mpls解决bgp路由黑洞

2020-05-13 18:25:40 云杰通信 108

mpls解决bgp路由黑洞

  BGP黑洞过滤是一种用于丢弃不需要的流量的路由技术。黑洞被放置在网络中应丢弃不必要流量的部分。例如,客户可以要求提供商在其提供商边缘(PE)路由器上安装黑洞,以防止不必要的流量进入客户的网络。

  分布式拒绝服务(DDoS)攻击通常有意产生从许多不同来源泛滥的网络和计算机的有害流量。DDoS攻击的目标是耗尽远程目标的资源(CPU,RAM,带宽),以便合法用户无法使用该服务。DDoS攻击的典型症状是目标网络上的带宽利用率过高以及受害者计算机上的服务崩溃。

  应将DDoS流量塞到最靠近攻击源的地方(被丢弃)。Blackholing基于源IP地址或目标IP地址。基于目标IP地址的远程黑洞过滤是一种常用的技术。ISP使用指向其PE路由器上的空接口(例如192.0.2.1/32)的未使用前缀来设置永久静态路由。ISP与构建触发器机器一起预先安装是一项预防措施。触发计算机是运行BGP守护程序的路由器或Unix计算机,它是ISP基础结构的一部分。它已经与PE路由器建立了内部BGP(iBGP)会话。

  随后,一旦DDoS攻击完成,客户需要发送一封电子邮件,要求删除静态的空路由。尽管此方法已被证明有效,但它在缓解攻击的过程中插入了时间延迟。幸运的是,还有另一种使用Blackhole社区自动进行基于目的地的远程黑洞处理的方法,它使客户可以更好地控制黑洞前缀。

  BGP黑洞传递社区是RFC 7999中定义的著名BGP社区之一。在DDoS攻击期间,BGP黑洞社区由源自治系统(AS)附加到已声明的前缀。它的目的包括向邻居网络发信号,通知邻居路由器应使用附加的BGP黑洞社区丢弃发往接收前缀的所有流量。使用这种方法,客户可以通过远程ISP路由器触发目标前缀的黑洞,从而为其客户边缘路由器添加简单的配置。换句话说,黑洞可以由DDoS攻击期间不需要与ISP合作的客户随时启动。但是,根据RFC,接受或忽略黑洞社区是每个运营商做出的选择。这就是为什么接受黑洞社区必须在广告之前得到两个网络的同意。