HƯỚNG DẪN KHAI BÁO CHỐNG DDOS
I. Phát hiện DDOS:
Khi một upstream bị DDOS, băng thông tăng cao đột biến. Sử dụng lệnh sau để phát hiện IP nào đang bị tấn công:
show firewall log | match pfe | match <interface>
Trong đó: <interface> là tên của interface có traffic tăng đột biến.
Ví dụ: log sau thể hiện IP 103.7.9.8 đang bị DDOS
show firewall log | match pfe | match ge-1/1/0.0
14:49:18 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
14:49:18 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
14:49:18 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
14:49:18 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
14:49:18 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
14:49:21 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
14:49:21 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
15:04:13 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
15:04:13 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
15:04:13 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
15:04:13 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
15:04:13 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
15:04:13 pfe A ge-1/1/0.0 UDP 40.74.137.8 103.7.9.8
II. Khai báo chống DDOS:
Vào mode cấu hình:
- Edit private
2. Khai báo route discard IP đang bị DDOS theo template sau:
- set routing-options static route <IP-address>/32 discard.
- Trong đó <IP-address> là IP phát hiện bị DDOS ở bước IVí dụ:set routing-options static route 103.7.9.8/32 discard
3. Quảng bá IP DDOS trong term BLACKHOLE:
- Set policy-options policy-statement <tên-policy> term BLACKHOLE from route-filter <IP-address>/32 exact.
- Trong đó:
- <tên-policy> tùy thuộc hướng upstream bị DDOS.
- <IP-address> là IP phát hiện DDOS ở bước 1
Ví dụ:
set policy-options policy-statement ADV-TO-PCCW term BLACKHOLE from route-filter 103.7.9.8/32 exact
4.Hiển thị các lệnh đã khai báo:
- show | compare
5. Commit khai báo:
- Commit
6. Thoát khỏi mode cấu hình:
- Exit
III. Bỏ khai báo chống DDOS:
Vào mode cấu hình:
- Edit private
2. Xóa route discard IP đang bị DDOS theo template sau:
- Delete routing-options static route <IP-address>/32 discard.
- Trong đó <IP-address> là IP phát hiện bị DDOS ở bước IVí dụ:Delete routing-options static route 103.7.9.8/32 discard
3. Xóa Quảng bá IP DDOS trong term BLACKHOLE:
- Delete policy-options policy-statement <tên-policy> term BLACKHOLE from route-filter <IP-address>/32 exact.
- Trong đó:
- <tên-policy> tùy thuộc hướng upstream bị DDOS.
- <IP-address> là IP phát hiện DDOS ở bước 1
Ví dụ:
Delete policy-options policy-statement ADV-TO-PCCW term BLACKHOLE from route-filter 103.7.9.8/32 exact
4.Hiển thị các lệnh đã khai báo:
- show | compare
5. Commit khai báo:
- Commit
6. Thoát khỏi mode cấu hình:
- Exit