В статье описывается применение BGP в MITIGATOR в сценарии сигнализации вышестоящим операторам связи или поставщикам услуг защиты (MSSP).
Когда MITIGATOR работает как периметровая защита от DDoS-атак, он может самостоятельно подавить атаку до суммарной пропускной способности входящих каналов. Для избежания переполнения входящих каналов можно подключать грубую фильтрацию у вышестоящих операторов связи или поставщиков услуг защиты.
MSSP для клиентской сигнализации на включение фильтрации могут использовать REST API, BGP, BGP FlowSpec и закрытые проприетарные протоколы. MITIGATOR поддерживает сценарии сигнализации со всеми перечисленными типами протоколов.
В MITIGATOR всегда присутствуют системные списки, которые могут автоматически
наполняться префиксами по различным критериям и из различных источников.
Для решения задач сигнализации в системе предусмотрены списки
system.policy.signaling.
, но можно использовать любой из подобных списков,
если он уже не используется для решения других задач. Для примера рассмотрим
применение системного списка system.policy.signaling.prefixes
, который
наполняется префиксами из поля dst_prefixes правил маршрутизации на политику
защиты.
Для того чтобы сообщить сервису префиксы, трафик которых должен быть очищен, требуется настроить BGP-соединение между экземпляром MITIGATOR и BGP-спикером MSSP. BGP-спикер MSSP задается в MITIGATOR как BGP-сосед экземпляра. Если сервисов очистки несколько, то BGP-сосед в системе заводится для каждого из них и настраивается отдельно.
В настройках соседа задаются его сетевые параметры. Следует указать большое значение TTL IP-пакета, так как BGP-спикер MSSP может находиться на удалении.
В политике анонса BGP-соседу указывается системный список
system.policy.signaling.prefixes
.
Специальные nexthop и community задаются исходя из требований MSSP.
В политике защиты задаются пороги автодетектирования, при срабатывании которых
префиксы данной политики должны наполнять список system.policy.signaling.prefixes
.
Таким образом, в момент, когда система автодетектирования зарегистрирует превышение
порога Policy.BGP.Signaling.InputPps.On
, в системный список
system.policy.signaling.prefixes
будут добавлены префиксы политики защиты. В рамках
BGP-соединения эти префиксы будут переданы BGP-спикеру MSSP, после чего MSSP
сможет направить трафик, адресуемый защищаемым префиксам, на собственные механизмы
очистки.
Следует обратить внимание на то, что если в MSSP не настроено удержание процесса
очистки пока наблюдается высокий трафик, то при начале очистки на MSSP показатели
трафика в политике защиты могут упасть ниже порога отключения Policy.BGP.Signaling.InputPps.Off
,
что приведет к удалению префиксов из анонсируемого списка и остановке очистки на MSSP.
Для минимизации тактования при настройке порогов автодетектирования следует увеличить
число анализируемых интервалов.