{"id":13426,"date":"2024-01-30T11:29:31","date_gmt":"2024-01-30T14:29:31","guid":{"rendered":"https:\/\/made4it.com.br\/que-es-flowspec-como-usar-flowspec-para-mitigar-ataques-ddos\/"},"modified":"2024-02-15T10:19:35","modified_gmt":"2024-02-15T13:19:35","slug":"que-es-flowspec-como-usar-flowspec-para-mitigar-ataques-ddos","status":"publish","type":"post","link":"https:\/\/made4it.com.br\/es\/que-es-flowspec-como-usar-flowspec-para-mitigar-ataques-ddos\/","title":{"rendered":"\u00bfQu\u00e9 es FlowSpec? \u00bfC\u00f3mo utilizar FlowSpec para mitigar los ataques DDoS?"},"content":{"rendered":"\n

Hoy vamos a hablar un poco sobre BGP Flowspec y su eficacia para mitigar los ataques DDoS. <\/p>\n\n\n\n

\u00bfQu\u00e9 es Flowspec?<\/strong> <\/h2>\n\n\n\n

BGP Flow Specification (Flowspec)<\/strong> se define en RFC 5575<\/strong>(Dissemination of Flow Specification Rules)<\/em>, <\/em>define c\u00f3mo se utiliza Flowspec<\/strong> para distribuir reglas de flujo a trav\u00e9s del protocolo BGP. <\/p>\n\n\n\n

B\u00e1sicamente, Flowspec<\/strong> es una extensi\u00f3n del protocolo BGP que permite a los routers aplicar reglas como ACL din\u00e1micas o reglas de cortafuegos din\u00e1micas a tipos espec\u00edficos de tr\u00e1fico. Estas reglas pueden basarse en diversos criterios, como el origen, el destino, el protocolo, el puerto, etc. <\/p>\n\n\n\n

A continuaci\u00f3n se muestra una tabla con todas las posibilidades de clasificaci\u00f3n del tr\u00e1fico Flowspec: <\/p>\n\n\n\n

BGP Flowspec NLRI Type<\/strong> <\/td>QoS Match Fields<\/strong> <\/td><\/tr>
Type 1 <\/td>Destination IP \/ IPv6 address <\/td><\/tr>
Type 2 <\/td>Source IP \/ IPv6 address <\/td><\/tr>
Type 3 <\/td>IP \/ IPv6 Protocol <\/td><\/tr>
Type 4 <\/td>Source or destination port <\/td><\/tr>
Type 5 <\/td>Destination port <\/td><\/tr>
Type 6 <\/td>Source port <\/td><\/tr>
Type 7 <\/td>ICMP Type <\/td><\/tr>
Type 8 <\/td>ICMP Code <\/td><\/tr>
Type 9 <\/td>TCP flags <\/td><\/tr>
Type 10 <\/td>Packet length <\/td><\/tr>
Type 11 <\/td>DSCP <\/td><\/tr>
Type 12 <\/td>Fragmentation bits <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Estos tipos de clasificaci\u00f3n tambi\u00e9n pueden combinarse, por ejemplo: <\/p>\n\n\n\n

Flujo con origen 8.8.8.8\/32 puerto UDP 53. <\/p>\n\n\n\n

Bas\u00e1ndonos en las clasificaciones de tr\u00e1fico anteriores (de la tabla o una combinaci\u00f3n de ellas como en el ejemplo), podemos tomar las siguientes medidas: <\/p>\n\n\n\n

Type<\/strong> <\/td>Description<\/strong> <\/td>PBR Action<\/strong> <\/td><\/tr>
0x8006 <\/td>traffic-rate <\/td>Drop | Police <\/td><\/tr>
0x8007 <\/td>traffic-action <\/td>Terminal Action + Sampling <\/td><\/tr>
0x8008 <\/td>redirect-vrf <\/td>Redirigir VRF <\/td><\/tr>
0x8009 <\/td>traffic-marking <\/td>Set DSCP <\/td><\/tr>
0x0800 <\/td>Redirect IP NH <\/td>Redirect IPv4 or IPv6 Next-Hop <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

\u00bfC\u00f3mo funciona Flowspec?<\/strong> <\/h2>\n\n\n\n
\"\"\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button><\/figure>\n\n\n\n

Para que FlowSpec <\/strong>funcione, es necesario cerrar las sesiones BGP FlowSpec entre el Router BGP llamado en la Topolog\u00eda de Borde y el Servidor\/Router que genera las reglas FlowSpec, que en nuestra topolog\u00eda es Made4Flow. <\/p>\n\n\n\n

De este modo, FlowSpec <\/strong>funciona enviando un mensaje BGP especial al enrutador. Este mensaje contiene una lista de reglas de flujo que el router debe aplicar. Las reglas de flujo se pueden aplicar a todos los flujos que pasan por el router o s\u00f3lo a flujos espec\u00edficos, al igual que en una regla de cortafuegos se puede elegir la regla de cortafuegos se puede elegir a qu\u00e9 flujo se quiere aplicar una acci\u00f3n. <\/p>\n\n\n\n

Si su Operador o Tr\u00e1nsito admite FlowSpec<\/strong>es importante solicitar las sesiones BGP FlowSpec<\/strong>para que podamos enviar las normas de FlowSpec <\/strong>para que el tr\u00e1fico malicioso no llegue a nuestros equipos, evitando as\u00ed la sobrecarga de sus enlaces. <\/p>\n\n\n\n

\u00bfC\u00f3mo puede ayudar FlowSpec contra los ataques DDoS?<\/strong> <\/h2>\n\n\n\n

Para utilizar FlowSpec para mitigar los ataques DDoS<\/strong>, es necesario utilizar una herramienta de detecci\u00f3n de ataques que genere reglas FlowSpec <\/strong>, como por ejemplo Made4Flow<\/a> <\/strong>. <\/p>\n\n\n\n

Cuando Netflow Network Analyser detecta un ataque DDoS<\/strong>, genera un mensaje BGP especial que contiene las reglas de flujo necesarias para mitigar el ataque. A continuaci\u00f3n, este mensaje se env\u00eda al router, que aplica las reglas e impide que el tr\u00e1fico malicioso llegue a su destino final, como se muestra en el siguiente ejemplo, donde vemos una regla de bloqueo para una IP de destino y un ICMP de tipo 0 u 8: <\/p>\n\n\n\n

\"\u00bfQu\u00e9\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button><\/figure>\n\n\n\n

Otra forma de utilizar FlowSpec para mitigar los ataques DDoS<\/strong> es utilizar FlowSpec <\/strong>para limitar la velocidad del tr\u00e1fico que puede enviarse a un destino concreto<\/strong>. Esto puede ayudar a evitar que un ataque DDoS <\/strong>sature el ancho de banda del destino, como en el ejemplo siguiente: <\/p>\n\n\n\n

\"\u00bfQu\u00e9\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button><\/figure>\n\n\n\n

Como hemos visto en los ejemplos anteriores, FlowSpec <\/strong>env\u00eda reglas para eliminar o limitar la velocidad de<\/em><\/strong> los prefijos o IP atacados. De este modo, nos aseguramos de que el ataque DDoS no pase de nuestro router BGP\/Borda a la red<\/strong>. Para que FlowSpec sea m\u00e1s eficaz contra los ataques DDoS<\/strong> es importante establecer una sesi\u00f3n BGP FlowSpec<\/strong> con sus operadores, aumentando as\u00ed la eficacia de la protecci\u00f3n y el bloqueo se puede hacer directamente en los equipos y routers de su operador y el ataque evitando que los paquetes y el tr\u00e1fico llegue a su equipo evitando que sus routers sufran de alta CPU, sobrecarga de enlaces e incluso la p\u00e9rdida de comunicaci\u00f3n con su equipo. <\/p>\n\n\n\n

Lamentablemente, no todos los operadores ofrecen sesiones BGP FlowSpec<\/strong>. Consulte a sus operadores y, si es posible, establezca sesiones BGP FlowSpec <\/strong>para que, en caso de sufrir ataques DDoS, pueda reducir el impacto en su red y aumentar su protecci\u00f3n creando las reglas directamente en sus routers. <\/p>\n\n\n\n

Conclusi\u00f3n<\/h2>\n\n\n\n

BGP FlowSpec<\/strong> es una herramienta eficaz que puede utilizarse para mitigar ataques DDoS de todos los tama\u00f1os<\/strong>. Con FlowSpec<\/strong>, los administradores de red pueden dirigir el tr\u00e1fico DDoS a un punto de mitigaci\u00f3n o limitar la velocidad del tr\u00e1fico que puede enviarse a un destino concreto<\/strong>. <\/p>\n\n\n\n

Permanece atento a los pr\u00f3ximos art\u00edculos, ya que hablaremos de c\u00f3mo configurar sesiones BGP FlowSpec<\/strong> en diferentes fabricantes como Huawei, Juniper, Cisco, Nokia y varios otros modelos y marcas<\/strong>. <\/p>\n\n\n\n

\n
Conozca Made4Flow<\/a><\/div>\n<\/div>\n\n\n\n
\"\"<\/figure>\n","protected":false},"excerpt":{"rendered":"

B\u00e1sicamente, Flowspec es una extensi\u00f3n del protocolo BGP que permite a los routers aplicar reglas como ACL din\u00e1micas o reglas de firewall din\u00e1micas a tipos espec\u00edficos de tr\u00e1fico. Estas reglas pueden basarse en diversos criterios, como el origen, el destino, el protocolo, el puerto, etc. <\/p>\n","protected":false},"author":13,"featured_media":13434,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"postBodyCss":"","postBodyMargin":[],"postBodyPadding":[],"postBodyBackground":{"backgroundType":"classic","gradient":""},"footnotes":""},"categories":[292,321,774,775,625,733],"tags":[776,367,777],"class_list":["post-13426","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-acerca-de-made4flow","category-bgp-es","category-ddos-es","category-flowspec-es","category-flujo-de-red","category-made4flow-es","tag-flowspec-es","tag-made4flow-es","tag-que-es-flowspec"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/13426","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/comments?post=13426"}],"version-history":[{"count":5,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/13426\/revisions"}],"predecessor-version":[{"id":13448,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/13426\/revisions\/13448"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/media\/13434"}],"wp:attachment":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/media?parent=13426"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/categories?post=13426"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/tags?post=13426"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}