Serverele care se află în rețeaua AS administrate de mine suferă adesea diverse atacuri DDOS. Scopul atacatorilor poate fi, ca resurse separate, plasate pe servere, serverele în sine și întregul site în ansamblu. Cu fiecare lună crește numărul, complexitatea și puterea atacurilor. Atacurile la 300-400MB / s au crescut la 70-80GB / s. În această situație, nu toate atacurile pot fi reflectate de tuningul serverului, iar atacurile mari pot interfera cu munca și întregul site în ansamblu. Este necesară combaterea unor astfel de atacuri cu ajutorul întregii echipe de găzduire. Administratorii de rețele ar trebui, de asemenea, să dispună de mijloacele necesare pentru a combate astfel de atacuri la nivelul rețelei. Astfel de mijloace vor fi discutate sub tăiere.
Articolul va lua în considerare principala metodă de protecție împotriva atacurilor DDOS prin rutare dinamică: - metoda Blackhole ("gaura neagră").
Această metodă vă permite să opriți complet fluxul de trafic spre serverul atacat și să eliminați sarcina de la canalele AS și furnizorii. În ceea ce privește furnizarea serviciilor de găzduire virtuală de înaltă disponibilitate, această metodă este o măsură extremă, dar rămâne un instrument eficient pentru a face față atacurilor DDOS mari, când alte mijloace nu pot fi gestionate.
BGP negru
practică gaura neagră BGP
Configurarea părții furnizorului
În primul rând, trebuie să creați o comunitate specifică care să denumească prefixele instalate în gaura neagră:
unde 1 este numărul AS al furnizorului (permite comunității să rămână unică chiar și atunci când este transmisă prin rețelele altor ISP-uri), 666 este numărul unic al comunității (poate fi oricare, dar 666 este recomandată). Apoi, creați o politică pentru importarea prefixelor de la sărbătoarea noastră, selectați din ele prefixele cu neglijență comunitară și le înfășurați în Null (în Juniper este aruncat):
Alocați această declarație de politică sesiunii eBGP pentru prefixele importate (primite) de la clienți.
Personalizarea părții client
În mod similar, mai întâi, este creată o comunitate pentru a desemna prefixele instalate în gaura neagră:
Valorile sunt aceleași ca și cele de pe partea furnizorului, cu singura diferență că numărul AS trebuie să se potrivească cu AS-ul furnizorului, adică cel care emite comunitatea și își stabilește denumirea. Apoi, creați o declarație de politică pentru a adăuga comunitatea la prefixele care trebuie transmise către routerul ISP.
concluzie
Articole similare
-
Cum să salvați salopetele și echipamentul individual de protecție
-
Care sunt mijloacele de protecție a lucrătorului din spatele mașinii, caracteristici
Trimiteți-le prietenilor: