দূরবর্তী এএস থেকে উদ্ভূত ডিডিওএস আক্রমণ থেকে রক্ষার জন্য বিজিপি ব্যবহার করুন

16

বিজিপি এবং এই কনফিগারেশনটি কীভাবে অর্জন করা যায় সে সম্পর্কে আমার একটি প্রশ্ন রয়েছে।

আমার এন্টারপ্রাইজ কোর রাউটার একটি আইএসপি (একক হোমড) এর সাথে সংযুক্ত। এই রাউটার ইতিমধ্যে বিজিপি আপডেটগুলিতে নির্দিষ্ট পাবলিক আইপি উপসর্গগুলি আইএসপিতে বিনিময় করেছে। এখন আসুন বলুন যে একটি AS এর বেশ কয়েকটি কক্ষ দূরে রয়েছে যা আমার স্থানীয় এএসকে ডিডিওএস আক্রমণে বন্যা করছে। আমার স্থানীয় এএস-তে ওয়েব সার্ভারগুলিকে লক্ষ্য করে এমন একাধিক নেটওয়ার্ক রয়েছে।

বিজিপি ব্যবহার করে কীভাবে আমরা আমাদের রাউটারে এই ট্র্যাফিক থামাতে পারি?

আপনার প্রতিক্রিয়া প্রশংসা !! :)

routing bgp

— হরিশ রেড্ডি
সূত্র

2

আপনি কীভাবে এই ট্র্যাফিকের উত্স প্রতিষ্ঠা করেছিলেন? আপনি যদি কেবলমাত্র সূত্রের আইপি অ্যাড্রেসগুলি দেখছিলেন তবে সেগুলি বানোয়াট হতে পারে। একক AS এর মধ্যে সমস্ত স্পোফিং উত্সের ঠিকানাগুলির প্যাকেটের বন্যা হ'ল আপনি যদি দেখতে পাবেন, যদি প্রতিবিম্ব আক্রমণ ঘটে।

— কাস্পার্ড

কোন উত্তর কি আপনাকে সাহায্য করেছে? যদি তা হয় তবে আপনার উত্তরটি গ্রহণ করা উচিত যাতে উত্তরটি সন্ধান চিরকালের জন্য পপিং না হয়ে থাকে। বিকল্পভাবে, আপনি নিজের উত্তর সরবরাহ করতে এবং গ্রহণ করতে পারেন।

— রন মউপিন

14

বিজিপির সাথে আপনি দুটি জিনিস করতে পারেন:

আরটিবিএইচ - দূরবর্তী-ট্রিগারড ব্ল্যাক হোল

প্রথম বিকল্পটি র‌্যাডিক্যাল এক: আইপি আক্রমণ করার জন্য ব্ল্যাকহোল (ট্র্যাফিক থামান)। ডাউনসাইড: আইপি টার্গেট করা এখন আর অ্যাক্সেসযোগ্য। উপকার: আপনার নেটওয়ার্কের বাকি অংশ আপ রয়েছে। এটি কীভাবে কাজ করে এবং কীভাবে তা প্যাকেট লাইফের একটি দুর্দান্ত ব্যাখ্যা রয়েছে। দ্বিতীয় বিকল্পটি প্রথমটিতে তৈরি করে:

উত্স ভিত্তিক আরটিবিএইচ

নির্দিষ্ট আইপি থেকে আসা ট্র্যাফিক ব্লক করতে (নির্দিষ্ট কনফিগারেশনে) আরটিবিএইচও ব্যবহার করা যেতে পারে (হাজার হাজার আইপি থেকে ট্র্যাফিক আসতে পারে এমন সত্যিকারের ডিডিওএসে তেমন সহায়তা করে না)। আবার প্যাকেট লাইফের একটি ব্যাখ্যা আছে।

আপনার ক্ষেত্রে আপনি আরএডিবি-র মতো রাউটিং ডেটাবেস থেকে এএসের সমস্ত উপসর্গ পেতে পারেন এবং এগুলি উত্স-ভিত্তিক আরটিবিএইচ দিয়ে ব্লক করতে পারেন। যদিও ট্র্যাফিক সীমান্তে আপনার নেটওয়ার্কে আঘাত করবে।

আপনি যখন "সরল" আরটিবিএইচ ব্যবহার করেন তখন সুবিধাটি হ'ল আপনি এই আরটিবিএইচ রুটগুলি আপনার প্রবাহের আইএসপিতে প্রেরণ করতে পারেন (যদি তারা এটি সমর্থন করে) তবে তাদের নেটওয়ার্কের ট্র্যাফিকটি ইতিমধ্যে আটকাতে পারে যাতে আপনার এটি পরিচালনা করতে হয় না।

— সেবাস্তিয়ান উইজিংগার
সূত্র

প্যাকেটলাইফ দ্বারা বর্ণিত পদ্ধতিটি সহায়ক, তবে আপনার আপলিংকগুলি আক্রমণ ট্র্যাফিকের মাধ্যমে স্যাচুরেটেড এমন দৃশ্যে এটি কোনও উপকারে আসবে না। আমি এই সমস্যাটির সমাধানের জন্য উজানের ব্ল্যাকহোল সম্প্রদায়গুলি ব্যবহার করার বিষয়ে একটি উত্তর লিখেছিলাম।

— এলিয়ট বি।

2

এটি আমার সর্বশেষ বাক্যে রয়েছে: "আপনি যখন" সাধারণ "আরটিবিএইচ ব্যবহার করেন তবে সুবিধাটি হ'ল আপনি এই আরটিবিএইচ রুটগুলি আপনার আপস্ট্রিম আইএসপিতে প্রেরণ করতে পারেন (যদি তারা এটি সমর্থন করে) তবে তাদের নেটওয়ার্কের ট্র্যাফিকটি ইতিমধ্যে আটকাতে পারে যাতে আপনার নেই don't এটি পরিচালনা করতে। "

— সেবাস্তিয়ান উইজিংগার

আমি এটি দেখেছি, কিন্তু আমি গ্রাহক-ট্রিগারযুক্ত ব্ল্যাকহোল পদ্ধতিটি বিশদভাবে জানাতে চেয়েছিলাম এবং এটি উল্লেখ করতে চেয়েছিলাম যে "[এটি পরিচালনা করার ক্ষমতা নেই]" এর অর্থ হ'ল ব্ল্যাকহোলটি অন্যথায় কার্যকর হবে না। কেবলমাত্র আরও তথ্য সরবরাহ করার জন্য, আপনার উত্তরটি কীর্তি করার উদ্দেশ্যে নয় :)

— এলিয়ট বি।

7

প্যাকেট লাইফের মাধ্যমে @ সেবাস্তিয়ান দ্বারা বর্ণিত আরটিবিএইচ পদ্ধতি সহায়ক, তবে সেই পদ্ধতিটি কেবল তখনই কার্যকর হবে যদি আপনার আপলিংক আক্রমণ ট্রাফিকের মাধ্যমে স্যাচুরেট না হয়। যদি আপনার আপলিংকটি স্যাচুরেটেড হয়, তবে আক্রমণের ট্র্যাফিক আপনার নেটওয়ার্কে পৌঁছানোর আগে একটি সময় ব্ল্যাকহোলটি প্রয়োগ করা উচিত ।

আপনি এটি স্ট্রিম ব্ল্যাকহোল সম্প্রদায়গুলির সাথে সম্পন্ন করতে পারেন।

হারিকেন ইলেকট্রিক কোনও বিজিপি সম্প্রদায়ের সাথে গ্রাহক-ট্রিগারড ব্ল্যাকহোলিংয়ের একটি সহজ ব্যাখ্যা / উদাহরণ সরবরাহ করে:

আক্রমণ শুরু হয়

গ্রাহক আক্রমণে আইপি বা আইপ রেঞ্জ চিহ্নিত করে

গ্রাহক স্থিতিশীল আইপি বা আইপ পরিসীমাটি নুল0-তে স্থান করে দেয় এবং একটি রুটের মানচিত্রের সাথে সম্পর্কিত উপসর্গের একটি ঘোষণা যুক্ত করে যা 6939: 666 এর সাথে ট্যাগ করে।

সিসকো কনফিগারেশন উদাহরণ (যেখানে XXXX আইপি আক্রমণ করা হচ্ছে):

conf t
ip route X.X.X.X 255.255.255.255 Null0
router bgp YourAS
network X.X.X.X mask 255.255.255.255 route-map blackhole
route-map blackhole permit 10
set community 6939:666
end

দ্রষ্টব্য যে 6939:666হারিকেন বৈদ্যুতিক নির্দিষ্ট ব্ল্যাকহোল সম্প্রদায়। আপনি আপনার মূলধারার সরবরাহকারীর ব্ল্যাকহোল সম্প্রদায়ের সাথে মিল রাখতে এই মানটি সংশোধন করবেন।

এটি কনফিগার করার জন্য অবশ্যই একাধিক উপায় রয়েছে। আমার ব্রোকেড গিয়ারে, আমি নিম্নলিখিত কনফিগারেশনটি ব্যবহার করি:

router bgp
!
redistribute static route-map blackhole
!
!
route-map blackhole permit  5
 match tag  66
 set community  55555:666

55555:666আপনার আপস্ট्रीम সরবরাহকারীর ব্ল্যাকহোল সম্প্রদায়টি কোথায় । একটি আপস্ট্রিম ব্ল্যাকহোল একটি সাধারণ কমান্ডের সাথে প্রয়োগ করতে পারে:

ip route 123.123.123.123 255.255.255.255 null0 tag 66

— এলিয়ট বি।
সূত্র

4

একটি বিজিপি দৃষ্টিকোণ থেকে, আপনি করার মতো অনেক কিছুই নেই। আপনি আপনার উপসর্গের বিজ্ঞাপন বন্ধ করতে পারেন তবে তারপরে আপনি কেবলমাত্র ডস আক্রমণটি সম্পূর্ণ করছেন কারণ কোনওরাই আপনার পরিষেবা অ্যাক্সেস করতে সক্ষম হবেন।

আপনার যদি একাধিক উপসর্গ থাকে তবে আপনি পুনরায় নিয়োগ করতে পারবেন তবে সম্ভবত আক্রমণটি নতুন উপসর্গটিতেও চলে যাবে।

আপনাকে যা করতে হবে তা হ'ল আপনার প্রবাহের সাথে কাজ করা। তাদের কি স্ক্রাবিং পরিষেবা আছে? যদি তাদের কাছে আরবার পিকফ্লোর মতো একটি সিস্টেম থাকে তবে তারা আপনার নেটওয়ার্কে প্রবেশের আগে ট্র্যাফিকটিকে ঝাপিয়ে এটিকে পরিষ্কার করতে পারে। এই ধরনের পরিষেবাগুলি প্রায়শই খুব ব্যয়বহুল।

এছাড়াও অন্যান্য বিকল্প রয়েছে যেমন ক্লাউডফ্লেয়ার এবং অনুরূপ সংস্থাগুলি যেখানে আপনি সেই কোম্পানির একটি জিআরই টানেলের মাধ্যমে বিজিপি সেটআপ করেন এবং আপনার ট্র্যাফিক তাদের "ক্লাউড" দ্বারা পরিচালিত হয় যা আপনার স্থানীয় ডিভাইসের তুলনায় অনেক বেশি ট্র্যাফিক পরিচালনা করতে পারে।

— ড্যানিয়েল দিব
সূত্র

0

আমি ক্লাউডফ্লেয়ারের জন্য কাজ করি, আমি গত কয়েক মাস ধরে এখানে এসেছি ডিডিওএস আক্রমণ প্রশমিত করার বিষয়ে যে জ্ঞান অর্জন করেছি সেগুলি ভাগ করে নিতে চাই।

প্রথমত; অ্যাপ্লিকেশন স্তর ডিডিওএস আক্রমণকে প্রশমিত করতে প্রচুর লোক নেটওয়ার্ক স্তরের ব্যবস্থা গ্রহণ করে। বিজিপি ব্ল্যাকহোলিংয়ে ডুব দেওয়ার আগে বিবেচনা করুন যে এটি কোনও হারের সীমাবদ্ধতা বা অ্যাপ্লিকেশন স্তর সুরক্ষা মোকাবেলা করতে পারে কিনা তা বিবেচনা করুন। বলেছিল; এখন খুব বড় ক্ষমতার ডিডিওএস আক্রমণ চালানো খুব সস্তা (মোট কতগুলি ওপেন ডিএনএস পুনরাবৃত্তকারী রয়েছে এবং তারা কীভাবে আক্রমণকে আরও বাড়িয়ে তুলতে পারে তা দেওয়া হয়েছে)।

এলিয়ট তার উত্তরে যেমন বর্ণনা করেছেন, আপনার নেটওয়ার্ক ছোট হলে বিজিপি সম্প্রদায়গুলি ট্র্যাফিক ব্ল্যাকহোল ব্যবহার করে ভাল কাজ করতে পারে; এই প্রক্রিয়াটি আরএফসি 3882 এ নথিভুক্ত করা হয়েছে । তবে, আমাদের মতো, আপনি যদি ব্ল্যাকহোলের পরিবর্তে আক্রমণটির ট্র্যাফিক গ্রহণ করতে চান (যেমন আপনি DDOS আক্রমণ সম্পর্কিত তথ্য সংগ্রহ করতে চান ), তবে মধ্যস্থতাকারী নেটওয়ার্ক সরবরাহকারীরা যানজটের শিকার হয়ে শেষ হয়ে যাওয়ার ক্ষতি থেকে সাবধান হন। আক্রমণগুলি চালাচ্ছে এমন নেটওয়ার্কগুলির আইএসপিগুলির সাথে সরাসরি লক্ষ্য করে আপনি সমান্তরাল ক্ষতির পরিমাণ হ্রাস করতে পারেন। এটি করে আপনার আক্রমণকারী থেকে গন্তব্য পর্যন্ত সবচেয়ে সংক্ষিপ্ত পথ রয়েছে। অতিরিক্তভাবে আপনি যেকোনকাস্ট নেটওয়ার্ক ডিজাইন বাস্তবায়ন করতে পারেন , এর কার্যকরভাবে অর্থ হবে একটি আইপি ঠিকানা একাধিক ডাটাসেন্টারকে হিট করে (যেটি নিকটবর্তী তার উপর নির্ভর করে)।

অবশ্যই প্রতিটি সংস্থার পক্ষে যেকোনকাস্ট এবং পিয়ারিংয়ের অবকাঠামো থাকা সম্ভব নয়; এজন্য ব্যবসায়গুলি তাদের ডেটা সেন্টারে পৌঁছানোর আগেই খারাপ ট্র্যাফিক সরিয়ে দেওয়ার জন্য ক্রমবর্ধমান ক্লাউড পরিষেবাদির দিকে ঝুঁকছে। প্রাকৃতিকভাবে ক্লাউডফ্লেয়ার হ'ল একটি পরিষেবা।

— mjsa
সূত্র

-1

আপনি যে সমস্ত প্রমাণ সংগ্রহ করেছেন তা যদি কোনও নির্দিষ্ট এএস থেকে উত্স আইপি অ্যাড্রেসযুক্ত প্যাকেটের বন্যা হয় তবে আপনি সম্ভবত ভুল সিদ্ধান্তে ঝাঁপিয়ে পড়েছেন। আরও সম্ভবত ব্যাখ্যাটি হ'ল সেই উত্সগুলির আইপিগুলি ছদ্মবেশী।

একটি প্রতিবিম্ব / পরিবর্ধনের আক্রমণে ভুক্তভোগীর উত্সের আইপি ঠিকানাটি ফাঁকি দিয়ে প্রচুর প্যাকেট প্রেরণ করা হয়। যদি প্রকৃতপক্ষে এটি ঘটছে এবং আপনার নেটওয়ার্কে সার্ভার রয়েছে যা আক্রমণটিকে প্রশস্ত করতে পারে তবে আপনি যে নেটওয়ার্কটিকে আক্রমণ করার জন্য দোষী করছেন এটি আসলে শিকার। এবং আপনি আক্রমণকারীকে সহায়তা করছেন।

এমন পরিস্থিতিতে সমাধানটি কোনও ধরণের ট্র্যাফিক ইঞ্জিনিয়ারিং প্রয়োগ করা নয়, বরং আপনার সার্ভারগুলি এমনভাবে কনফিগার করা যাতে সেগুলি পরিবর্ধক আক্রমণে ব্যবহার করা যায় না। এটি কীভাবে করা যায় এটি কোনও নেটওয়ার্ক ইঞ্জিনিয়ারিং প্রশ্ন নয়।

এটি অবশ্যই সম্ভব, সমস্ত প্যাকেটগুলি একটি এএস থেকে উদ্ভূত হয়। আপত্তিজনক এএসের সহযোগিতা নিয়ে আপনি নিশ্চিত হয়ে উঠতে পারেন, প্যাকেটগুলি আসলে তাদের এএস থেকেই হয়। তবে সেই স্তরের সহযোগিতা সহ, আপনি উত্স থেকে আক্রমণটিকে অবরুদ্ধও করতে পারেন।

যদি আমরা ধরে নিই যে কোনও পদ্ধতিতে আপনার কাছে রয়েছে তবে আমি নিশ্চিত হয়েছি যে প্যাকেটগুলি সত্যই আপনার মনে হয় এএস থেকে উত্পন্ন হয়েছে এবং আপনি এটি উত্সটিতে অবরুদ্ধ করতে পারবেন না এবং পরিবর্তে এটি বিজিপি এর মাধ্যমে ব্লক করতে চান, তবে আমি এটি অর্জনের জন্য কিছুটা ঝুঁকিপূর্ণ পদ্ধতি সম্পর্কে পড়েছেন। ধারণাটি হ'ল যে আপনি যে রুটটি ঘোষণা করছেন তার পথে আপনি কোনও AS পথ প্রস্তুত করেন। এই প্রিপেন্ডেড এএস পথে আপনি এই প্যাকেটের উত্সের AS নম্বর অন্তর্ভুক্ত করবেন।

আপত্তিজনক এএসতে যখন ঘোষণাটি বিজিপি রাউটারগুলিতে পৌঁছে, তারা একটি লুপ সনাক্ত করতে এবং ঘোষণাটি ড্রপ করতে চলেছে। ইতিমধ্যে বিশ্বের বাকিরা কোনও লুপ দেখতে পাবে না এবং ঘোষণাটি গ্রহণ করবে না।

এটাই তত্ত্ব। এটি বাস্তবে অনুশীলনে কাজ করবে কিনা তা নির্ভর করে কয়েকটি ভিন্ন কারণের উপর। উদাহরণস্বরূপ, এটি প্যাকেটগুলি যে-এএস নম্বর থেকে উদ্ভূত হয়েছিল তা ব্যবহার করার উপর নির্ভর করে, যা এই আইপি ঠিকানাগুলি ঘোষণা করে AS নম্বর থেকে আলাদা হতে পারে। (এই ধরনের পার্থক্য বৈধ বা স্পোফিংয়ের কারণে হতে পারে))

এটি আপনার উজানের উপর নির্ভর করে যে তারা যদি পথটিকে সন্দেহজনক বলে মনে করে তবে রুটটি ফিল্টার না করছে। আপনার থেকে আরও দূরে থাকা নেটওয়ার্কগুলিও আপনার রুটটিকে উদাহরণস্বরূপ ছেড়ে দিতে পারে উদাহরণস্বরূপ যদি তাদের আপত্তিজনক AS এর সাথে খারাপ অভিজ্ঞতা হয় এবং সেখান থেকে সমস্ত রুট ফেলে দেওয়ার সিদ্ধান্ত নিয়েছে।

এই পদ্ধতির ঝুঁকিটি মূল্যবান কিনা এটি আপনার কল।

(আমি যদি আবার এটির সন্ধান করতে পারি তবে আমি এই পদ্ধতির উত্সের সাথে লিঙ্ক করব))

— kasperd
সূত্র

2

এটি করা খুব বিপজ্জনক জিনিস। আপনি নিজের মালিকানাধীন নয় এমন পথে আপনারা অন্য একজন এএসকে ফাঁকি দিচ্ছেন। এছাড়াও যদি অন্য লোকেরা সেই এএস থেকে রুটগুলি ফেলে দেয় তবে তারা আপনার রুটগুলিও বাদ দেবে।

— সেবাস্তিয়ান উইজিংগার

1

@ সেবাস্তিয়ান সত্য, সেই ঝুঁকিটিও রয়েছে। তবে বিকল্পটি যদি এমন কোনও নেটওয়ার্ক হয় যা ট্র্যাফিকের বন্যার কারণে অ্যাক্সেসযোগ্য না হয় তবে এটি ঝুঁকির পক্ষে উপযুক্ত।

— কাস্পার্ড

এটি খুব খারাপ ধারণা বলে মনে হচ্ছে, আমি এর আগে কখনও শুনিনি। এটি একটি সম্পূর্ণ এএসএন এর সংযোগ বিচ্ছিন্ন করে যখন একটি বোটনেট নোড রয়েছে, যা আপনি যেমন বড় ক্লাউডপ্রোভাইডারগুলির জন্য চান তা নয়। এছাড়াও, এটি DDoS'es এর সাথে খারাপভাবে স্কেল করে যেখানে হাজার হাজার বটনেট নোড আপনার নেটওয়ার্কে কিছু আক্রমণ করে।

— টিউন ভিঙ্ক

1

@ টিউনভিঙ্ক এটি সাধারণত কোনও ডিডিওএস আক্রমণে প্রযোজ্য নয়। তবে ওপি একটি সাধারণ ডিডোএস আক্রমণ সম্পর্কে জিজ্ঞাসা করছে না। তিনি এমন আক্রমণ সম্পর্কে জিজ্ঞাসা করছেন যেখানে সমস্ত ট্রাফিক এক এএস থেকে শুরু হয়। কোনও এএস-এর সাথে কানেকটিভিটি ভাঙা গ্রহণযোগ্য হবে, যদি বিকল্পটি পুরো ইন্টারনেটের সাথে একটি আক্রমণাত্মক সংযোগ স্থাপন করত।

— কাস্পার্ড

-2

আপনি তাদের স্থানীয় নেটওয়ার্ক থেকে তাদের এএসকে ব্ল্যাকহোল করতে পারেন, সুতরাং আপনার বিজিপি রাউটার তারা ঘোষণা করা কোনও উপসর্গের জন্য নালাগুলি তৈরি করে।

প্রো:

আপনার এএস তাদের কাছে মৃত দেখাবে, যা তাদের লক্ষ্য, আপনি এখনও অন্য সবার সাথে ডেটা বিনিময় করেন।
আপনার স্থানীয় ইনগ্রেশন ফিল্টারিং সেই AS থেকে স্বয়ংক্রিয়ভাবে আগত প্যাকেটগুলি নামিয়ে দেবে

বিরূদ্ধে:

তারা আপনার রাউটারে ব্ল্যাকহোল রুট তৈরি করতে পারে, তাই আপনার অত্যন্ত গুরুত্বপূর্ণ রুটগুলি অক্ষত রাখতে যথাযথ নিয়মগুলি নিশ্চিত করার বিষয়ে নিশ্চিত হন

— সাইমন রিখটার
সূত্র

1

পুরো এএসকে ব্ল্যাকহোলিং করার অর্থ আপনি নিজেরাই ডসিং আপ করুন। সেই এএস-তে আর কেউ আপনার কাছে পৌঁছাতে পারে না। আপনার গ্রাহকরাও এএস এ থাকতে পারে।

— রন ট্রাঙ্ক

1

আমি এখানে একটি শত্রু AS হিসাবে ধরে নিচ্ছি, অর্থাত্ যদি আপনি এগুলি সম্পূর্ণরূপে অবরুদ্ধ করেন তবে মানটির মূল্য নষ্ট হয়ে যায়। আমি এই বিভাগে ফাইল করব এমন কয়েকটি "বুলেটপ্রুফ হোস্টিং" পরিষেবা রয়েছে।

— সাইমন রিখটার

1

বেশিরভাগ এএসএনগুলি সম্পূর্ণ বৈরী বা বন্ধুত্বপূর্ণ নয়, কেবল কিছু হোস্ট থাকে যা বোটনেটের অংশ net এছাড়াও, এই পদ্ধতিটি আপনার প্রবাহের লিঙ্কগুলিকে প্লাবিত হতে বাধা দেয় না, সুতরাং এটি আপনাকে ভলিউম ভিত্তিক ডিডোএস-আক্রমণ বন্ধ করতে সহায়তা করবে না।

— টিউন ভিঙ্ক