Blackhole BGP – Mikrotik
Como configurar um blackhole BGP em Mikrotik
Blackhole BGP – Huawei (Huawei NE20, Huawei NE40, Huawei NE8000/NE8k)
Como configurar um Blackhole BGP em Huawei (Huawei NE20, Huawei NE40, Huawei NE8000/NE8k)
Control selectivo de ancho de banda en el enrutador Huawei
Hola, mi nombre es Gabriel Henrique, soy analista de redes aquí en Made4IT y hoy les mostraré cómo configurar el control de ancho de banda selectivo en los usuarios de la capa de acceso en los enrutadores de la línea NE de Huawei. El control selectivo de ancho de banda abre la posibilidad de nuevos productos o la mejora, incremento o “encanto” en la entrega del servicio al usuario final, siendo un diferencial muy interesante, principalmente para los ISP que cuentan con un CDN local. Pero, después de todo, ¿qué es el control selectivo del ancho de banda? Normalmente, en implementaciones de BNGs/BRAS/PPPoE Server, tenemos como lugar común un control de ancho de banda global (desde el punto de vista del usuario) cuyo contenido está limitado por el valor del plan contratado. En el control selectivo de ancho de banda, tenemos la posibilidad de vincular diferentes bandas a diferentes servicios, donde puedes, por ejemplo, vincular un control de ancho de banda de valor “X” para el contenido de tu CDN local, “y” para el tráfico interno a tu red y ” z” cuando el origen o destino del tráfico es externo (enlaces, tránsitos, Peering, IX/PTT, PNI, transportes…), podemos decir que hacemos QoS selectiva o que controlamos específicamente cuánto ancho de banda por contenido o También se podría decir que podemos quitarle el control de ancho de banda a CDN o PBR selectivo. De todos modos, basta de hablar, vayamos a la parte divertida 🙂 En nuestro escenario de prueba, tenemos: – Cliente con plan 100Mbps – Necesidad de liberar hasta 500 Mbps cuando el origen/destino son CDN locales – Necesidad de mantener 100 Mbps cuando el origen/destino no son CDN locales– CDN locales direccionados con 192.0.2.0/24 y 2001:DB8::/64 Requisitos previos: – ERP/Radius con soporte AVP “Huawei-Policy-Name”– Dominio de autenticación de cliente con un “grupo de usuarios” declarado (si no sabe qué es un grupo de usuarios, permanezca atento al blog de Made, que pronto tendrá una publicación sobre Firewall que explicará exactamente de qué se trata;) Paso 1: Configure, en la vista del sistema, los parámetros Radius necesarios y active la función “Servicio de valor agregado” en el enrutador. Paso 2: en el grupo Radius utilizado para la autenticación, habilite el soporte de contabilidad de servicio de valor agregado Paso 3: Configure las ACL de acceso que delimitan el tráfico CDN y el tráfico general Paso 4: configurar “clasificadores” para clasificar el tráfico de las ACL Paso 5: Configurar los “comportamientos” que usaremos para identificar cada uno de los clasificadores Paso 6: Configure la política de tráfico que se vinculará globalmente, que contenga el clasificador y el comportamiento previamente configurados, efectuando la clasificación diferenciada de los flujos. Paso 7: Aplicar la política de tráfico globalmente. Paso 8: Configurar los qos-profiles que delimitarán el ancho de banda de los respectivos contenidos Paso 9: Configure la política que controlará el ancho de banda del cliente Listo. Ahora, el ERP/Radius solo necesita entregar el AVP Huawei-Policy-Name:= 100m al cliente, y el cliente tendrá control de ancho de banda limitando hasta 500Mbps cuando el origen/destino son los CDN locales, y hasta 100Mbps para los otros orígenes/destinos. ¡Recordando que si el ERP/Radius entrega el Huawei-Input-Average-Rate, el BRAS/BNG lo usará preferencialmente y no aplicará el nombre de la Política! La política de tráfico permite hasta 8 “niveles de tarifas” donde puede clasificar su tráfico en hasta 8 tipos de servicio y aplicar diferentes controles de ancho de banda para cada uno de ellos. En el caso del ejemplo, si desea configurar el control de ancho de banda diferenciado para otros planes, simplemente cree nuevos “qos-profile” y “value-added-service policy” con los valores que desea aplicar, ya que el CDN y general el tráfico ya está clasificado en diferentes “niveles de tarifas”. Eso es todo, hasta la próxima 🙂
Controle de banda Seletivo no Roteador Huawei
Olá, meu nome é Gabriel Henrique, sou analista de redes aqui na Made4IT e hoje vou mostrar para vocês como configurar o controle de banda seletivo em usuários de camada de acesso nos roteadores da linha NE da Huawei. O controle de banda seletivo abre a possibilidade de novos produtos ou a melhora, incremento ou “charme” na entrega do serviço ao usuário final sendo um diferencial muito interessante, principalmente para ISPs que possuem CDN local. Mas, afinal, do que se trata o controle de banda seletivo ? Normalmente, nas implementações de BNGs/BRAS/PPPoE Server, temos como corriqueiro um controle de banda global (do ponto de vista do usuário) do qual todo e qualquer conteúdo é limitado pelo valor do plano contratado. No controle de banda seletivo, temos a possibilidade de atrelar diferentes bandas para diferentes serviços, aonde você pode por exemplo atrelar um controle de banda de valor “X” para o seu conteúdo local de CDN, “y” para o tráfego interno a sua rede e “z” quando a origem ou destino do tráfego é externo (links, transitos, Peering, IX/PTT, PNI, transportes…), podemos dizer que fazemos o QoS seletivo ou que controlamos especificamente quanto de banda por conteúdo ou também poderia ser dito que podemos tirar o controle de banda do CDN ou PBR seletivo. Enfim, chega de conversa, vamos para a parte mais legal 🙂 No nosso cenário de testes, temos: – Cliente com plano de 100Mbps – Necessidade de liberar até 500Mbps quando origem/destino for CDNs locais – Necessidade de manter 100Mbps quando origem/destino não forem CDNs Locais– CDNs locais endereçados com 192.0.2.0/24 e 2001:DB8::/64 Pré requisitos: – ERP/Radius com suporte ao AVP “Huawei-Policy-Name”– Domain de autenticação dos clientes com um “user-group” declarado (Se não sabe o que é user-group, fique ligado no blog da Made que logo logo tem um post sobre Firewall que vai explicar exatamente do que se trata 😉 Passo 1: Configurar, no system-view, os parâmetros de Radius necessários e ativar a função de “Value Added Service” no roteador. Passo 2: No Radius-group usado para autenticação, ativar o suporte a accounting do value-added-service Passo 3: Configurar as ACLs de acesso delimitando o tráfego de CDN e o tráfego geral Passo 4: Configurar os “classifiers” para classificar o tráfego das ACLs Passo 5: Configurar os “behaviors” que vamos usar para identificar cada um dos classifiers Passo 6: Configurar a traffic-policy que será atrelada globalmente, contendo o classifier e behavior configurados anteriormente, efetivando a classificação diferenciada dos fluxos Passo 7: Aplicar a traffic-policy globalmente. Passo 8: Configurar os qos-profiles que vão delimitar a banda dos respectivos conteúdos Passo 9:Configurar a policy que irá controlar a banda do cliente Pronto. Agora, basta o ERP/Radius entregar para o cliente o AVP Huawei-Policy-Name := 100m que, o cliente terá o controle de banda limitando até 500Mbps quando a origem/destino forem os CDNs locais, e até 100Mbps para as demais origens/destinos. Lembrando que se o ERP/Radius entregar o Huawei-Input-Average-Rate, o BRAS/BNG irá usa-lo preferencialmente e não ira aplicar o Policy name! A traffic-policy permite até 8 “tariff-levels” aonde você pode classificar seu tráfego em até 8 tipos de serviço e aplicar diferentes controles de banda para cada um deles. No caso de exemplo, caso queira configurar o controle de banda diferenciado para outros planos, basta criar novos “qos-profile” e “value-added-service policy” com os valores que deseja aplicar, pois o tráfego de CDN e geral já esta classificado em “tariff-levels” distintos. É isso aí, até a próxima 🙂
Selective Bandwidth Control in Huawei Router
Hello, my name is Gabriel Henrique, I am a network analyst here at Made4IT and today I will show you how to configure selective bandwidth control on access layer users on Huawei’s NE line routers. Selective bandwidth control opens up the possibility of new products or the improvement, increment or “charm” in the delivery of the service to the end user being a very interesting differential, especially for ISPs that have local CDN. But, after all, what is selective band control all about? Normally, in BNGs/BRAS/PPPoE Server implementations, it is commonplace to have a global bandwidth control (from the user’s point of view) of which any and all content is limited by the value of the contracted plan. In selective bandwidth control, we have the possibility of assigning different bands to different services, where you can for example assign a bandwidth control value of “X” for your local CDN content, “y” for internal traffic to your network and “z” when the source or destination of traffic is external (links, transits, Peering, IX/PTT, PNI, transports…), we can say that we do selective QoS or that we specifically control how much bandwidth per content or it could also be said that we can take bandwidth control away from selective CDN or PBR. Anyway, enough talk, let’s get to the cool part 🙂 In our test scenario, we have: – Customer with 100Mbps plan – Need to free up to 500Mbps when source/destination is local CDNs – Need to maintain 100Mbps when source/destination are not Local CDNs– Local CDNs addressed with 192.0.2.0/24 and 2001:DB8::/64 Pre-requisites: – ERP/Radius with AVP support “Huawei-Policy-Name– Domain of authenticating clients with a declared “user-group” (If you don’t know what user-group is, stay tuned to Made’s blog and soon there will be a post about Firewall that will explain exactly what it is about 😉 Step 1: Configure, in system-view, the necessary Radius parameters and activate the “Value Added Service” function in the router. Step 2: In the Radius-group used for authentication, enable value-added-service accounting support Step 3: Configure access ACLs delimiting CDN traffic and general traffic Step 4: Configure “classifiers” to classify traffic from ACLs Step 5: Configure the behaviors we will use to identify each of the classifiers Step 6: Configure the traffic-policy that will be globally linked, containing the classifier and behavior previously configured, effecting the differentiated classification of flows Step 7: Apply the traffic-policy globally. Step 8: Configure the qos-profiles that will delimit the band of the respective contents Step 9:Configure the policy that will control the client’s bandwidth There. Now, all the ERP/Radius has to do is deliver to the client the AVP Huawei-Policy-Name := 100m, which, the client will have bandwidth control limiting up to 500Mbps when the source/destination is the local CDNs, and up to 100Mbps for all other sources/destinations. Remember that if ERP/Radius delivers the Huawei-Input-Average-Rate, BRAS/BNG will use it preferentially and will not apply the Policy name! The traffic-policy allows up to 8 “tariff-levels” where you can classify your traffic into up to 8 service types and apply different bandwidth controls for each of them. In the example case, if you want to configure differentiated bandwidth control for other plans, just create a new “qos-profile” and “value-added-service policy” with the values you want to apply, since the CDN and general traffic is already classified in distinct “tariff-levels”. That’s it, see you next time 🙂
Estou sofrendo Ataques DDoS e agora?!
Calma, muita calma! Você não é o primeiro e nem o último a sofrer com ataques DDoS. No primeiro momento é desesperador, mas existem técnicas que podem te ajudar a enfrentar esse grande problema em sua rede. Vamos lá, separei em algumas partes do que fazer Identifique se é realmente um ataque e quem está atacando É comum ocorrer falsos positivos, onde você acha que é um ataque, mas na verdade é um trafego anormal, podemos citar como exemplo uma atualização do Windows ou do iOS da Apple ou de dispositivos executando Android onde vários dispositivos se atualizam ao mesmo momento fazendo parecer ser um ataque, mas é um trafego real mas anormal. Se seu caso não for um falso-positivo e confirmar realmente que é um Ataque DDoS o próximo passo é identificar por quais interfaces e para onde o ataque é direcionado, a qual cliente ou qual equipamento. Mas como fazer isso? Existem várias formas de descobrir esse trafego, podemos citar Se for um Roteador Mikrotik você pode usar a Ferramenta de Torch (Tools -> Torch) e analisar qual IP tem um consumo anormal Se você tiver usando um Servidor/Roteador com Linux ou FreeBSD você pode usar o tcpdump e analisar quais IP’s tem comunicação anormais Em Roteadores Cisco, Juniper, Huawei ou Nokia você irá precisar de um Analisar de Netflow como o Made4Flow e assim avaliar quais IP’s tem uma comunicação anormal Caso não seja possivel usar netflow (Netstream, jFlow, Netflow v5/v9/IPFIX ou Traffic Flow do RouterOS), você pode fazer um port-mirror e espelhar o trafego da porta de seu roteador para um servidor ou host que possa analisar o trafego Mas no meio de tanto trafego como saber algo anormal? Geralmente ataques DDoS ocorrem em portas que usam amplificação, como mencionado no nosso artigo sobre o que é DDoS, podemos citar de exemplo o NTP ou SSDP. Ao avaliar que existe um trafego maior (geralmente com muito pacotes e muita banda de varias origens diferentes) para um IP especifico você pode passar para a próxima etapa. Use a Blackhole – RTBH A Blackhole ou RTBH – Remote Triggered Blackhole é a tecnica onde literalmente enviamos um IP para o “buraco negro” e esse IP para de funcionar tanto em sua rede como na Internet assim conseguindo interromper o Ataque. Atraves de um anuncio BGP é possivel fazer que o IP pare de funcionar e seja enviado para suas operadoras informando que aquele IP não deve receber trafego. A Blackhole resolve o problema o problema em ataques direcionado há 1 ou poucos IP’s, mas caso o ataque seja direcionado a muitos IP’s a Blackhole não se torna efetiva por conta do numero máximo de prefixos anunciados na sessão BGP. Se você quiser saber mais sobre Blackhole confira nosso artigo! Prós: Facilmente configurado Amplo suporte (todos os roteadores suportam) Ataque é interrompido rapidamente Contras: – O IP irá parar de funcionar totalmente – Se caso o ataque seja direcionado a vários IP’s pode ser um problema maior A Blackhole é funcional mas até certo ponto somente, em ataques maiores ou se os ataques foram insistentes e as técnicas mudarem atacando varios ela não suprirá a sua demanda Use um Link de Mitigação ou Scrubbing Center Quando os ataques mudam e começam a atacar vários IP’s a técnica de Blackhole não irá suprir a demanda e para continuar operando é necessário que alguém faça a limpeza do Trafego de ataque do trafego verdadeiro, para isso existem empresas que vendem links de mitigação que são conhecidos como Scrubbing Center ou Anti-DDoS. Nesse tipo de link você direciona o seu trafego de Download para eles através do BGP e eles irão utilizar de seus servidores, roteadores, appliances e técnicas para limpar o trafego de Ataque do trafego real. Se você quiser saber mais sobre Link de Mitigação confira nosso artigo eles, lá mostramos com mais detalhes o funcionamento. Prós: O(s) IP(s) atacados continuam funcionando Todo o problema de receber o ataque é transferido para essas empresas Contras: Custo desse link Aumento de latência Configuração mais complexa, pois, exige uma engenharia de trafego no BGP quando ataque estiver ocorrendo Automatize tudo Ataques DDoS irão ocorrer quando você menos espera, então criar a estrutura de proteção com automatização é extremamente necessário. Para isso o Made4Flow possui o modulo de Anti-DDoS onde ele pode tomar a ação de enviar um IP para blackhole ou direcionar para a Mitigação quando detectar um ataque DDoS. Com ele você pode receber os alertas via e-mail e ter a tranquilidade que a ferramenta está funcionando por você e tomando ações automatizadas para a proteção da sua rede. Se você gostou compartilhe essa publicação! Nos próximos artigos vamos te contar como prevenir ataques, como configurar uma blackhole em roteadores Mikrotik, Cisco, Juniper ou Huawei e muitos mais informações sobre DDoS. Até a próxima
I am suffering from DDoS Attacks, now what?!
Calm down, very calm! You are neither the first nor the last to suffer from DDoS attacks. At first it is hopeless, but there are techniques that can help you tackle this major problem in your network. Let’s go, I have separated in a few parts what to do Identify if it is really an attack and who is attacking It is common to have false positives, where you think it is an attack, but it is actually an abnormal traffic, for example an update of Windows or Apple iOS or devices running Android where several devices update at the same time making it look like an attack, but it is a real but abnormal traffic. If your case is not a false-positive and you really confirm that it is a DDoS Attack the next step is to identify which interfaces and where the attack is directed, to which client or which equipment. But how to do this? There are several ways to discover this traffic, we can mention If it is a Mikrotik Router you can use the Torch Tool (Tools -> Torch) and analyze which IP has an abnormal consumption If you are using a Linux or FreeBSD Server/Router you can use tcpdump and analyze which IP’s have abnormal communication On Cisco, Juniper, Huawei or Nokia Routers you will need a Netflow Analyzer like Made4Flow to evaluate which IP’s have abnormal communication If you can’t use netflow (Netstream, jFlow, Netflow v5/v9/IPFIX or Traffic Flow from RouterOS), you can make a port-mirror and mirror your router’s port traffic to a server or host that can analyze the traffic But in the midst of so much traffic, how can you know anything abnormal? Usually DDoS attacks occur on ports that use amplification, as mentioned in our article on what is DDoS, we can cite NTP or SSDP as examples. When you assess that there is increased traffic (usually a lot of packets and a lot of bandwidth from many different sources) to a specific IP you can move on to the next step. Use the Blackhole – RTBH The Blackhole or RTBH – Remote Triggered Blackhole is a technique where we literally send an IP to the “black hole” and this IP stops functioning both in your network and in the Internet, thus interrupting the attack. Through a BGP advertisement it is possible to make the IP stop working and be sent to your carriers informing them that that IP should not receive traffic. Blackhole solves the problem in attacks directed at 1 or a few IPs, but if the attack is directed at many IPs Blackhole is not effective because of the maximum number of prefixes announced in the BGP session. If you want to know more about Blackhole check out our article! Pros: Easily configured Broad support (all routers support it) Attack is stopped quickly Cons: – The IP will stop working completely – If the attack is directed at multiple IP’s it can be a bigger problem The Blackhole is functional but only to a certain extent, in larger attacks or if the attacks were insistent and the techniques change by attacking several times, it will not meet your demand. Use a Mitigation Link or Scrubbing Center When the attacks change and start attacking multiple IP’s the Blackhole technique will not meet the demand and to continue operating it is necessary that someone cleans the attack traffic from the real traffic, for this there are companies that sell mitigation links that are known as Scrubbing Center or Anti-DDoS. In this type of link you direct your Download traffic to them through BGP and they will use their servers, routers, appliances, and techniques to clean up the Attack traffic from the real traffic. If you want to know more about Link Mitigation check out our article them, there we show in more detail how it works. Pros: The attacked IP(s) are still working The whole problem of receiving the attack is transferred to these companies Cons: Cost of this link Increased latency More complex configuration, as it requires traffic engineering in BGP when an attack is occurring Automate everything DDoS attacks will occur when you least expect them, so creating the protection framework with automation is extremely necessary. For this Made4Flow has an Anti-DDoS module where it can take the action of sending an IP to blackhole or direct to Mitigation when it detects a DDoS attack. With it you can receive alerts via e-mail and have the peace of mind that the tool is working for you and taking automated actions to protect your network. If you like this post, please share it! In the next articles we will tell you how to prevent attacks, how to set up a blackhole on Mikrotik, Cisco, Juniper or Huawei routers and many more information about DDoS. Until next time
Estoy sufriendo ataques DDoS y ahora…
¡Calma, mucha calma! No es ni el primero ni el último en sufrir ataques DDoS. Al principio es desesperante, pero existen técnicas que pueden ayudarle a atajar este grave problema en su red. Vamos, he separado en varias partes lo que hay que hacer Identificar si se trata realmente de un ataque y quién ataca Es común que se produzcan falsos positivos, donde se piensa que es un ataque, pero en realidad es un tráfico anormal, podemos citar como ejemplo una actualización de Windows o Apple iOS o dispositivos que ejecutan Android donde varios dispositivos se actualizan al mismo tiempo haciendo que parezca un ataque, pero es un tráfico real pero anormal. Si tu caso no es un falso positivo y realmente confirmas que se trata de un Ataque DDoS el siguiente paso es identificar a través de qué interfaces y hacia dónde se dirige el ataque, a qué cliente o a qué equipo. Pero, ¿cómo hacerlo? Hay varias formas de descubrir este tráfico, por ejemplo Si es un router Mikrotik puedes usar la herramienta Torch (Herramientas -> Torch) y analizar que IP tiene un consumo anormal Si estás usando un servidor/router Linux o FreeBSD puedes usar tcpdump y analizar qué IPs tienen una comunicación anormal En routers Cisco, Juniper, Huawei o Nokia necesitará un analizador de flujo de red como Made4Flow para evaluar qué IPs tienen una comunicación anormal. Si no puedes utilizar netflow (Netstream, jFlow, Netflow v5/v9/IPFIX o Traffic Flow de RouterOS), puedes hacer un port-mirror y reflejar el tráfico de puertos de tu router a un servidor o host que pueda analizar el tráfico Pero en medio de tanto tráfico ¿cómo se puede saber algo anormal? Generalmente los ataques DDoS se producen en puertos que utilizan amplificación, como mencionamos en nuestro artículo sobre qué es DDoS, podemos citar como ejemplo NTP o SSDP. Cuando evalúe que hay un aumento de tráfico (normalmente muchos paquetes y mucho ancho de banda de muchas fuentes diferentes) a una IP específica puede pasar al siguiente paso. Utilizar Blackhole – RTBH El Blackhole o RTBH – Remote Triggered Blackhole es una técnica en la que literalmente enviamos una IP al “agujero negro” y esa IP deja de funcionar tanto en tu red como en Internet deteniendo así el ataque. A través de un anuncio BGP es posible hacer que la IP deje de funcionar y sea enviada a sus operadores informando de que esa IP no debe recibir tráfico. Blackhole resuelve el problema en ataques dirigidos a 1 o pocas IP’s, pero si el ataque se dirige a muchas IP’s Blackhole no es efectivo debido al número máximo de prefijos anunciados en la sesión BGP. Si quieres saber más sobre Blackhole , echa un vistazo a nuestro artículo. Pros: Fácil de configurar Amplia compatibilidad (todos los routers son compatibles) El ataque se detiene rápidamente Contras: – IP dejará de funcionar por completo – Si el ataque se dirige a varias IP puede ser un problema mayor El Blackhole es funcional pero sólo hasta cierto punto, en ataques más grandes o si los ataques fueron insistentes y las técnicas cambian atacando varias veces no va a satisfacer su demanda Utilizar un enlace de mitigación o un centro de fregado Cuando los ataques cambian y comienzan a atacar múltiples IP’s la técnica Blackhole no cubrirá la demanda y para seguir operando es necesario que alguien limpie el tráfico de ataque del tráfico real, para esto existen empresas que venden enlaces de mitigación que son conocidos como Scrubbing Center o Anti-DDoS. En este tipo de enlace les diriges tu tráfico de Descarga a través de BGP y ellos utilizarán sus servidores, routers, aparatos y técnicas para limpiar el tráfico de Ataque del tráfico real. Si quieres saber más sobre Link Mitigation échale un vistazo a nuestro artículo, allí mostramos con más detalle cómo funciona. Pros: Las IP atacadas siguen funcionando Todo el problema de la recepción del ataque se traslada a estas empresas Contras: Coste de este enlace Aumento de la latencia Configuración más compleja, ya que requiere ingeniería de tráfico en BGP cuando se produce un ataque. Automatizarlo todo Los ataques DDoS se producirán cuando menos se lo espere, por lo que crear el marco de protección con automatización es extremadamente necesario. Para ello Made4Flow dispone del módulo Anti-DDoS donde puede tomar la acción de enviar una IP a blackhole o directa a Mitigación cuando detecta un ataque DDoS. Con ella puedes recibir alertas por correo electrónico y tener la tranquilidad de que la herramienta está trabajando para ti y tomando acciones automatizadas para la protección de tu red. Si le gusta esta publicación, ¡compártala! En los próximos artículos te contaremos cómo prevenir ataques, cómo configurar un blackhole en routers Mikrotik, Cisco, Juniper o Huawei y mucha más información sobre DDoS. Hasta la próxima
RTBH Blackhole, what is it?
Blackhole or in literal translation “black hole” is a technique that discards packets destined for an IP or range of IP’s at the edge routers (BGP) of an Internet Provider. Once a DDoS attack is detected, Blackhole can be used to drop all traffic destined to the attacked IP or IP range, thus protecting the network from being overloaded or stopped by the volume of DDoS traffic RTBH or Remote Triggered Blackhole is the technique that through BGP the traffic destined to the attacked IP can be easily dropped at the Backbone or BGP layer, thus preventing the entire network from stopping or suffering degradation because of the DDoS Attack. To make the explanation easier let’s give an example: The provider XPTO has the prefix 200.200.200.0/24 associated with its ASN123456, and within this provider there is a company Bubble that suffered a DDoS attack, so that the provider’s network XPTO not stop completely, they add the configuration of blackhole for this company Bubble, thus protecting your infrastructure and leaving only the company Bubble without services What are the pros and cons? Pros: Efficient against DDoS attacks Its deployment is very simple and fast Support for all vendors (equipment brands) Widely deployed in Operators of all sizes Cons: The blackhole IP stops working completely In attacks directed to several IP’s it can generate more problems than solutions How does Blackhole work in practice? As soon as the attack is detected, through a Netflow analysis, Made4Flow is an example of Netflow analysis software or via a port mirror and it is determined which is the destination IP of the DDoS attack it is possible to configure the router to send the route to the Blackhole or more specifically to Null0 (Cisco/Huawei routers) or Discard (Juniper) or Blackhole (Mikrotik), literally throwing that route to the “black hole” thus discarding the traffic destined to that IP. In the world of BGP it is possible to send this Blackhole route to your carrier so that it can discard the packets within its network and also send it to all the carriers so that the whole world knows that this IP no longer works. We will show later how Blackhole works in the BGP world. How to configure the Blackhole?After determining the attacked IP the Router operator accesses the equipment, configures a static route with the Attack destination IP being its next-hop (or gateway) as Null0 or Blackhole An example of configuration on Huawei Routers is the following syntax: [~rt-huawei-ne40]ip route-static 200.200.200.200 32 NULL 0 Explaining the command: Every packet going to IP 200.200.200.200 will be sent to Null0 (Blackhole) and all its traffic discarded. You still need to advertise via BGP this blackhole route so that your carriers receive and also discard the traffic to this attacked IP. For clarity, we have the image below demonstrating the entire Blackhole announcement process In the following articles we will show you how to configure Blackhole on Huawei, Cisco, Juniper, and Mikrotik routers. If you have any questions, please contact us via Social Networking or WhatsApp!Until the next articles!
RTBH Agujero negro, ¿qué es?
Blackhole es una técnica que deja caer paquetes destinados a una IP o rango de IP’s en los routers de borde (BGP) de un Proveedor de Servicios de Internet. Una vez detectado un ataque DDoS, Blackhole puede utilizarse para eliminar todo el tráfico destinado a la IP o rango de IP atacados, protegiendo así la red de una sobrecarga o detención por el volumen de tráfico DDoS. El RTBH o Remote Triggered Blackhole es la técnica que a través de BGP el tráfico destinado a la IP atacada puede ser fácilmente descartado en la capa Backbone o BGP evitando así que toda la red se detenga o sufra degradación a causa del Ataque DDoS. Para facilitar la explicación pongamos un ejemplo: El proveedor XPTO tiene el prefijo 200.200.200.0/24 asociado a su ASN123456, y dentro de este proveedor hay una empresa Burbuja que ha sufrido un ataque DDoS, para que la red del proveedor XPTO no se pare del todo, añaden la configuración de blackhole para esa empresa Burbuja, protegiendo así su infraestructura y dejando solo a la empresa Burbuja sin servicios ¿Cuáles son los pros y los contras? Pros: Eficaz contra ataques DDoS Su despliegue es muy sencillo y rápido Asistencia para todos los proveedores (marcas de equipos) Ampliamente implantado en operadores de todos los tamaños Contras: Blackhole IP deja de funcionar por completo En ataques dirigidos a varias IP’s puede generar más problemas que soluciones ¿Cómo funciona Blackhole en la práctica? En cuanto se detecta el ataque, a través de un análisis de Netflow, Made4Flow es un ejemplo de software de análisis de Netflow o a través de un port mirror y se determina cual es la IP de destino del ataque DDoS es posible configurar el router para que envíe la ruta al Blackhole o más concretamente a Null0 (routers Cisco/Huawei) o Discard (Juniper) o Blackhole (Mikrotik), lanzando literalmente esa ruta al “agujero negro” descartando así el tráfico de destino a esa IP. En el mundo BGP es posible enviar esta ruta Blackhole a tu operador para que descarte los paquetes dentro de su red y también enviarla a todos los operadores para que todo el mundo sepa que esta IP ya no funciona. Más adelante veremos cómo funciona Blackhole en el mundo BGP. ¿Cómo configurar el Blackhole?Tras determinar la IP atacada, el operador del Router accede al equipo, configura una ruta estática con la IP de destino del Ataque siendo su next-hop (o puerta de enlace) como Null0 o Blackhole Un ejemplo de configuración en los routers Huawei es la siguiente sintaxis: [~rt-huawei-ne40]ip route-static 200.200.200.200 32 NULL 0 Explicación del comando: Cada paquete con destino IP 200.200.200.200 será enviado a Null0 (Blackhole) y todo su tráfico descartado. Aún necesita anunciar vía BGP esta ruta blackhole para que sus operadores reciban y también descarten el tráfico a esta IP atacada. Para que quede más claro, tenemos la siguiente imagen que muestra todo el proceso de anuncio de Blackhole En los siguientes artículos mostraremos cómo configurar Blackhole en Routers Huawei, Cisco, Juniper y Mikrotik. Si tiene alguna pregunta, póngase en contacto con nosotros a través de las redes sociales o WhatsApp.¡Nos vemos en los próximos artículos!
