8 800 770-01-70 Клиентам

Настройка Blackhole

Blackhole — эффективное средство борьбы с DDoS
Время от времени у клиентов возникает необходимость «отсеивать» нежелательный трафик на свои IP со стороны своего ISP. Конечно вы можете позвонить в нашу службу технической поддержки и мы с удовольствием поможем вам.

Но на контакт с нашими администраторами (описание ситуации, просьба отфильтровать трафик на указанные адреса) в телефонном режиме или через e-mail может уйти много времени.

Что если разрешить клиентам самим «приказать» нашему маршрутизатору не передавать трафик на атакуемый ip-адрес? При условии, что клиент уже имеет BGP сессию с нами, существует довольно простой и безопасный способ.Технически для наших клиентов это выглядит так. На стороне клиента необходимо пометить атакуемый ip-адрес какой-нибудь меткой (tag-ом) и связать эту метку с BGP community.

Как только наш маршрутизатор «увидит» анонс с этим community, он просто отправит нежелательный трафик в «Черную дыру» (Blackhole). В результате маршрутизаторы и каналы наших клиентов избегают перегрузки и работают в штатном режиме.

Пример конфигурации для Cisco на стороне КЛИЕНТА:

! Метим атакуемые ip-адреса локальной меткой
! Далее эта метка будет «отлавливаться» в route-map STATIC
!
ip route 178.210.34.1 255.255.255.255 Null0 tag 7777
ip route 109.106.129.11 255.255.255.255 Null0 tag 7777
ip route 31.210.208.1 255.255.255.255 Null0 tag 7777
!
!
! В route-map-е «ловим» нашу метку и устанавливаем для них community 43727:7777
!
route-map STATIC permit 5
match tag 7777
set community 43727:7777
!
!
!Следующая команада необходима если вы уже использовали redistribute static на своем маршрутизаторе
!Если вы не собираетесь анонсировать нам ВСЕ ваши сети которые есть на вашем маршрутизаторе, тогда эту команду нужно исключить !
route-map STATIC permit 6
!
!Далее разрешаем редистрибутировать «статику» с фильтрацией.
router bgp ххх
!
redistribute static route-map STATIC
!
!

Кроме того, возможно Вам придется установить атрибут send-community на наш neighbor и обновить фильтр-полиси на исходящие анонсы, чтобы «пропускать» такие префиксы.