信而泰BGP Flow Spec防攻击测试解决方案

news2024/11/24 14:19:52

随着互联网行业的迅猛发展,越来越多的业务都从线下走到了线上。互联网在给大家生活带来便利的同时也面临着防护自身安全的各种挑战。

DoS/DDoS攻击是对网络安全的重大威胁,攻击者通过多个控制端控制成千上万的攻击设备对同一个目的地址、网段或服务器同时发起流量攻击,导致网络拥塞或服务器CPU占用过高无法提供服务。

现在的路由器除了具备流量转发的功能外,还可以通过BGP Flow Specification对流量进行分类、限速、过滤和重定向等操作,这对防御DoS/DDoS攻击非常重要。

目前,Renix软件平台支持BGP Flow Spec的相关功能测试。本文的主要内容也是说明Renix对于BGP Flow Spec测试的支持度以及相关测试操作

一、BGP Flow Specification介绍

先简单介绍下什么是BGP Flow Specification。

BGP Flow Specification(简称BGP Flow Spec)是一种用于防止DoS(Denial of Service)/DDoS(Distributed Denial of Service)攻击的方法,可以提高网络安全性和可用性。

传统预防DoS/DDoS攻击的方法有两种,分别是流分类技术和对攻击流量重定向,但是这两种方法都存在缺陷,如表1所示。

表1:传统预防DoS/DDoS攻击方法的比较

预防方法

方法概述

缺点

流分类技术

在设备上手工配置流量匹配规则和相应的QoS策略,用来缓解DoS/DDoS的攻击。

该方法存在如下缺点:

  • 无法保证防御攻击的实时性,需要在多个网络服务供应商之间进行协调,以标识出攻击源。

  • 维护工作难度大,需要手工修改流量过滤策略。

对攻击流量重定向

通过路由策略修改指向受攻击目标的路由的下一跳:

  • 将下一跳设置为一个黑洞,将流量丢弃。

  • 将下一跳设置到一台流量清洗设备上,对攻击流量进行清洗,保护正常的业务流量。

该方法存在如下缺点:

  • 流量过滤的匹配条件单一,即只能通过目的IP地址进行过滤。

  • 控制流量过滤的信息和转发流量的路由信息混合在一起,增加维护难度。

★BGP Flow Spec可以解决上述缺点

可维护性好。使用标准协议定义的BGP网络层可达信息类型来传递流量过滤信息,因此路由信息和流量过滤信息独立存在。

● 提供丰富的过滤条件和处理动作,可以更有针对性地实现对流量的控制。

★此外,BGP Flow Spec的应用可以大大提高用户网络的安全性与可靠性,具体如下:

■实时监控:BGP Flow Specification可以以定时采样的方式对攻击流量进行快速响应,实现对攻击流量的控制。

■预先防护:根据常见的攻击流量的特点,手工部署防护策略,使常见的攻击流量没有机会对用户网络造成危害,防患于未然。

■降低成本:不需要在每台设备上单独建立流量控制策略,提高可维护性。

■限制攻击范围:BGP Flow Specification支持跨域传播功能,可以在尽可能靠近攻击源的设备上消除攻击流量对网络的危害,大大降低了攻击流量对网络的影响。

二、Renix平台BGP Flow Spec配置介绍

在RFC 5575中定义了解码Flow Spec的标准程序,使BGP路由具备更为丰富的属性并可执行限速、过滤和重定向等行为。接下来介绍Renix对于BGP Flow Spec测试的支持度。

▶1. 支持IPv4 Flow Spec和IPv6 Flow Spec。

▶2. IPv4 Flow Spec支持12种匹配规则。

不同Type对应不同的字段,具体匹配规则内容如表2

表2:IPv4 Flow Spec支持的匹配规则

Type类型

匹配字段

作用

Type-1

目的地址前缀

指定匹配的目的地址前缀。

Type-2

源地址前缀

指定匹配的源地址前缀。

Type-3

IP协议

指定匹配的IP协议号。

Type-4

端口

指定匹配端口。

Type-5

目的端口

指定匹配的目的端口。

Type-6

源端口

指定匹配的源端口。

Type-7

ICMP类型

指定匹配的ICMP类型。

Type-8

ICMP代码

指定匹配的ICMP代码。

Type-9

TCP标志位

指定匹配的TCP标志位。

Type-10

包长度

指定匹配的数据包长度。

Type-11

DSCP值

指定匹配的DSCP值。

Type-12

DSCP值

指定匹配的分片标志。

▶3. IPv4 Flow Spec支持5种路由策略。

每一种路由策略的具体作用如表3

表3:IPv4 Flow Spec支持的路由策略

Type类型

作用

Traffic Rate(0x8006)

流量限速动作。指定AS号和指定流量的最大传输速率。当配置为0时对流量执行丢弃动作。

Traffic Action(0x8007)

选中Sample Bit时启用流量抽样记录。选中Terminate Bit时撤销已生效的匹配规则。

Redirect(0x8008)

流量重定向到指定的路由目标动作。

Traffic Marking(0x8009)

重新标记报文DSCP值的动作。

Redirect to IP Next Hop(0x010c)

重定向到下一跳动作。选中Copy Bit时,会复制一份规则匹配的流量,并执行重定向到下一跳动作。

▶4. IPv6 Flow Spec支持2种匹配规则。

每一种规则具体匹配的内容如表4:

表4:IPv6 Flow Spec支持的匹配规则

Type类型

匹配字段

作用

Destination

Prefix

目的地址前缀

指定匹配的目的地址前缀。

Source Prefix

源地址前缀

指定匹配的源地址前缀。

▶5. IPv6 Flow Spec支持4种路由策略。

每一种路由策略的具体作用如表5

表5:IPv6 Flow Spec支持的路由策略

Type类型

作用

Traffic Rate(0x8006)

流量限速动作。指定AS号和指定流量的最大传输速率。当配置为0时对流量执行丢弃动作。

Traffic Action(0x8007)

选中Sample Bit时启用流量抽样记录。选中Terminate Bit时撤销已生效的匹配规则。

Redirect(0x8008)

流量重定向到指定的路由目标动作。

Redirect to IPv6 Next 

Hop(0x0800)

重定向到下一跳动作。选中Copy Bit时,会复制一份规则匹配的流量,并执行重定向到下一跳动作。

Redirect to IPv6 Next 

Hop(0x000c)

重定向到下一跳动作。选中Copy Bit时,会复制一份规则匹配的流量,并执行重定向到下一跳动作。

▶6. SubAFI支持配置为FlowSpecVpn。

将SubAFI配置为FlowSpecVpn时,可以配置VRF的相关参数,如指定VRF路由目标、指定VRF路由标识符等配置。

▶7. 支持配置Multi Exit Discriminator、Local Preference、Cluster ID List等参数。

当使能Multi Exit Discriminator为选中状态时配置MULTI_EXIT_DISC属性;当Enable Local preference为选中状态时配置Local_PREF的值;当仿真路由器作为BGP路由反射器时配置uster ID list的值。

▶8. 支持查看学到的Flow Spec路由策略和匹配规则。

BGP会话使能查看路由,运行测试,点击查看BGP路由,可以查看学到的Flow Spec路由策略和匹配规则。

三、 BGP Flow Spec测试示例

说完Renix平台BGP Flow Spec的相关配置之后,接下来以BGP Flow Spec防攻击测试为例,演示如何使用Renix平台进行测试。主要是在测试仪A、B端口之间建立正常业务流量和攻击流量,对比设备在使能BGP Flow Spec功能前后流量的收发情况,验证被测设备BGP Flow Spec功能。

主要步骤如下:

☑1. 按照如下测试拓扑进行组网:

DUT1和DUT2建立双栈IBGP,DUT2为路由反射器,DUT1为客户端。

☑2. 在测试仪表A、B端口之间构造3条IPv4流量:

第1条流为正常业务流,源IP为100.1.1.2,目的IP为200.1.1.254(测试仪端口B),目的端口80;

第2条流模拟ICMP FLOOD攻击,目的地址为200.1.1.254;

第3条流模拟TCP SYNFLOOD攻击,源IP为100.1.1.133, 目的IP为200.1.1.254,目的端口80。

☑3. 发送所有流量,在测试仪B端口可以正常收到所有流量。

☑4. 配置DUT1和DUT2使能BGP FLOWSPEC功能。

仪表端口C与DUT2建立BGP邻居关系,并通过BGP FLOWSPEC向DUT2配置流量信息,通告DUT1对步骤3中的ICMP/ND FLOOD、TCP SYNFLOOD和UDP FLOOD攻击流量进行过滤。对ICMP/ND FLOOD攻击进行阻断,对TCP/SYNFLOOD和UDP FLOOD攻击限制速度为10Mb/s。

测试仪C端口通告的BGP Flow Spec路由。

被测设备学习到的IPv4 BGP Flow Spec路由信息。

☑5. 再次发送建立的3条IPv4流量,可以看到IPv4正常业务流量收发一致且能正常重定向到Port TCC,ICMP攻击流量不通,TCP攻击流量限速到10Mb/s且接收端口为Port TCB。

当前,Renix 软件BGP Flow Spec除了支持匹配多个字段、定义对匹配字段执行的操作等基本功能测试外,也具备对该协议的扩展和开发的能力。请随时来电咨询!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/108458.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【触摸屏功能测试】昆仑通态MCGS——物联网功能测试

测试触摸屏: 型号:TPC7022Ni 测试内容:物联网产品设备的无线通信和远程调试功能 物联网 1、功能概述 物联网产品设备可通过无线通讯的方式,进行远程调试和操作。物联网产品设备支持以下功能: l 4G和WiFi通信 l 远…

m基于kmeans和SVM的网络入侵数据分类算法matlab仿真

目录 1.算法描述 2.仿真效果预览 3.MATLAB核心程序 4.完整MATLAB 1.算法描述 首先计算整个数据集合的平均值点,作为第一个初始聚类中心C1; 然后分别计算所有对象到C1的欧式距离d,并且计算每个对象在半径R的范围内包含的对象个数W。 此时计…

非零基础自学Golang 第17章 HTTP编程(上) 17.2 HTTP客户端 17.2.3 发起GET请求

非零基础自学Golang 文章目录非零基础自学Golang第17章 HTTP编程(上)17.2 HTTP客户端17.2.3 发起GET请求第17章 HTTP编程(上) 17.2 HTTP客户端 17.2.3 发起GET请求 从现在开始我们将会学习如何使用Go语言模拟浏览器发起HTTP请求。 发起请求前需要创建一个请求对象&#xff…

WINDOWS下安装ORACLE客户端报错:无法访问临时位置

WINDOWS2016(虚拟机)安装oracle11g碰到“无法访问临时位置”的问题,详细信息如下: INS-30131] 执行安装程序验证所需的初始设置失败。 原因 - 无法访问临时位置。 操作 - 请确保当前用户具有访问临时位置所需的权限。 附加信息: …

【DETR目标检测】关键词:Decoder。Encoder。query向量。注意力机制。

声明:仅学习使用~ 目录 1、目标检测的基本思想2、整体网络架构3、位置信息初始化query向量4、注意力机制的作用方法5、训练过程的策略1、目标检测的基本思想 2015年,faster-rcnn; 2016年,YOLO; NMS:非极大值抑制; 2、整体网络架构 backbone 即先通过CNN 拿到每个pat…

Transformers18~ Diffusion

还是Transformers,来自 UC 伯克利的 William Peebles 以及纽约大学的谢赛宁撰文揭秘扩散模型中架构选择的意义,并为未来的生成模型研究提供经验基线。 近几年,在 Transformer 的推动下,机器学习正在经历复兴。过去五年中,用于自然…

【概述】请求报文在网络各层中的具体传输

请求报文在网络各层中的具体传输电脑中之间的通信,可以看成为两个应用进程之间的通信;一个请求从客户端到服务器端,通常需要经过三个阶段: 客户端路由转发阶段服务器端 客户端请求服务端 请求在客户端中每一层的具体传输数据 应…

LeetCode 322 周赛

2490. 回环句 句子 是由单个空格分隔的一组单词,且不含前导或尾随空格。 例如,"Hello World"、"HELLO"、"hello world hello world" 都是符合要求的句子。 单词 仅 由大写和小写英文字母组成。且大写和小写字母会视作不…

【Call for papers】2023年CCF-A类会议截稿日期(实时更新)

会议简称会议名称类别截稿日期链接S&P-2023IEEE Symposium on Security and Privacy网络与信息安全2022年12月2日Call for papersUSENIX ATC-2023USENIX Annul Technical Conference计算机体系结构/并行与分布计算/存储系统2023年1月12日Call for papersIJCAI-2023Internat…

H5后台读写CAD文件

说明 后台提供mxconvert.js程序,该程序使用JS编程,可以在后台实现读写CAD文件、读取CAD图纸数据等操作。 如何使用mxconvert.js转CAD图纸到梦想格式 1.Windows调用,进入 Bin\Release目录,命令行调用 node.exe mxconvert.js 1.d…

【推荐】动力锂电池及BMS系统介绍资料合集

锂动力电池是20世纪开发成功的新型高能电池。这种电池的负极是金属锂,正极用MnO2,SOCL2,(CFx)n等。70年代进入实用化。因其具有能量高、电池电压高、工作温度范围宽、贮存寿命长等优点,已广泛应用于军事和民用小型电器中&#xff…

部署AI平台 宝马集团正在掀起新一轮数字化改革浪潮

数字化转型作为当代企业创新求变的重要突破口,成为各行各业推进持续发展的大热趋势。但在企业的在数字化征程中,却暗藏多重陷阱,数据孤岛、标准不一、质量太差、治理滞后、安全隐患等挑战,如影随形。 近日,宝马集团宣布…

125页6万字智慧城市系统及智慧城市运营中心建设技术方案

目 录 1. 智慧城市系统概述 1.1 前言 1.2 什么是智慧城市? 1.3 智慧城市的总体目标 1.4 智慧城市如何建设 1.5 智慧城市组成和架构 1.6 智慧城市总体功能 1.6.1 城市运营中心门户 1.6.2 城市事件管理服务 1.6.3 城市运维管理服务 1.6.4 数据挖掘 1.6.4…

【Unity大气散射】GAMES104:3A中如何实现大气散射

写在前面 前两天学习并整理的大气散射基础知识:【Unity大气渲染】关于单次大气散射的理论知识,收获了很多,但不得不承认的是,这其实已经是最早的、90年代的非常古老的方法了,后来也出现了一些优化性的计算思路和方法。…

解决金仓数据库KingbaseES V8R3 由于修改系统时间导致sys_rman备份故障的问题

案例说明: 此案例,为复现“current time may be rewound”错误。对于数据库环境,在使用前必须保证系统时间的正确性。如果数据库创建后,再将系统时间修改为创建数据库之前的时间,在运行过程中将有可能导致新老事务判断…

Beego框架项目搭建步骤

1、执行 go env 指令,将输出当前 Go 开发包的环境变量状态。 GOARCH 表示目标处理器架构。 GOBIN 表示编译器和链接器的安装位置。 GOOS 表示目标操作系统。 GOPATH 表示当前工作目录。 GOROOT 表示 Go 开发包的安装目录。 2、安装beego 输入 go get github.com/as…

IB近三年的改革及未来发展趋势

【转自京领新国际】 据不完全统计,截至目前,IB课程已在全球160余个国家的5667所学校开设,其中,中国大陆有267所学校获得了IB认证。由于IB的教育理念非常适应创新性人才的培养需要,它也越来越被学校、家长和学生认可。那…

论文阅读 - On the efficacy of old features for the detection of new bots - CCF B

目录 摘要: 1.导言 2.文献综述 3 数据集 4.特征集 4.1 CAP_UNI Botometer分数 4.2.与帐户配置文件/时间线相关的功能 4.3.非官方Twitter账户发送的推文比例 4.4.实验装置 5. 实验结果 5.1. Celebrity-Botwiki 5.2. Verified-Botwiki 5.3. Verified-Vendo…

什么是APERAK?

APERAK(Application error and acknowledgement message)是由消息接收方发出的应用程序错误和确认信息。其目的是: a) 通知消息发送方他的消息已经被消息接收方收到,由于业务系统在处理过程中遇到错误,已被拒绝。 b) 向消息发送方确认消息已…

使用tushare数据画疫情感染人数地图

总是看到网上有各种各样的可以用地图来展示某一地区的情况,如GDP的增速、人口的变化等,于是就想想这个问题是否能用python来实现,经查阅资料发现,用python来画地图其实也并不难,做好数据和地图的关联就可以实现。 一、…