В статье описывается применение BGP в MITIGATOR в сценарии сигнализации вышестоящим операторам связи или поставщикам услуг защиты (MSSP).
Когда MITIGATOR работает как периметровая защита от DDoS-атак, он может самостоятельно подавить атаку до суммарной пропускной способности входящих каналов. Для избежания переполнения входящих каналов можно подключать грубую фильтрацию у вышестоящих операторов связи или поставщиков услуг защиты.
MSSP для клиентской сигнализации на включение фильтрации могут использовать закрытые проприетарные протоколы, REST API, BGP, BGP FlowSpec. MITIGATOR поддерживает сценарии сигнализации со всеми перечисленными типами протоколов.
В MITIGATOR всегда присутствуют системные списки, которые могут автоматически
наполняться префиксами по различным критериям и из различных источников.
Для решения задачи сигнализации можно использовать любой из подобных списков,
если он уже не используется для решения других задач. Для примера рассмотрим
применение системного списка system.policy.blackhole.prefixes
, который
наполняется префиксами из поля dst_prefixes правил маршрутизации на политику
защиты.
Для того чтобы сообщить сервису префиксы, трафик которых должен быть очищен, требуется настроить BGP-соединение между экземпляром MITIGATOR и BGP-спикером MSSP. BGP-спикер MSSP задается в MITIGATOR как BGP-сосед экземпляра. Если сервисов очистки несколько, то BGP-сосед в системе заводится для каждого из них и настраивается отдельно.
В настройках соседа задаются его сетевые параметры. Следует указать большое значение TTL IP-пакета, так как BGP-спикер MSSP может находиться на удалении.
В политике анонса BGP-соседу указывается системный список
system.policy.blackhole.prefixes
.
Специальные nexthop и community задаются исходя из требований MSSP.
В политике защиты задаются пороги автодетектирования, при срабатывании которых
префиксы данной политики должны наполнять список system.policy.blackhole.prefixes
.
Таким образом, в момент, когда система автодетектирования зарегистрирует превышение
порога Policy.BGP.Blackhole.InputPps.On
, в системный список
system.policy.blackhole.prefixes
будут добавлены префиксы политики защиты. В рамках
BGP-соединения эти префиксы будут переданы BGP-спикеру MSSP, после чего MSSP
сможет направить трафик, адресуемый защищаемым префиксам, на собственные механизмы
очистки.
Следует обратить внимание на то, что если в MSSP не настроено удержание процесса
очистки пока наблюдается высокий трафик, то при начале очистки на MSSP показатели
трафика в политике защиты могут упасть ниже порога отключения Policy.BGP.Blackhole.InputPps.Off
,
что приведет к удалению префиксов из анонсируемого списка и остановке очистки на MSSP.
Для минимизации тактования при настройке порогов автодетектирования следует увеличить
число анализируемых интервалов.