2. Расширенный метод активизации «черных дыр» с помощью BGP
В этом документе описан метод, позволяющий проинструктировать выбранный набор маршрутизаторов о необходимости изменения адреса следующего интервала (next hop) для определенного префикса путем использования протокола BGP. В качестве следующего интервала может использоваться null-интерфейс или интерфейс рассмотренной ниже «сливной трубы». Метод не использует списков доступа или средств ограничения трафика для трактовки связанного с атакой трафика, а также не включает изменения адреса следующего интервала для всей сети. Значение next hop будет изменяться только на выбранных маршрутизаторах вспомогательной группы BGP в целевой/атакуемой AS.
Для подготовки сети к использованию этого метода оператору нужно определить уникальную группу (community) для каждого граничного маршрутизатора AS, который может использоваться для доставки в сеть связанного с атакой трафика. Например, сеть с номером автономной системы BGP 65001 имеет два граничных маршрутизатора R1 и R2. Группа 65001:1 создается для идентификации маршрутизатора R1, группа 65001:2 — для R2, а группа 65001:666 используется для идентификации обоих маршрутизаторов.
После определения групп BGP маршрутизаторы R1 и R2 нужно настроить, как показано ниже:
Создать статический маршрут, указывающий на сеть RFC 1918 для null-интерфейса.
Создать список управления доступом для AS-Path, которому соответствует анонс локального префикса BGP.
Создать список управления доступом для BGP community, которому соответствует значение группы, выделенное оператором для соответствующего маршрутизатора (например, 65001:1 для маршрутизатора R1).
Создать список управления доступом для BGP community, которому соответствует значение группы, выделенное оператором для всех маршрутизаторов (т. е., 65001:666 для R1 и R2).
В BGP следует применять политику импорта маршрутов iBGP к получаемым анонсам iBGP для реализации показанной ниже логики (должны выполняться все приведенные ниже условия — AND)
Правило, разрешающее маршруты, соответствующие перечисленным ниже критериям, и вносящее указанные изменения.
- Проверить соответствие группе (community) указанной для данного маршрутизатора (т. е., 65001:1 для R1).
- Проверить соответствие AS-Path для локально сгенерированных анонсов BGP.
- Установить для BGP next hop сеть RFC 1918.
- Заменить значение BGP на общепринятую (well-known) группу no-advertise.
Правило, разрешающее маршруты, соответствующие перечисленным ниже критериям, и вносящее указанные изменения.
- Проверить соответствие группе, включающей все маршруты (т. е., 65001:666).
- Проверить соответствие AS-Path для локально сгенерированных анонсов BGP.
- Установить для BGP next hop сеть RFC 1918.
- Заменить значение BGP на общепринятую группу no-advertise.