來,一方面影響了正常業務的轉發效率,另一方面也會消耗清洗設備的部分資源,造成不必要的浪費。相比之下,BGP引流會更加高效智能。

0x05 BGP引流

BGP是一種用于自治系統AS(Autonomous System)之間的動態路由協議,如何通過它來引流,其實是需要Anti-DDoS解決方案中多個設備間配合完成的。

BGP引流分為靜態引流和動態引流兩種(其中動態引流又分為自動和手動),它們的區別在于:前者無論檢測設備是否檢測到異常,管理中心都會生成針對防護對象IP地址/IP地址段的引流任務,這種引流任務需要由管理員手工創建;而動態引流是當檢測設備檢測到異常時,管理中心會自動生成引流任務,引流任務生成后系統會直接下發(自動)或者通過管理員手動下發(手動)到清洗設備。異常或攻擊結束后,系統會自動取消引流。

不管是BGP的靜態引流還是動態引流,管理中心都會下發一條引流任務到清洗設備,此時,清洗設備上會為每個防護對象自動生成一條32位主機UNR路由,此路由的下一跳為與清洗設備回注接口直連的路由設備的接口地址,即下圖中Router1的GE1/0/2接口地址。

生成路由后,清洗設備會將這條UNR路由引入到BGP中,并通過BGP發布給BGP Peer—Router1,此時,Router1上就會有一條目的地址為防護對象,下一跳為清洗設備的引流接口的32位主機路由。

后續Router1收到Internet發來的到防護對象的報文時,查找路由表,根據最長掩碼匹配原則,優先會匹配這條路由,從而轉發到清洗設備上來進行流量清洗。


BGP引流需要在Router1、清洗設備和管理中心上進行配置,具體引流部分的配置如下。

首先,在管理中心界面上選擇“防御 > 策略配置 > 引流”,創建引流任務,配置被保護的IP地址為1.1.1.1,子網掩碼為255.255.255.255。單擊“確定”。

然后在清洗設備上,設置32位主機UNR路由下一跳地址,這里的下一跳為Router1回注接口GE1/0/2的IP地址。

[sysname] firewall ddos bgp-next-hop 10.1.3.1

上述步驟配置完成后,清洗設備上會生成一條到達1.1.1.1的32位主機UNR路由,下一跳為10.1.3.1。

[sysname] display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

Destinations : 8 Routes : 8

Destination/Mask Proto Pre Cost Flags NextHop Interface

1.1.1.1/32 Direct 0 0 D 10.1.3.1 GigabitEthernet2/0/2

---- More ----

關于BGP部分的配置如下表,其中Router1以華為NE80E路由器為例。


配置apply community no-advertise命令,用于設置團體屬性,在BGP路由策略中應用后,通告對等體Router1接收此32位主機路由后不再對其他任何對等體發布此路由,因為此路由只用于對需要清洗的流量進行引流,對外發布可能會造成不可預知的影響,如路由環路等。

相比策略路由引流,BGP引流更加靈活,既能對防護對象靜態引流,達到策略路由引流的效果,也能根據流量異常情況動態智能化引流,合理控制清洗設備的資源分配,方便管理員維護管理。

引流完成后,清洗設備會對異常流量進行清洗,如何清洗在前面的章節中已經說過,這里不在贅述。清洗后的正常流量需要通過回注過程讓業務流量能夠回到原有網絡中。華為Anti-DDoS設備支持多種回注配置方法,在下節中我們將詳細介紹。

上一篇:華安解密之DDoS攻防 17 華為云清洗方案與云清聯盟



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6834683963055800836/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 浙江体彩6十1走势图 100送100真人百家乐4倍流水 幸运赛车前三稳赚技巧 江西快三综合走势图100期 澳洲三分彩是真的吗 股票高位放量下跌意 北京快乐8软件手机版 新会员注册真正送58元彩金 广东好彩1最新开奖结果查询 股票涨跌原理 股票涨跌是由谁决定的 七乐彩近一百期开奖号码 海口飞鱼体彩乐吧 上海体彩11选五 运输板块龙头股票 下载贵州十一选五软件并安装 广西11选5直三中多少