LOADING...

KHAI BÁO CHỐNG DDOS TRÊN JUNIPER

KHAI BÁO CHỐNG DDOS TRÊN JUNIPER

Giải pháp mạng

HƯỚNG DẪN KHAI BÁO CHỐNG DDOS

I. Phát hiện DDOS:

Khi một upstream bị DDOS, băng thông tăng cao đột biến. Sử dụng lệnh sau để phát hiện IP nào đang bị tấn công:

show firewall log | match pfe | match  <interface>

Trong đó: <interface> là tên của interface có traffic tăng đột biến.

Ví dụ: log sau thể hiện IP 103.7.9.8 đang bị DDOS

show firewall log | match pfe | match  ge-1/1/0.0

 

14:49:18  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

14:49:18  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

14:49:18  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

14:49:18  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

14:49:18  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

14:49:21  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

14:49:21  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

15:04:13  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

15:04:13  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

15:04:13  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

15:04:13  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

15:04:13  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

15:04:13  pfe       A      ge-1/1/0.0    UDP             40.74.137.8                    103.7.9.8

II. Khai báo chống DDOS:

  1. Vào mode cấu hình:

  • Edit private

2. Khai báo route discard IP đang bị DDOS theo template sau:

  • set routing-options static route <IP-address>/32 discard.
  • Trong đó <IP-address> là IP phát hiện bị DDOS ở bước IVí dụ:set routing-options static route 103.7.9.8/32 discard

3. Quảng bá IP DDOS trong term BLACKHOLE:

  • Set policy-options policy-statement <tên-policy> term BLACKHOLE from route-filter <IP-address>/32 exact.
  • Trong đó:
    • <tên-policy> tùy thuộc hướng upstream bị DDOS.
    • <IP-address> là IP phát hiện DDOS ở bước 1

Ví dụ:

set policy-options policy-statement ADV-TO-PCCW term BLACKHOLE from route-filter 103.7.9.8/32 exact

4.Hiển thị các lệnh đã khai báo:

  • show | compare

5. Commit khai báo:

  • Commit

6. Thoát khỏi mode cấu hình:

  • Exit

III. Bỏ khai báo chống DDOS:

  1. Vào mode cấu hình:

  • Edit private

2. Xóa route discard IP đang bị DDOS theo template sau:

  • Delete routing-options static route <IP-address>/32 discard.
  • Trong đó <IP-address> là IP phát hiện bị DDOS ở bước IVí dụ:Delete routing-options static route 103.7.9.8/32 discard

3. Xóa Quảng bá IP DDOS trong term BLACKHOLE:

  • Delete policy-options policy-statement <tên-policy> term BLACKHOLE from route-filter <IP-address>/32 exact.
  • Trong đó:
    • <tên-policy> tùy thuộc hướng upstream bị DDOS.
    • <IP-address> là IP phát hiện DDOS ở bước 1

Ví dụ:

Delete policy-options policy-statement ADV-TO-PCCW term BLACKHOLE from route-filter 103.7.9.8/32 exact

4.Hiển thị các lệnh đã khai báo:

  • show | compare

5. Commit khai báo:

  • Commit

6. Thoát khỏi mode cấu hình:

  • Exit

Related projects