Để giảm thiểu, ngăn chặn tấn công DDoS, VNIX cung cấp dịch vụ Blackholing, Các thành viên thiết lập cấu hình với hệ thống để sử dụng dịch vụ.
Thông tin dịch vụ Blackholing tại các điểm VNIX như sau: địa chỉ Blackhole next-hop và địa chỉ peering (Trigger Router) và BGP BLACKHOLE community
Hà Nội
IPv4 Address |
218.100.10.253 |
IPv6 Global Address |
2001:7FA:6::253 |
Trigger Router |
218.100.10.252 |
2001:7FA:6::252 |
|
BLACKHOLE Community (RFC7999) |
65535:666 |
TP.HCM
IPv4 Address |
218.100.14.253 |
IPv6 Global Address |
2001:DE8:A::253 |
Trigger Router |
218.100.14.252 |
2001:DE8:A::252 |
|
BLACKHOLE Community (RFC7999) |
65535:666 |
Đà Nẵng
IPv4 Address |
218.100.14.253 |
IPv6 Global Address |
2001:DE8:A::253 |
Trigger Router |
218.100.14.252 |
2001:DE8:A::252 |
|
BLACKHOLE Community (RFC7999) |
65535:666 |
Ví dụ minh họa:
Máy chủ đặt tại AS 3 bị tấn công từ mạng AS1
Thành viên sử dụng dịch vụ Blackholing giảm thiểu lưu lượng tấn công từ AS3
Hướng dẫn cấu hình:
- Thiết lập Peering BGP Trigger Router VNIX
router bgp <ASN-ISP>
neighbor <IPv4-Trigger-VNIX> remote-as <ASN-VNIX> /” để peering IPv6 với Router Trigger”/
neighbor <IPv4-Trigger-VNIX> description Peer-RTBH-VNIX-v4 /” Mô tả peering”/
neighbor <IPv4-Trigger-VNIX> version 4 /”Xác định version BGP”/
neighbor <IPv6-Trigger-VNIX> remote-as <ASN-VNIX> /”để peering IPv6 với Router Trigger”/
neighbor <IPv6-Trigger-VNIX> description Peer-RTBH-VNIX-v6 /” Mô tả peering “/
neighbor <IPv6-Trigger-VNIX> version 4 /” Xác định version BGP”/
address-family ipv4
neighbor <IPv4-Trigger-VNIX> activate /”Kích hoạt peering”/
neighbor <IPv4-Trigger-VNIX> send-community /” gửi thuộc tính comunity”/
neighbor <IPv4-Trigger-VNIX> route-map RM_VNIX_BLACKHOLE_IN_v4 in /” chính sách nhận định tuyến”/
neighbor <IPv4-Trigger-VNIX> route-map RM_VNIX_BLACKHOLE_OUT_v4 out /” chính sách quảng bá”/
address-family ipv6 /“tương tự IPv4”/
neighbor <IPv6-Trigger-VNIX> activate
neighbor <IPv6-Trigger-VNIX> send-community
neighbor <IPv6-Trigger-VNIX> route-map RM_VNIX_BLACKHOLE_IN_v6 in
neighbor <IPv6-Trigger-VNIX> route-map RM_VNIX_BLACKHOLE_OUT_v6 out
------------IPv4--------------------------------------------------------
route-map RM_VNIX_BLACKHOLE_OUT_v4 permit 10
match ip address prefix-list PL_VNIX_BLACKHOLE_OUT_4
set community 65535:666 /”thuộc tính community quảng bá cho tất cả - Các thuộc tính khác xem công bố trên website”/
------------IPv6--------------------------------------------------------
route-map RM_VNIX_BLACKHOLE_OUT_v6 permit 10
match ipv6 address prefix-list PL_VNIX_BLACKHOLE_OUT_6
set community 65535:666 /”thuộc tính community quảng bá cho tất cả - Các thuộc tính khác xem công bố trên website”/
------------IPv4--------------------------------------------------------
route-map RM_VNIX_BLACKHOLE_IN_v4 permit 10
match ip address prefix-list PL_VNIX_BLACKHOLE_IN_4
match community Blackhole
route-map RM_VNIX_BLACKHOLE_IN_v4 deny 20
match ip address prefix-list PL_VNIX_BLACKHOLE_IN_4
route-map RM_VNIX_BLACKHOLE_IN_v4 permit 30
------------IPv6--------------------------------------------------------
route-map RM_VNIX_BLACKHOLE_IN_v6 permit 10
match ipv6 address prefix-list PL_VNIX_BLACKHOLE_IN_6
match community Blackhole
route-map RM_VNIX_BLACKHOLE_IN_v6 deny 20
match ipv6 address prefix-list PL_VNIX_BLACKHOLE_IN_6
route-map RM_VNIX_BLACKHOLE_IN_v6 permit 30
--------------------Prefix-list-Fillter-BLACKHOLE-v4-IN----------------
ip prefix-list PL_VNIX_BLACKHOLE_IN_4 seq 10 permit 0.0.0.0/24 le 32
--------------------Prefix-list-Fillter-BLACKHOLE-v6-IN----------------
ipv6 prefix-list PL_VNIX_BLACKHOLE_IN_6 seq 10 permit ::/64 le 128
- Cấu hình quảng bá route khi xảy ra tấn công DDoS
router bgp <ASN-ISP>
address-family ipv4
network <IP victim> mask 255.255.255.255
address-family ipv6
network <IP victim>/128
--------------------Prefix-list-Fillter-BLACKHOLE-v4-OUT----------------
ip prefix-list PL_VNIX_BLACKHOLE_OUT_4 seq 10 permit <IPv4 victim/32>
ip route <ipv4 victim/32> null 0
--------------------Prefix-list-Fillter-BLACKHOLE-v6-OUT----------------
ipv6 prefix-list PL_VNIX_BLACKHOLE_OUT_6 seq 10 permit <IPv6 victim/128>
ipv6 route <ipv6 victim/128> null 0
Tài liệu hướng dẫn tham khảo: download tại đây