https://docs.mitigator.ru/v26.04/tags/bgp/ Recent content in Bgp on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/kb/functionality/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/functionality/ В статье перечислены основные функциональные возможности программного комплекса для защиты от DDoS-атак MITIGATOR. Защита от DDoS-атак MITIGATOR защищает от атак на уровнях от сетевого до прикладного модели OSI (объёмных, на исчерпание сессий и уровня приложений). Создание сервиса Типовая конфигурация MITIGATOR поддерживает возможность создания сервиса по защите от DDoS-атак. Работа на стандартном оборудовании MITIGATOR работает на серверах стандартной конфигурации. Не требуется приобретение специализированной аппаратной платформы, что уменьшает расходы на обслуживание. Гибкость внедрения MITIGATOR устанавливается без перестраивания сети заказчика. https://docs.mitigator.ru/v26.04/kb/deploy/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/deploy/ В MITIGATOR реализована поддержка множества сценариев встраивания в сеть заказчика. Ниже описаны основные термины и способы внедрения в сеть, а также примеры внедрения. Внешняя и внутренняя сети Логически MITIGATOR подключается к двум сетям: Внешняя сеть (external) – сеть, из которой приходит трафик, требующий очистки; Внутренняя сеть (internal) – сеть, в которой расположены защищаемые ресурсы. Трафик из внешней сети – трафик, поступающий в MITIGATOR из внешней сети. Состоит из трафика атаки и легитимного трафика. https://docs.mitigator.ru/v26.04/kb/bgp/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bgp/ Информация Статья устарела и требует актуализации. В MITIGATOR реализована поддержка множества сценариев взаимодействия по BGP. Каждый экземпляр кластера может выступать в качестве независимого BGP-спикера, анонсировать префиксы, а также рассылать и принимать FlowSpec-правила. Памятка Более подробно о всех аспектах настройки взаимодействия ниже. Локальные параметры BGP Выполняется определение локальных параметров экземпляров кластера и для каждого экземпляра персонально разрешается установка BGP-соединения с BGP-соседями. BGP-соседи Экземпляры MITIGATOR могут устанавливать BGP-соединение с другими устройствами сети, каждое из которых задается в системе как BGP-сосед. https://docs.mitigator.ru/v26.04/kb/bgp-signaling/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bgp-signaling/ В статье описывается применение BGP в MITIGATOR в сценарии сигнализации вышестоящим операторам связи или поставщикам услуг защиты (MSSP). Задачи сигнализации Когда MITIGATOR работает как периметровая защита от DDoS-атак, он может самостоятельно подавить атаку до суммарной пропускной способности входящих каналов. Для избежания переполнения входящих каналов можно подключать грубую фильтрацию у вышестоящих операторов связи или поставщиков услуг защиты. MSSP для клиентской сигнализации на включение фильтрации могут использовать REST API, BGP, BGP FlowSpec и закрытые проприетарные протоколы. https://docs.mitigator.ru/v26.04/kb/echelon/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/echelon/ Наибольшую эффективность при защите от DDoS-атак показывают схемы эшелонированной обороны, где тонкой очисткой трафика, поступающего в защищаемую сеть, занимается on-premise устройство на границе сети, а защитные механизмы на уровне вышестоящего оператора связи позволяют предотвратить переполнение канала. Постоянно включенная защита на стороне оператора связи может вызывать проблемы и оказывать негативное влияние на легитимный трафик, поэтому она должна активироваться только по необходимости. Для этого сценария требуется настроить взаимодействие между эшелонами защиты — облачную сигнализацию. https://docs.mitigator.ru/v26.04/kb/bgp-state/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bgp-state/ Для обеспечения бесперебойного прохождения трафика через MITIGATOR обычно требуется снимать BGP-анонсирование при потере связности с граничными маршрутизаторами. По умолчанию при схеме внедрения в сеть L3-router анонсирование по BGP может происходить только при разрешении на MITIGATOR router_mac граничных маршрутизаторов внешней и внутренней сетей. В случае потери связности с любым из них анонсы снимаются. Однако, в некоторых случаях требуется продолжать BGP-анонсирование даже при падении граничных маршрутизаторов, для чего в файле docker-compose.yml следует указать: