12/23/2022，光纖在線訊，隨著互聯(lián)網(wǎng)行業(yè)的迅猛發(fā)展，越來(lái)越多的業(yè)務(wù)都從線下走到了線上?；ヂ?lián)網(wǎng)在給大家生活帶來(lái)便利的同時(shí)也面臨著防護(hù)自身安全的各種挑戰(zhàn)。

DoS/DDoS攻擊是對(duì)網(wǎng)絡(luò)安全的重大威脅，攻擊者通過(guò)多個(gè)控制端控制成千上萬(wàn)的攻擊設(shè)備對(duì)同一個(gè)目的地址、網(wǎng)段或服務(wù)器同時(shí)發(fā)起流量攻擊，導(dǎo)致網(wǎng)絡(luò)擁塞或服務(wù)器CPU占用過(guò)高無(wú)法提供服務(wù)。

現(xiàn)在的路由器除了具備流量轉(zhuǎn)發(fā)的功能外，還可以通過(guò)BGP Flow Specification對(duì)流量進(jìn)行分類、限速、過(guò)濾和重定向等操作，這對(duì)防御DoS/DDoS攻擊非常重要。

目前，Renix軟件平臺(tái)支持BGP Flow Spec的相關(guān)功能測(cè)試。本文的主要內(nèi)容也是說(shuō)明Renix對(duì)于BGP Flow Spec測(cè)試的支持度以及相關(guān)測(cè)試操作。


BGP Flow Specification介紹

先簡(jiǎn)單介紹下什么是BGP Flow Specification。

BGP Flow Specification（簡(jiǎn)稱BGP Flow Spec）是一種用于防止DoS（Denial of Service）/DDoS（Distributed Denial of Service）攻擊的方法，可以提高網(wǎng)絡(luò)安全性和可用性。

傳統(tǒng)預(yù)防DoS/DDoS攻擊的方法有兩種，分別是流分類技術(shù)和對(duì)攻擊流量重定向，但是這兩種方法都存在缺陷，如表1所示。



★BGP Flow Spec可以解決上述缺點(diǎn)：
●可維護(hù)性好。[/b]使用標(biāo)準(zhǔn)協(xié)議定義的BGP網(wǎng)絡(luò)層可達(dá)信息類型來(lái)傳遞流量過(guò)濾信息，因此路由信息和流量過(guò)濾信息獨(dú)立存在。
● 提供豐富的過(guò)濾條件和處理動(dòng)作，可以更有針對(duì)性地實(shí)現(xiàn)對(duì)流量的控制。

★此外，BGP Flow Spec的應(yīng)用可以大大提高用戶網(wǎng)絡(luò)的安全性與可靠性，具體如下：
■實(shí)時(shí)監(jiān)控：BGP Flow Specification可以以定時(shí)采樣的方式對(duì)攻擊流量進(jìn)行快速響應(yīng)，實(shí)現(xiàn)對(duì)攻擊流量的控制。
■預(yù)先防護(hù)：根據(jù)常見(jiàn)的攻擊流量的特點(diǎn)，手工部署防護(hù)策略，使常見(jiàn)的攻擊流量沒(méi)有機(jī)會(huì)對(duì)用戶網(wǎng)絡(luò)造成危害，防患于未然。
■降低成本：不需要在每臺(tái)設(shè)備上單獨(dú)建立流量控制策略，提高可維護(hù)性。
■限制攻擊范圍：BGP Flow Specification支持跨域傳播功能，可以在盡可能靠近攻擊源的設(shè)備上消除攻擊流量對(duì)網(wǎng)絡(luò)的危害，大大降低了攻擊流量對(duì)網(wǎng)絡(luò)的影響。

Renix平臺(tái)BGP Flow Spec配置介紹

在RFC 5575中定義了解碼Flow Spec的標(biāo)準(zhǔn)程序，使BGP路由具備更為豐富的屬性并可執(zhí)行限速、過(guò)濾和重定向等行為。接下來(lái)介紹Renix對(duì)于BGP Flow Spec測(cè)試的支持度。

▶1. 支持IPv4 Flow Spec和IPv6 Flow Spec。



▶2. IPv4 Flow Spec支持12種匹配規(guī)則。


不同Type對(duì)應(yīng)不同的字段，具體匹配規(guī)則內(nèi)容如表2


▶3. IPv4 Flow Spec支持5種路由策略。


每一種路由策略的具體作用如表3：


▶4. IPv6 Flow Spec支持2種匹配規(guī)則。


每一種規(guī)則具體匹配的內(nèi)容如表4：


▶5. IPv6 Flow Spec支持4種路由策略。


每一種路由策略的具體作用如表5：


▶6. SubAFI支持配置為FlowSpecVpn。
將SubAFI配置為FlowSpecVpn時(shí)，可以配置VRF的相關(guān)參數(shù)，如指定VRF路由目標(biāo)、指定VRF路由標(biāo)識(shí)符等配置。



▶7. 支持配置Multi Exit Discriminator、Local Preference、Cluster ID List等參數(shù)。
當(dāng)使能Multi Exit Discriminator為選中狀態(tài)時(shí)配置MULTI_EXIT_DISC屬性；當(dāng)Enable Local preference為選中狀態(tài)時(shí)配置Local_PREF的值；當(dāng)仿真路由器作為BGP路由反射器時(shí)配置uster ID list的值。


▶8. 支持查看學(xué)到的Flow Spec路由策略和匹配規(guī)則。
BGP會(huì)話使能查看路由，運(yùn)行測(cè)試，點(diǎn)擊查看BGP路由，可以查看學(xué)到的Flow Spec路由策略和匹配規(guī)則。


BGP Flow Spec測(cè)試示例

說(shuō)完Renix平臺(tái)BGP Flow Spec的相關(guān)配置之后，接下來(lái)以BGP Flow Spec防攻擊測(cè)試為例，演示如何使用Renix平臺(tái)進(jìn)行測(cè)試。主要是在測(cè)試儀A、B端口之間建立正常業(yè)務(wù)流量和攻擊流量，對(duì)比設(shè)備在使能BGP Flow Spec功能前后流量的收發(fā)情況，驗(yàn)證被測(cè)設(shè)備BGP Flow Spec功能。

主要步驟如下：

☑1. 按照如下測(cè)試拓?fù)溥M(jìn)行組網(wǎng)：

DUT1和DUT2建立雙棧IBGP，DUT2為路由反射器，DUT1為客戶端。


☑2. 在測(cè)試儀表A、B端口之間構(gòu)造3條IPv4流量：

第1條流為正常業(yè)務(wù)流，源IP為100.1.1.2，目的IP為200.1.1.254（測(cè)試儀端口B），目的端口80；

第2條流模擬ICMP FLOOD攻擊，目的地址為200.1.1.254；

第3條流模擬TCP SYNFLOOD攻擊，源IP為100.1.1.133, 目的IP為200.1.1.254，目的端口80。


☑3. 發(fā)送所有流量，在測(cè)試儀B端口可以正常收到所有流量。


☑4. 配置DUT1和DUT2使能BGP FLOWSPEC功能。

儀表端口C與DUT2建立BGP鄰居關(guān)系，并通過(guò)BGP FLOWSPEC向DUT2配置流量信息，通告DUT1對(duì)步驟3中的ICMP/ND FLOOD、TCP SYNFLOOD和UDP FLOOD攻擊流量進(jìn)行過(guò)濾。對(duì)ICMP/ND FLOOD攻擊進(jìn)行阻斷，對(duì)TCP/SYNFLOOD和UDP FLOOD攻擊限制速度為10Mb/s。

測(cè)試儀C端口通告的BGP Flow Spec路由。

被測(cè)設(shè)備學(xué)習(xí)到的IPv4 BGP Flow Spec路由信息。




☑5. 再次發(fā)送建立的3條IPv4流量，可以看到IPv4正常業(yè)務(wù)流量收發(fā)一致且能正常重定向到Port TCC，ICMP攻擊流量不通，TCP攻擊流量限速到10Mb/s且接收端口為Port TCB。


當(dāng)前，Renix 軟件BGP Flow Spec除了支持匹配多個(gè)字段、定義對(duì)匹配字段執(zhí)行的操作等基本功能測(cè)試外，也具備對(duì)該協(xié)議的擴(kuò)展和開(kāi)發(fā)的能力。請(qǐng)隨時(shí)來(lái)電咨詢！