R.B. wiki

User Tools

Site Tools

Trace:
ddos:flowspec

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
ddos:flowspec [2019/07/25 11:43]
rb 		ddos:flowspec [2020/07/30 10:12] (current)
rb ↷ Page moved and renamed from ddos-flowspec to ddos:flowspec
Line 5: Line 5:
 Правила для фильтрации: Правила для фильтрации:
  
-  * destination prefix (подсеть, хост который защищаем) - обязательное поле +  * Destination prefix 
-  * source prefix (подсеть с которой хотим фильтровать трафик) +  * Source prefix 
-  * IP protocols (список протоколов которые хотим фильтровать) +  * IP protocols 
-  * TCP/UDP ports (список исходящих портов или портов на которые защищать)+  * Source or Destination port 
 +  * Destination port 
 +  * Source port
   * ICMP Type   * ICMP Type
   * ICMP Code   * ICMP Code
   * TCP Flags   * TCP Flags
   * Packet Length   * Packet Length
-  * Diffserv Codepoint +  * DSCP 
-  * Fragmentation+  * Fragment encoding
  
 Действия которые можем применять: Действия которые можем применять:
  
-  * Rate Limit +  * traffic-rate (0 for drop) 
-  * Traffic-Action - Sample, Accept, Drop +  * Traffic-Action (sampling) 
-  * Redirect - change route VRF or other +  * Redirect to VRF 
-  * Traffic-Marking - Modify DSCP Value+  * Traffic-Marking 
  
 ==== Пример настройки на Juniper ==== ==== Пример настройки на Juniper ====
Line 39: Line 42:
 <code> <code>
 firewall-install-disable firewall-install-disable
 +</code>
 +
 +Создаем policy-option для принятия нужного правила
 +
 +<code>
 +set policy-options policy-statement p1 term a from rib inetflow.0
 +set policy-options policy-statement p1 term a from route-filter 10.13.0.0/16 orlonger
 +set policy-options policy-statement p1 term a then accept
 +set policy-options policy-statement p1 term b then reject
 </code> </code>
  
Line 46: Line 58:
 set protocol bgp group TestFlowBgp neighbor 111.222.333.444 family inet unicast set protocol bgp group TestFlowBgp neighbor 111.222.333.444 family inet unicast
 set protocol bgp group TestFlowBgp neighbor 111.222.333.444 family inet flow set protocol bgp group TestFlowBgp neighbor 111.222.333.444 family inet flow
 +set protocol bgp group TestFlowBgp neighbor 111.222.333.444 export p1
 </code> </code>
  
Line 59: Line 72:
 show system resource-monitor fpc show system resource-monitor fpc
 </code> </code>
 +
 +
 ==== Пример автоматизации с PyEZ ==== ==== Пример автоматизации с PyEZ ====
  
Line 244: Line 259:
 === Advanced community === === Advanced community ===
  
-9002:666 - традиционный blackhole для префикса, и \\ 9002:667 для фильтрации всего udp трафика \\ 9002:668 фильтрафия известных амплифаеров (source-port 19,53,123,161,1900)+9002:666 - традиционный blackhole для префикса, и\\ 
 +9002:667 для фильтрации всего udp трафика\\ 
 +9002:668 фильтрафия известных амплифаеров (source-port 19,53,123,161,1900)
  
 === Flowspec === === Flowspec ===
Line 251: Line 268:
  
   * лимит 10 правил   * лимит 10 правил
 +  * destination обязательно, тип трафика опционально, как банальный \\ блэкхол оно тоже может работать
   * best path до этого адреса/префикса должен смотреть туда, откуда получено правило   * best path до этого адреса/префикса должен смотреть туда, откуда получено правило
   * в правилах может быть только discard   * в правилах может быть только discard
 +
  
 ===== Fiord ===== ===== Fiord =====
ddos/flowspec.1564044191.txt.gz · Last modified: 2020/07/08 18:20 (external edit)

Page Tools

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki