BỘ THÔNG TIN VÀ TRUYỀN THÔNG
TRUNG TÂM INTERNET VIỆT NAM - VNNIC

Dịch vụ giảm thiểu tấn công DDOS

Để giảm thiểu, ngăn chặn tấn công DDoS, VNIX cung cấp dịch vụ Blackholing, Các thành viên thiết lập cấu hình với hệ thống để sử dụng dịch vụ.

Thông tin dịch vụ Blackholing tại các điểm VNIX như sau: địa chỉ Blackhole next-hop và địa chỉ peering (Trigger Router)  và BGP BLACKHOLE community

 Hà Nội

IPv4 Address

218.100.10.253

IPv6 Global Address

2001:7FA:6::253

Trigger Router

218.100.10.252

2001:7FA:6::252

BLACKHOLE Community (RFC7999)

65535:666

TP.HCM

IPv4 Address

218.100.14.253

IPv6 Global Address

2001:DE8:A::253

Trigger Router

218.100.14.252

2001:DE8:A::252

BLACKHOLE Community (RFC7999)

65535:666

Đà Nẵng

IPv4 Address

218.100.14.253

IPv6 Global Address

2001:DE8:A::253

Trigger Router

218.100.14.252

2001:DE8:A::252

BLACKHOLE Community (RFC7999)

65535:666

Ví dụ minh họa:

Máy chủ đặt tại AS 3 bị tấn công từ mạng AS1

 

Thành viên sử dụng dịch vụ Blackholing giảm thiểu lưu lượng tấn công từ  AS3

Hướng dẫn cấu hình:

  1. Thiết lập Peering BGP Trigger Router VNIX

router bgp <ASN-ISP>

neighbor <IPv4-Trigger-VNIX> remote-as <ASN-VNIX>       /” để peering IPv6 với Router Trigger”/

 neighbor <IPv4-Trigger-VNIX> description Peer-RTBH-VNIX-v4    /” Mô tả peering”/

 neighbor <IPv4-Trigger-VNIX> version  4        /”Xác định version BGP”/

neighbor <IPv6-Trigger-VNIX> remote-as <ASN-VNIX>       /”để peering IPv6 với Router Trigger”/

 neighbor <IPv6-Trigger-VNIX> description Peer-RTBH-VNIX-v6     /” Mô tả peering “/

 neighbor <IPv6-Trigger-VNIX> version 4         /” Xác định version BGP”/

address-family ipv4

 neighbor <IPv4-Trigger-VNIX> activate           /”Kích hoạt peering”/        

 neighbor <IPv4-Trigger-VNIX> send-community        /” gửi thuộc tính comunity”/

 neighbor <IPv4-Trigger-VNIX> route-map RM_VNIX_BLACKHOLE_IN_v4 in    /” chính sách nhận định tuyến”/

 neighbor <IPv4-Trigger-VNIX> route-map RM_VNIX_BLACKHOLE_OUT_v4 out /” chính sách quảng bá”/

address-family ipv6             /“tương tự IPv4”/

 neighbor <IPv6-Trigger-VNIX> activate

 neighbor <IPv6-Trigger-VNIX> send-community

 neighbor <IPv6-Trigger-VNIX> route-map RM_VNIX_BLACKHOLE_IN_v6 in

 neighbor <IPv6-Trigger-VNIX> route-map RM_VNIX_BLACKHOLE_OUT_v6 out

------------IPv4--------------------------------------------------------

route-map RM_VNIX_BLACKHOLE_OUT_v4 permit 10

 match ip address prefix-list PL_VNIX_BLACKHOLE_OUT_4

 set community 65535:666              /”thuộc tính community quảng bá cho tất cả - Các thuộc tính khác xem công bố trên website”/

------------IPv6--------------------------------------------------------

route-map RM_VNIX_BLACKHOLE_OUT_v6 permit 10

 match ipv6 address prefix-list PL_VNIX_BLACKHOLE_OUT_6

 set community 65535:666              /”thuộc tính community quảng bá cho tất cả - Các thuộc tính khác xem công bố trên website”/

 

------------IPv4--------------------------------------------------------

route-map RM_VNIX_BLACKHOLE_IN_v4 permit 10

match ip address prefix-list PL_VNIX_BLACKHOLE_IN_4

match community Blackhole

route-map RM_VNIX_BLACKHOLE_IN_v4 deny 20

match ip address prefix-list PL_VNIX_BLACKHOLE_IN_4

route-map RM_VNIX_BLACKHOLE_IN_v4 permit 30

------------IPv6--------------------------------------------------------

route-map RM_VNIX_BLACKHOLE_IN_v6 permit 10

match ipv6 address prefix-list PL_VNIX_BLACKHOLE_IN_6

match community Blackhole

route-map RM_VNIX_BLACKHOLE_IN_v6 deny 20

match ipv6 address prefix-list PL_VNIX_BLACKHOLE_IN_6

route-map RM_VNIX_BLACKHOLE_IN_v6 permit 30

--------------------Prefix-list-Fillter-BLACKHOLE-v4-IN----------------

ip prefix-list PL_VNIX_BLACKHOLE_IN_4 seq 10 permit 0.0.0.0/24 le 32

--------------------Prefix-list-Fillter-BLACKHOLE-v6-IN----------------

ipv6 prefix-list PL_VNIX_BLACKHOLE_IN_6 seq 10 permit ::/64 le 128

  1. Cấu hình quảng bá route khi xảy ra tấn công DDoS

router bgp <ASN-ISP>

address-family ipv4

 network <IP victim> mask 255.255.255.255

address-family ipv6

      network <IP victim>/128

--------------------Prefix-list-Fillter-BLACKHOLE-v4-OUT----------------

ip prefix-list PL_VNIX_BLACKHOLE_OUT_4 seq 10 permit <IPv4 victim/32>

ip route <ipv4 victim/32> null 0

--------------------Prefix-list-Fillter-BLACKHOLE-v6-OUT----------------

ipv6 prefix-list PL_VNIX_BLACKHOLE_OUT_6 seq 10 permit <IPv6 victim/128>

ipv6 route <ipv6 victim/128> null 0

Tài  liệu hướng dẫn tham khảo: download tại đây