Проблема распределенной DDoS атаки

 

В момент подобных атак происходит переполнения полосы пропускания, что сказывается на полезном трафике.

 

 

Комплексное решение данной проблемы это:

  • фильтрация по специальному Blackhole MAC адресу на границе с Участником сети
  • анонс данного префикса Участнику (Участник настраивает граничный маршрутизатор  на "слив" трафика в Null интерфейс)

 

 Участник на которого производится атака, производит следующие действия:

  • определяет атакуемый хост / сеть (например 198.51.100.111)
  • прописывает на граничном маршрутизаторе маршрут на Null интерфейс:

ip route 198.51.100.111 255.255.255.255 Null

  • в секции описания BGP анонсирует данную сеть

router bgp ХХХХХ
 address-family ipv4
  network 198.51.100.111 mask 255.255.255.255
  neighbor 185.1.118.1 route-map map-AS39304-out out

ip access-list standard BH-ACL
 permit 198.51.100.111

route-map map-AS39304-out permit 1
 description BLACKHOLE
 match ip address BH-ACL
 set community 39304:666

© 2018 АО "Читатехэнерго"

Please publish modules in offcanvas position.