Fernausgelöstes Black Hole Routing

Transkription

In diesem Video erklärt Syed Danial Zaidi, Solutions Architect, was ferngesteuertes DDoS-Blackhole-Routing ist, wie es funktioniert und wie es zur Entschärfung eines DDoS-Angriffs eingesetzt werden kann.

AI Mitschrift:

Hallo an alle. Hier ist Danial, ich bin der TPS-Lösungsarchitekt bei A10 und in dieser Sitzung werden wir über Remote Triggered Black Hole Routing sprechen, auch bekannt als RTBH.

RTBH ist eine sehr verbreitete Technik, die von vielen Dienstanbietern und großen Unternehmen zum Schutz vor DDOS-Angriffen eingesetzt wird.

Die Idee ist, den Datenverkehr an der Grenze zu blockieren, bevor er in die geschützten Netze gelangt. In der heutigen Welt können DDOS-Angriffe in vielen verschiedenen Formen auftreten. Es könnte sich um einen Angriff auf Anwendungsebene handeln.

Es könnte sich um einen Angriff auf Protokollebene oder um einen volumetrischen Angriff handeln.

Das Ziel des Angreifers ist es, den Dienst unzugänglich zu machen, indem er alle Ressourcen auf Netzwerk- und Anwendungsebene verbraucht.

Wenn es also um den Schutz der Netzwerkebene geht, spielt RTBH hier eine Rolle. Wenn ich mich an die Definition halte, bedeutet RTBH, dass der gesamte Verkehr an ein bestimmtes Ziel in ein schwarzes Loch geleitet wird, was gleichbedeutend mit dem Verwerfen des Verkehrs ist.

Nun, da das gesagt ist, lassen Sie uns einen Blick darauf werfen.

Ich beginne mit dem Zeichnen eines ISP-Kerns und nehme an, ich habe einige Edge-Geräte, die eine Internetverbindung bereitstellen.

Und dann habe ich ein Edge-Gerät eines Anbieters, das einem meiner Kunden Dienste anbietet.

Und nehmen wir an, dieser Kunde hostet einen Webserver und wir geben ihm eine IP-Adresse, richtig? Der Einfachheit halber sagen wir, wir verwenden eine IP-Adresse von X.

Nun, wenn der Angriff stattfindet, sagen wir, der Angriff beginnt und der Angriff kommt von zufälligen Spoof-Quellen.

Dann wird er versuchen, diesen Webserver auszuschalten.

Ein weiterer Nebeneffekt ist, dass nicht nur versucht wird, den Server auszuschalten, sondern dass dies auch Auswirkungen auf das Kernnetz des Internetanbieters hat und vielleicht auch zu einer Beeinträchtigung eines anderen Kundendienstes führen kann. Wir müssen also den Datenverkehr am Rande des Netzwerks blockieren.

Die Funktionsweise von RTBH beruht also auf drei wichtigen Dingen. Erstens brauchen wir eine Abwurfroute.

Sagen wir "A" über Knoten Null, eine auf allen diesen Edge-Geräten vorkonfigurierte Verwerfungsroute.

Die zweite Sache, die wir brauchen, ist eine BGP-Richtlinie, und hier wird es interessant.

Wir brauchen also eine BGP-Richtlinie, die besagt, dass ich, wenn ich ein Routing-Update mit einer bestimmten Community erhalte und es eine Übereinstimmung ist, einfach weitermache und für das gegebene spezifische Präfix die IP-Adresse des nächsten Hops auf die IP-Adresse ändere, die wir in der verworfenen Route konfiguriert haben.

So wird es also aussehen.

Wir werden auf eine Community abgleichen. Nehmen wir an, die Community ist "Y" und wir bitten sie nur, den nächsten Hop auf die IP-Adresse zu ändern, die wir in der Discard-Route verwendet haben.

Jetzt haben wir diese Sache vorkonfiguriert. Was nun passieren wird, ist, dass jedes Mal, wenn ein Update mit einer Community von "Y" empfangen wird, der Abgleich stattfinden wird und wir den nächsten Hop in Richtung der Null-Route ändern werden.

Die Frage ist nun, wer diese Aktualisierung auslösen wird. Nun, dafür brauchen wir ein weiteres Gerät im Netzwerk und wir werden dieses Gerät nennen.

Unser ausgelöstes Gerät oder ein Router. Das auslösende Gerät muss also IGBP-Paarungen mit all Ihren Edge-Geräten haben,

Richtig? Und dieses ausgelöste Gerät muss mit einer anderen BGP-Richtlinie konfiguriert werden. Und diese Richtlinie wird tatsächlich statische Routen mit der Community weiterverteilen, nach der dieser Typ eigentlich sucht, und das wird "Y" sein.

Wenn nun ein DDoS-Angriff erfolgt und Sie den Datenverkehr am Netzwerkrand blockieren müssen, muss sich ein Netzwerkadministrator oder ein Systemadministrator beim Trigger-Gerät anmelden und einfach eine statische Route mit einem bestimmten Tag hinzufügen.

Diese statische Route wird mithilfe dieser BGP-Richtlinie weiterverteilt und an die Edge-Geräte weitergeleitet. Der Abgleich findet statt und der Datenverkehr wird schließlich auf den Edge-Geräten blockiert.

Eine Sache, die ich hervorheben möchte, ist, dass bei der DDOS-Schutzlösung von A10 dieser ganze Prozess tatsächlich vollständig automatisiert ist.

Man braucht eigentlich kein Auslösegerät Wasser. Das ist es, was ich zu sagen versuche.

Wenn jemand das TPS-Gerät von A10 für die Bereitstellung eines DDOS-Abwehrdienstes oder vielleicht für den Schutz der Infrastruktur verwendet, sind lediglich IGBP-Paarungen mit den Edge-Geräten erforderlich, und wenn eine Einheit angegriffen wird und die Aktion darin besteht, den Datenverkehr zu blockieren, können wir einfach auf autonome Weise ein BGP-Update für die bestimmte Gemeinschaft, nach der das Gerät tatsächlich sucht, bekannt geben. Auf diese Weise wird der Datenverkehr blockiert.

Vielen Dank, dass Sie sich dieses Video angesehen haben, und wir sehen uns hoffentlich in der nächsten Sitzung wieder.

Verwandte Ressourcen

• Sechs Schritte zur Abwehr von DDoS-Angriffen (Blog Post)
• Einblicke von DDoS Defender: Wie man sich gegen reflektierte Verstärkungsangriffe verteidigt (Webinar)
• Was macht eine DDoS-Abwehr besser als eine andere (Webinar)