Сигнализация по BGP

В статье описывается применение BGP в MITIGATOR в сценарии сигнализации вышестоящим операторам связи или поставщикам услуг защиты (MSSP).

Задачи сигнализации

Когда MITIGATOR работает как периметровая защита от DDoS-атак, он может самостоятельно подавить атаку до суммарной пропускной способности входящих каналов. Для избежания переполнения входящих каналов можно подключать грубую фильтрацию у вышестоящих операторов связи или поставщиков услуг защиты.

MSSP для клиентской сигнализации на включение фильтрации могут использовать REST API, BGP, BGP FlowSpec и закрытые проприетарные протоколы. MITIGATOR поддерживает сценарии сигнализации со всеми перечисленными типами протоколов.

Пример настройки сигнализации по BGP

В MITIGATOR всегда присутствуют системные списки, которые могут автоматически наполняться префиксами по различным критериям и из различных источников. Для решения задач сигнализации в системе предусмотрены списки system.policy.signaling., но можно использовать любой из подобных списков, если он уже не используется для решения других задач. Для примера рассмотрим применение системного списка system.policy.signaling.prefixes, который наполняется префиксами из поля dst_prefixes правил маршрутизации на политику защиты.

Для того чтобы сообщить сервису префиксы, трафик которых должен быть очищен, требуется настроить BGP-соединение между экземпляром MITIGATOR и BGP-спикером MSSP. BGP-спикер MSSP задается в MITIGATOR как BGP-сосед экземпляра. Если сервисов очистки несколько, то BGP-сосед в системе заводится для каждого из них и настраивается отдельно.

В настройках соседа задаются его сетевые параметры. Следует указать большое значение TTL IP-пакета, так как BGP-спикер MSSP может находиться на удалении.

В политике анонса BGP-соседу указывается системный список system.policy.signaling.prefixes.

Специальные nexthop и community задаются исходя из требований MSSP.

В политике защиты задаются пороги автодетектирования, при срабатывании которых префиксы данной политики должны наполнять список system.policy.signaling.prefixes.

Таким образом, в момент, когда система автодетектирования зарегистрирует превышение порога Policy.BGP.Signaling.InputPps.On, в системный список system.policy.signaling.prefixes будут добавлены префиксы политики защиты. В рамках BGP-соединения эти префиксы будут переданы BGP-спикеру MSSP, после чего MSSP сможет направить трафик, адресуемый защищаемым префиксам, на собственные механизмы очистки.

Следует обратить внимание на то, что если в MSSP не настроено удержание процесса очистки пока наблюдается высокий трафик, то при начале очистки на MSSP показатели трафика в политике защиты могут упасть ниже порога отключения Policy.BGP.Signaling.InputPps.Off, что приведет к удалению префиксов из анонсируемого списка и остановке очистки на MSSP. Для минимизации тактования при настройке порогов автодетектирования следует увеличить число анализируемых интервалов.