Agora que você já sabe que é uma blackhole BGP (se caso ainda não saiba, confira nosso artigo sobre RTBH – Blackhole). Agora é hora de configurar ela em e conseguir se proteger dos ataques DDoS.

Para resumir a Blackhole, é uma técnica de enviar uma rota para o “buraco negro” ou simplesmente fazer o roteador descartar os pacotes direcionados a esse IP. Com a blackhole você também pode anunciar para seus fornecedores/upstreams esses IPs atacados e assim conseguir cessar os ataques.

Agora que já sei o que é, agora vem a pergunta como fazer blackhole no meu roteador? No artigo de hoje vamos mostrar como configurar a Blackhole em Roteadores Huawei.


Para fazer a Blackhole de forma manual temos alguns passos que são:

  1. Identificar o IP atacado
  2. Criar a rota para blackhole
  3. Anunciar essa rota em blackhole via BGP para suas operadoras/upstreams

Você pode automatizar tudo isso com o Made4Flow, já fechando uma sessão direta e não precisando fazer o trabalho manual.

Se quiser saber como automatizar tudo com o Made4Flow confira esse nosso próximo artigo.

Vamos lá então para as configurações

1 – Identificar o IP atacado

Você pode fazer isso através de análise de Netflow, com o Made4Flow, através dos gráficos e identificar pelo do Relatório de Dados Bruto, qual o IP tem um maior tráfego e possivelmente sendo a vítima do ataque.

Dentro do Made4Flow, acesse por exemplo o Gráfico de Interface por Aplicação e depois e clicando em cima da porta com mais uso você, pode identificar qual IP está sendo atacado.

Ou através do Made4Flow, de forma simples acessando o módulo Anti-DDoS -> Anomalias Ativas

O IP atacado foi o: 200.189.56.55 (Exemplo)

2) Criar uma rota para blackhole ou Null0

Após identificar o IP atacado via Made4Flow agora é hora de criar a rota em seu Roteador Huawei para efetivamente jogar o IP para Blackhole.

Vamos supor que o IP atacado seja o 200.200.200.1, vamos criar a rota da seguinte maneira

Comandos aplicados:

system-view
ip route-static 200.200.200.1 32 null 0

Após aplicar a rota apontando para Null0 esse IP irá PARAR DE FUNCIONAR!

Você pode checar a rota usando o comando de display:

Se a rota estiver com a interface Null0, você já está enviando-a para Blackhole.

3 – Anunciar o IP em blackhole via BGP para suas operadoras/upstreams

Após identificar e colocar em blackhole a rota você precisa anunciar via BGP para suas operadoras/upstreams.

Antes da configuração é sempre recomendado falar com sua Operadora/Upstream para saber qual a community BGP de Blackhole.

A sessão BGP com sua operadora precisa estar estabelecida!

Para isso, temos alguns passos:

  1. Criar a Network dentro do BGP

Para criar você deve acessar o BGP e criar com o comando network

Comandos:

System-view
bgp 65000
network 200.200.200.1 32

  1. Configurar um prefix-list / ip-prefix com o IP atacado

Para configurar uma route-policy de maneira simples para enviar um IP, você deve criar uma ip-prefix para utilizar dentro da Route-policy

Em nosso exemplo, onde o IP 200.200.200.1/32 é atacado, usaremos o seguinte comando:

Comando: ip ip-prefix IP-ATACADO permit 200.200.200.1 32

  1. Configurar sua Route-Policy para enviar o anúncio do IP atacado

Antes de configurar a route-policy, você identificar em qual node (sequência) ele irá ficar. Você deve colocar ele em uma posição que não tenha um deny antes, como sugestão recomendo-o colocar como primeiro na route-policy.

Para identificar o nome correto, olhe sua route-policy e avalie o número, através do comando:

Comando: display current-configuration configuration route-policy OPERADORA-XPTO-OUT

Em nosso caso irá ser o node com um número menor que 1000 para ficar antes de outras configurações. Foi feita a seguinte configuração:

Comandos:

route-policy OPERADORA-XPTO-OUT permit node 100
if-match ip-prefix IP-ATACADO
apply community 666:666

Os comandos if-match fazem o roteador Huawei verificar a ip-prefix assim dizendo que somente os IP’s dentro da prefix list serão anunciados via BGP. No comando apply community está dizendo para aplicar a community BGP para os IP’s que casaram na ip-prefix.

Nossa operadora XPTO usa a community BGP 666:666 para enviar o tráfego para Blackhole

Dica: Fale com a sua operadora para saber qual community BGP de blackhole ela usa!

Feito isso, o IP irá ficar em blackhole e anunciado para sua operadora, o ataque irá cessar caso ele for para este único IP.

A configuração completa ficou da seguinte forma:

bgp 65000
#
ipv4-family unicast
undo synchronization
network 200.200.200.0 255.255.252.0
network 200.200.200.1 255.255.255.255
#
route-policy OPERADORA-XPTO-OUT permit node 100
if-match ip-prefix IP-ATACADO
apply community 666:666
#
route-policy OPERADORA-XPTO-OUT permit node 1000
 if-match ip-prefix MEU-BLOCO
#
route-policy OPERADORA-XPTO-OUT deny node 50000
#
ip ip-prefix MEU-BLOCO index 10 permit 200.200.200.0 22
ip ip-prefix IP-ATACADO index 10 permit 200.200.200.1 32
#
ip route-static 200.200.200.0 255.255.252.0 NULL0
ip route-static 200.200.200.1 255.255.255.255 NULL0

Automatizando com o Made4Flow

Com o Made4Flow é possível automatizar o processo de anúncio para blackhole de IP’s atacados.

Para isso precisamos:

  • Configurar a sessão BGP entre Roteador de Borda e o Made4Flow

Para configurar a sessão BGP entre o Roteador e Made4Flow, você precisa criar uma route-policy e depois a sessão BGP

Para configurar a route-policy:


Comando: route-policy MADE4FLOW-IN permit node 1000

            apply ip-address next-hop 192.168.66.66

Neste caso é necessário adicionar o Next-hop manualmente no roteador.

Dentro do Made4Flow, você já pode anunciar com a community BGP e Next-hop correto se preferir.

  • Configurar o Made4Flow para enviar via Ações

Dentro do Módulo de Anti-DDoS, você pode acessar o menu: Ações e Respostas e configurar a resposta para enviar a Blackhole com a community BGP correta:

  • Configurar o Roteador para enviar para Operadoras

Para configurar para enviar para as operadoras/upstreams você precisa configurar para que a community BGP seja identificada no if-match da Route-policy de saída.

Para isso precisamos configurar um ip community-filter

Próximo passo é configurar na Route-policy da sua operadora/upstream, como no envio da blackhole, mas agora casando com a community no if-match, como em nossa configuração:

Para checar se você está enviando o anúncio para operadora use os comandos:

Checar se você recebe do Made4Flow

Comando: display bgp routing-table peer 192.168.120.2 received-routes

E se está enviando para a operadora:

Comando: display bgp routing-table peer 192.168.100.1 advertised-route

Feita essas configurações, está pronta a automatização do Made4Flow, ao receber um ataque o Made4Flow já pode enviar essa rota para Blackhole.

Para facilitar, temos o vídeo abaixo, mostrando na prática como configurar o Roteador Huawei com Blackhole.

Se tiver dúvidas não deixe de falar conosco pelo WhatsApp, Redes Sociais ou E-mail

Até a próxima!