12/23/2022，光纖在線訊，隨著互聯(lián)網(wǎng)行業(yè)的迅猛發(fā)展，越來越多的業(yè)務(wù)都從線下走到了線上�；ヂ�(lián)網(wǎng)在給大家生活帶來便利的同時也面臨著防護(hù)自身安全的各種挑戰(zhàn)。

DoS/DDoS攻擊是對網(wǎng)絡(luò)安全的重大威脅，攻擊者通過多個控制端控制成千上萬的攻擊設(shè)備對同一個目的地址、網(wǎng)段或服務(wù)器同時發(fā)起流量攻擊，導(dǎo)致網(wǎng)絡(luò)擁塞或服務(wù)器CPU占用過高無法提供服務(wù)。

現(xiàn)在的路由器除了具備流量轉(zhuǎn)發(fā)的功能外，還可以通過BGP Flow Specification對流量進(jìn)行分類、限速、過濾和重定向等操作，這對防御DoS/DDoS攻擊非常重要。

目前，Renix軟件平臺支持BGP Flow Spec的相關(guān)功能測試。本文的主要內(nèi)容也是說明Renix對于BGP Flow Spec測試的支持度以及相關(guān)測試操作。


BGP Flow Specification介紹

先簡單介紹下什么是BGP Flow Specification。

BGP Flow Specification（簡稱BGP Flow Spec）是一種用于防止DoS（Denial of Service）/DDoS（Distributed Denial of Service）攻擊的方法，可以提高網(wǎng)絡(luò)安全性和可用性。

傳統(tǒng)預(yù)防DoS/DDoS攻擊的方法有兩種，分別是流分類技術(shù)和對攻擊流量重定向，但是這兩種方法都存在缺陷，如表1所示。



★BGP Flow Spec可以解決上述缺點：
●可維護(hù)性好。[/b]使用標(biāo)準(zhǔn)協(xié)議定義的BGP網(wǎng)絡(luò)層可達(dá)信息類型來傳遞流量過濾信息，因此路由信息和流量過濾信息獨立存在。
● 提供豐富的過濾條件和處理動作，可以更有針對性地實現(xiàn)對流量的控制。

★此外，BGP Flow Spec的應(yīng)用可以大大提高用戶網(wǎng)絡(luò)的安全性與可靠性，具體如下：
■實時監(jiān)控：BGP Flow Specification可以以定時采樣的方式對攻擊流量進(jìn)行快速響應(yīng)，實現(xiàn)對攻擊流量的控制。
■預(yù)先防護(hù)：根據(jù)常見的攻擊流量的特點，手工部署防護(hù)策略，使常見的攻擊流量沒有機(jī)會對用戶網(wǎng)絡(luò)造成危害，防患于未然。
■降低成本：不需要在每臺設(shè)備上單獨建立流量控制策略，提高可維護(hù)性。
■限制攻擊范圍：BGP Flow Specification支持跨域傳播功能，可以在盡可能靠近攻擊源的設(shè)備上消除攻擊流量對網(wǎng)絡(luò)的危害，大大降低了攻擊流量對網(wǎng)絡(luò)的影響。

Renix平臺BGP Flow Spec配置介紹

在RFC 5575中定義了解碼Flow Spec的標(biāo)準(zhǔn)程序，使BGP路由具備更為豐富的屬性并可執(zhí)行限速、過濾和重定向等行為。接下來介紹Renix對于BGP Flow Spec測試的支持度。

▶1. 支持IPv4 Flow Spec和IPv6 Flow Spec。



▶2. IPv4 Flow Spec支持12種匹配規(guī)則。


不同Type對應(yīng)不同的字段，具體匹配規(guī)則內(nèi)容如表2


▶3. IPv4 Flow Spec支持5種路由策略。


每一種路由策略的具體作用如表3：


▶4. IPv6 Flow Spec支持2種匹配規(guī)則。


每一種規(guī)則具體匹配的內(nèi)容如表4：


▶5. IPv6 Flow Spec支持4種路由策略。


每一種路由策略的具體作用如表5：


▶6. SubAFI支持配置為FlowSpecVpn。
將SubAFI配置為FlowSpecVpn時，可以配置VRF的相關(guān)參數(shù)，如指定VRF路由目標(biāo)、指定VRF路由標(biāo)識符等配置。



▶7. 支持配置Multi Exit Discriminator、Local Preference、Cluster ID List等參數(shù)。
當(dāng)使能Multi Exit Discriminator為選中狀態(tài)時配置MULTI_EXIT_DISC屬性；當(dāng)Enable Local preference為選中狀態(tài)時配置Local_PREF的值；當(dāng)仿真路由器作為BGP路由反射器時配置uster ID list的值。


▶8. 支持查看學(xué)到的Flow Spec路由策略和匹配規(guī)則。
BGP會話使能查看路由，運行測試，點擊查看BGP路由，可以查看學(xué)到的Flow Spec路由策略和匹配規(guī)則。


BGP Flow Spec測試示例

說完Renix平臺BGP Flow Spec的相關(guān)配置之后，接下來以BGP Flow Spec防攻擊測試為例，演示如何使用Renix平臺進(jìn)行測試。主要是在測試儀A、B端口之間建立正常業(yè)務(wù)流量和攻擊流量，對比設(shè)備在使能BGP Flow Spec功能前后流量的收發(fā)情況，驗證被測設(shè)備BGP Flow Spec功能。

主要步驟如下：

☑1. 按照如下測試拓?fù)溥M(jìn)行組網(wǎng)：

DUT1和DUT2建立雙棧IBGP，DUT2為路由反射器，DUT1為客戶端。


☑2. 在測試儀表A、B端口之間構(gòu)造3條IPv4流量：

第1條流為正常業(yè)務(wù)流，源IP為100.1.1.2，目的IP為200.1.1.254（測試儀端口B），目的端口80；

第2條流模擬ICMP FLOOD攻擊，目的地址為200.1.1.254；

第3條流模擬TCP SYNFLOOD攻擊，源IP為100.1.1.133, 目的IP為200.1.1.254，目的端口80。


☑3. 發(fā)送所有流量，在測試儀B端口可以正常收到所有流量。


☑4. 配置DUT1和DUT2使能BGP FLOWSPEC功能。

儀表端口C與DUT2建立BGP鄰居關(guān)系，并通過BGP FLOWSPEC向DUT2配置流量信息，通告DUT1對步驟3中的ICMP/ND FLOOD、TCP SYNFLOOD和UDP FLOOD攻擊流量進(jìn)行過濾。對ICMP/ND FLOOD攻擊進(jìn)行阻斷，對TCP/SYNFLOOD和UDP FLOOD攻擊限制速度為10Mb/s。

測試儀C端口通告的BGP Flow Spec路由。

被測設(shè)備學(xué)習(xí)到的IPv4 BGP Flow Spec路由信息。




☑5. 再次發(fā)送建立的3條IPv4流量，可以看到IPv4正常業(yè)務(wù)流量收發(fā)一致且能正常重定向到Port TCC，ICMP攻擊流量不通，TCP攻擊流量限速到10Mb/s且接收端口為Port TCB。


當(dāng)前，Renix 軟件BGP Flow Spec除了支持匹配多個字段、定義對匹配字段執(zhí)行的操作等基本功能測試外，也具備對該協(xié)議的擴(kuò)展和開發(fā)的能力。請隨時來電咨詢！