Agora que você já sabe que é uma blackhole BGP (se caso ainda não saiba, confira nosso artigo sobre RTBH – Blackhole). Agora é hora de configurar ela em e conseguir se proteger dos ataques DDoS.
Para resumir a Blackhole, é uma técnica de enviar uma rota para o “buraco negro” ou simplesmente fazer o roteador descartar os pacotes direcionados a esse IP. Com a blackhole você também pode anunciar para seus fornecedores/upstreams esses IPs atacados e assim conseguir cessar os ataques.
Agora que já sei o que é, agora vem a pergunta como fazer blackhole no meu roteador? No artigo de hoje vamos mostrar como configurar a Blackhole em Roteadores Huawei.
Para fazer a Blackhole de forma manual temos alguns passos que são:
- Identificar o IP atacado
- Criar a rota para blackhole
- Anunciar essa rota em blackhole via BGP para suas operadoras/upstreams
Você pode automatizar tudo isso com o Made4Flow, já fechando uma sessão direta e não precisando fazer o trabalho manual.
Se quiser saber como automatizar tudo com o Made4Flow confira esse nosso próximo artigo.
Vamos lá então para as configurações
1 – Identificar o IP atacado
Você pode fazer isso através de análise de Netflow, com o Made4Flow, através dos gráficos e identificar pelo do Relatório de Dados Bruto, qual o IP tem um maior tráfego e possivelmente sendo a vítima do ataque.
Dentro do Made4Flow, acesse por exemplo o Gráfico de Interface por Aplicação e depois e clicando em cima da porta com mais uso você, pode identificar qual IP está sendo atacado.
Ou através do Made4Flow, de forma simples acessando o módulo Anti-DDoS -> Anomalias Ativas
O IP atacado foi o: 200.189.56.55 (Exemplo)
2) Criar uma rota para blackhole ou Null0
Após identificar o IP atacado via Made4Flow agora é hora de criar a rota em seu Roteador Huawei para efetivamente jogar o IP para Blackhole.
Vamos supor que o IP atacado seja o 200.200.200.1, vamos criar a rota da seguinte maneira
Comandos aplicados:
system-view
ip route-static 200.200.200.1 32 null 0
Após aplicar a rota apontando para Null0 esse IP irá PARAR DE FUNCIONAR!
Você pode checar a rota usando o comando de display:
Se a rota estiver com a interface Null0, você já está enviando-a para Blackhole.
3 – Anunciar o IP em blackhole via BGP para suas operadoras/upstreams
Após identificar e colocar em blackhole a rota você precisa anunciar via BGP para suas operadoras/upstreams.
Antes da configuração é sempre recomendado falar com sua Operadora/Upstream para saber qual a community BGP de Blackhole.
A sessão BGP com sua operadora precisa estar estabelecida!
Para isso, temos alguns passos:
- Criar a Network dentro do BGP
Para criar você deve acessar o BGP e criar com o comando network
Comandos:
System-view
bgp 65000
network 200.200.200.1 32
- Configurar um prefix-list / ip-prefix com o IP atacado
Para configurar uma route-policy de maneira simples para enviar um IP, você deve criar uma ip-prefix para utilizar dentro da Route-policy
Em nosso exemplo, onde o IP 200.200.200.1/32 é atacado, usaremos o seguinte comando:
Comando: ip ip-prefix IP-ATACADO permit 200.200.200.1 32
- Configurar sua Route-Policy para enviar o anúncio do IP atacado
Antes de configurar a route-policy, você identificar em qual node (sequência) ele irá ficar. Você deve colocar ele em uma posição que não tenha um deny antes, como sugestão recomendo-o colocar como primeiro na route-policy.
Para identificar o nome correto, olhe sua route-policy e avalie o número, através do comando:
Comando: display current-configuration configuration route-policy OPERADORA-XPTO-OUT
Em nosso caso irá ser o node com um número menor que 1000 para ficar antes de outras configurações. Foi feita a seguinte configuração:
Comandos:
route-policy OPERADORA-XPTO-OUT permit node 100
if-match ip-prefix IP-ATACADO
apply community 666:666
Os comandos if-match fazem o roteador Huawei verificar a ip-prefix assim dizendo que somente os IP’s dentro da prefix list serão anunciados via BGP. No comando apply community está dizendo para aplicar a community BGP para os IP’s que casaram na ip-prefix.
Nossa operadora XPTO usa a community BGP 666:666 para enviar o tráfego para Blackhole
Dica: Fale com a sua operadora para saber qual community BGP de blackhole ela usa!
Feito isso, o IP irá ficar em blackhole e anunciado para sua operadora, o ataque irá cessar caso ele for para este único IP.
A configuração completa ficou da seguinte forma:
bgp 65000
#
ipv4-family unicast
undo synchronization
network 200.200.200.0 255.255.252.0
network 200.200.200.1 255.255.255.255
#
route-policy OPERADORA-XPTO-OUT permit node 100
if-match ip-prefix IP-ATACADO
apply community 666:666
#
route-policy OPERADORA-XPTO-OUT permit node 1000
if-match ip-prefix MEU-BLOCO
#
route-policy OPERADORA-XPTO-OUT deny node 50000
#
ip ip-prefix MEU-BLOCO index 10 permit 200.200.200.0 22
ip ip-prefix IP-ATACADO index 10 permit 200.200.200.1 32
#
ip route-static 200.200.200.0 255.255.252.0 NULL0
ip route-static 200.200.200.1 255.255.255.255 NULL0
Automatizando com o Made4Flow
Com o Made4Flow é possível automatizar o processo de anúncio para blackhole de IP’s atacados.
Para isso precisamos:
- Configurar a sessão BGP entre Roteador de Borda e o Made4Flow
Para configurar a sessão BGP entre o Roteador e Made4Flow, você precisa criar uma route-policy e depois a sessão BGP
Para configurar a route-policy:
Comando: route-policy MADE4FLOW-IN permit node 1000
apply ip-address next-hop 192.168.66.66
Neste caso é necessário adicionar o Next-hop manualmente no roteador.
Dentro do Made4Flow, você já pode anunciar com a community BGP e Next-hop correto se preferir.
- Configurar o Made4Flow para enviar via Ações
Dentro do Módulo de Anti-DDoS, você pode acessar o menu: Ações e Respostas e configurar a resposta para enviar a Blackhole com a community BGP correta:
- Configurar o Roteador para enviar para Operadoras
Para configurar para enviar para as operadoras/upstreams você precisa configurar para que a community BGP seja identificada no if-match da Route-policy de saída.
Para isso precisamos configurar um ip community-filter
Próximo passo é configurar na Route-policy da sua operadora/upstream, como no envio da blackhole, mas agora casando com a community no if-match, como em nossa configuração:
Para checar se você está enviando o anúncio para operadora use os comandos:
Checar se você recebe do Made4Flow
Comando: display bgp routing-table peer 192.168.120.2 received-routes
E se está enviando para a operadora:
Comando: display bgp routing-table peer 192.168.100.1 advertised-route
Feita essas configurações, está pronta a automatização do Made4Flow, ao receber um ataque o Made4Flow já pode enviar essa rota para Blackhole.
Para facilitar, temos o vídeo abaixo, mostrando na prática como configurar o Roteador Huawei com Blackhole.
Se tiver dúvidas não deixe de falar conosco pelo WhatsApp, Redes Sociais ou E-mail
Até a próxima!
