信而泰BGP Flow Spec防攻擊測試解決方案

12/23/2022，光纖在線訊，隨著互聯網行業的迅猛發展，越來越多的業務都從線下走到了線上�；ヂ摼W在給大家生活帶來便利的同時也面臨著防護自身安全的各種挑戰。

DoS/DDoS攻擊是對網絡安全的重大威脅，攻擊者通過多個控制端控制成千上萬的攻擊設備對同一個目的地址、網段或服務器同時發起流量攻擊，導致網絡擁塞或服務器CPU占用過高無法提供服務。

現在的路由器除了具備流量轉發的功能外，還可以通過BGP Flow Specification對流量進行分類、限速、過濾和重定向等操作，這對防御DoS/DDoS攻擊非常重要。

目前，Renix軟件平臺支持BGP Flow Spec的相關功能測試。本文的主要內容也是說明Renix對于BGP Flow Spec測試的支持度以及相關測試操作。


BGP Flow Specification介紹

先簡單介紹下什么是BGP Flow Specification。

BGP Flow Specification（簡稱BGP Flow Spec）是一種用于防止DoS（Denial of Service）/DDoS（Distributed Denial of Service）攻擊的方法，可以提高網絡安全性和可用性。

傳統預防DoS/DDoS攻擊的方法有兩種，分別是流分類技術和對攻擊流量重定向，但是這兩種方法都存在缺陷，如表1所示。



★BGP Flow Spec可以解決上述缺點：
●可維護性好。[/b]使用標準協議定義的BGP網絡層可達信息類型來傳遞流量過濾信息，因此路由信息和流量過濾信息獨立存在。
● 提供豐富的過濾條件和處理動作，可以更有針對性地實現對流量的控制。

★此外，BGP Flow Spec的應用可以大大提高用戶網絡的安全性與可靠性，具體如下：
■實時監控：BGP Flow Specification可以以定時采樣的方式對攻擊流量進行快速響應，實現對攻擊流量的控制。
■預先防護：根據常見的攻擊流量的特點，手工部署防護策略，使常見的攻擊流量沒有機會對用戶網絡造成危害，防患于未然。
■降低成本：不需要在每臺設備上單獨建立流量控制策略，提高可維護性。
■限制攻擊范圍：BGP Flow Specification支持跨域傳播功能，可以在盡可能靠近攻擊源的設備上消除攻擊流量對網絡的危害，大大降低了攻擊流量對網絡的影響。

Renix平臺BGP Flow Spec配置介紹

在RFC 5575中定義了解碼Flow Spec的標準程序，使BGP路由具備更為豐富的屬性并可執行限速、過濾和重定向等行為。接下來介紹Renix對于BGP Flow Spec測試的支持度。

▶1. 支持IPv4 Flow Spec和IPv6 Flow Spec。



▶2. IPv4 Flow Spec支持12種匹配規則。


不同Type對應不同的字段，具體匹配規則內容如表2


▶3. IPv4 Flow Spec支持5種路由策略。


每一種路由策略的具體作用如表3：


▶4. IPv6 Flow Spec支持2種匹配規則。


每一種規則具體匹配的內容如表4：


▶5. IPv6 Flow Spec支持4種路由策略。


每一種路由策略的具體作用如表5：


▶6. SubAFI支持配置為FlowSpecVpn。
將SubAFI配置為FlowSpecVpn時，可以配置VRF的相關參數，如指定VRF路由目標、指定VRF路由標識符等配置。



▶7. 支持配置Multi Exit Discriminator、Local Preference、Cluster ID List等參數。
當使能Multi Exit Discriminator為選中狀態時配置MULTI_EXIT_DISC屬性；當Enable Local preference為選中狀態時配置Local_PREF的值；當仿真路由器作為BGP路由反射器時配置uster ID list的值。


▶8. 支持查看學到的Flow Spec路由策略和匹配規則。
BGP會話使能查看路由，運行測試，點擊查看BGP路由，可以查看學到的Flow Spec路由策略和匹配規則。


BGP Flow Spec測試示例

說完Renix平臺BGP Flow Spec的相關配置之后，接下來以BGP Flow Spec防攻擊測試為例，演示如何使用Renix平臺進行測試。主要是在測試儀A、B端口之間建立正常業務流量和攻擊流量，對比設備在使能BGP Flow Spec功能前后流量的收發情況，驗證被測設備BGP Flow Spec功能。

主要步驟如下：

☑1. 按照如下測試拓撲進行組網：

DUT1和DUT2建立雙棧IBGP，DUT2為路由反射器，DUT1為客戶端。


☑2. 在測試儀表A、B端口之間構造3條IPv4流量：

第1條流為正常業務流，源IP為100.1.1.2，目的IP為200.1.1.254（測試儀端口B），目的端口80；

第2條流模擬ICMP FLOOD攻擊，目的地址為200.1.1.254；

第3條流模擬TCP SYNFLOOD攻擊，源IP為100.1.1.133, 目的IP為200.1.1.254，目的端口80。


☑3. 發送所有流量，在測試儀B端口可以正常收到所有流量。


☑4. 配置DUT1和DUT2使能BGP FLOWSPEC功能。

儀表端口C與DUT2建立BGP鄰居關系，并通過BGP FLOWSPEC向DUT2配置流量信息，通告DUT1對步驟3中的ICMP/ND FLOOD、TCP SYNFLOOD和UDP FLOOD攻擊流量進行過濾。對ICMP/ND FLOOD攻擊進行阻斷，對TCP/SYNFLOOD和UDP FLOOD攻擊限制速度為10Mb/s。

測試儀C端口通告的BGP Flow Spec路由。

被測設備學習到的IPv4 BGP Flow Spec路由信息。




☑5. 再次發送建立的3條IPv4流量，可以看到IPv4正常業務流量收發一致且能正常重定向到Port TCC，ICMP攻擊流量不通，TCP攻擊流量限速到10Mb/s且接收端口為Port TCB。


當前，Renix 軟件BGP Flow Spec除了支持匹配多個字段、定義對匹配字段執行的操作等基本功能測試外，也具備對該協議的擴展和開發的能力。請隨時來電咨詢！