Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

컨트롤 플레인 DDoS 방어 플로우 감지 개요

플로우 감지는 디도스(DDoS) 폴리서 계층 구조를 보완하는 컨트롤 플레인 디도스(DDoS) 공격 보호 기능을 강화한 기능입니다. 이는 완전한 컨트롤 플레인 DDoS 방어 솔루션의 일부입니다. 플로우 감지는 제한된 양의 하드웨어 리소스를 사용하여 제어 트래픽의 호스트 바운드 플로우 도착 속도를 모니터링합니다. 플로우 감지는 필터 폴리서를 기반으로 하는 솔루션보다 훨씬 확장성이 뛰어납니다. 필터 폴리서는 상당한 양의 리소스를 소비하는 모든 플로우를 추적합니다. 반면, 플로우 감지는 의심스러운 것으로 식별되는 플로우만 추적하며, 이를 위해 훨씬 적은 리소스를 사용합니다.

플로우 감지 애플리케이션에는 감지와 추적이라는 두 가지 상호 관련된 구성 요소가 있습니다. 탐지는 부적절한 것으로 의심되는 플로우를 식별하여 이후에 제어하는 프로세스입니다. 추적은 플로우를 추적하여 실제로 적대적인지 여부와 이러한 플로우가 허용 가능한 한도 내로 회복되는 시기를 확인하는 프로세스입니다.

플로우 감지 및 제어

플로우 감지는 기본적으로 비활성화되어 있습니다. 계층 수준에서 이 기능을 활성화 [edit system ddos-protection global] 하면 거의 모든 프로토콜 그룹 및 패킷 유형에 대해 컨트롤 플레인 DDoS 보호 폴리서를 위반할 때 애플리케이션이 제어 트래픽 플로우 모니터링을 시작합니다. 플로우 감지를 전역적으로 활성화하는 것 외에도 거의 모든 프로토콜 그룹 및 패킷 유형에 대해 작동 모드(즉, DDoS 보호 폴리서(기본값) 위반에 의해 자동으로 트리거되는지 또는 항상 켜져 있는지)를 구성할 수 있습니다. 개별 프로토콜 그룹 및 패킷 유형에 대한 전역 구성 설정을 재정의할 수 있습니다. 이벤트 보고 속도를 제외한 플로우 감지의 다른 모든 특성은 개별 패킷 유형 수준에서만 구성할 수 있습니다.

Enhanced Subscriber Management는 Junos OS 릴리스 17.3R1부터 컨트롤 플레인 디도스(DDoS) 공격 보호를 위한 플로우 감지를 지원합니다.

메모:

다음 그룹 및 패킷 유형은 일반적인 이더넷, IP 또는 IPv6 헤더가 없기 때문에 전체적으로 플로우 감지를 활성화할 수 없습니다.

  • 프로토콜 그룹: fab-probe, , frame-relay, isismlpjfmpfe-aliveinline-ka, pos, 및 .services

  • 패킷 유형: unclassified ip-options 프로토콜 그룹에서.

제어 흐름은 세 가지 수준에서 집계됩니다. 가입자 수준 은 세 가지 요소 중 가장 세분화되어 있으며 개별 가입자 세션에 대한 플로우로 구성됩니다. 논리적 인터페이스 수준 은 여러 가입자 플로우를 집계하므로 더 거칠게 세분화되고 개별 가입자 플로우에 대한 차별을 제공하지 않습니다. 물리적 인터페이스 수준 은 여러 논리적 인터페이스 플로우를 집계하여 트래픽 플로우에 대한 가장 거친 보기를 제공합니다.

세 가지 제어 흐름 수준 중 하나에서 흐름 감지를 끄거나 켤 수 있습니다. DDoS 보호 폴리서 위반에 의해 자동으로 트리거되거나 항상 켜져 있도록 플로우 감지를 설정할 수 있습니다. 자동 모드에서 플로우 감지는 디도스(DDoS) 공격 보호 폴리서 위반이 발생한 후에만 활성화됩니다. 플로우 감지는 감지가 또는 automatic으로 구성된 on 가장 미세한 수준에서 시작됩니다.

흐름이 도착하면 흐름 감지는 흐름이 의심스러운 흐름 테이블에 이미 나열되어 있는지 확인합니다. 의심스러운 플로우는 기본 또는 구성에서 허용하는 대역폭을 초과하는 플로우입니다. 플로우가 테이블에 없고 어그리게이션 수준 플로우 감지 모드가 인 on경우, 플로우 감지는 테이블에 플로우를 나열합니다. 플로우가 테이블에 없고 플로우 감지 모드가 인 automatic경우, 플로우 감지는 이 플로우가 의심스러운지 확인합니다.

흐름이 의심스러우면 흐름 테이블로 이동합니다. 플로우가 의심스럽지 않은 경우, 플로우 감지가 (으)로 on설정된 다음 거친 어그리게이션 수준에서 동일한 방식으로 처리됩니다. 상위 수준 중 어느 것도 감지되지 않은 경우, 플로우는 디도스(DDoS) 공격 보호 패킷 폴리서로 계속 이동하여 작업을 수행하며 여기서 전달되거나 삭제될 수 있습니다.

초기 검사에서 테이블에서 플로우를 찾으면 해당 어그리게이션 레벨에 대한 제어 모드 설정에 따라 플로우가 삭제, 폴리싱 또는 유지됩니다. 삭제된 흐름의 모든 패킷이 삭제됩니다. 폴리싱된 플로우에서는 플로우가 어그리게이션 수준에서 허용 가능한 대역폭 이내가 될 때까지 패킷이 손실됩니다. 유지된 플로우는 처리를 위해 다음 어그리게이션 수준으로 전달됩니다.

자세한 내용은 플로우 감지가 전역으로 작동하는 방법 구성을 참조하십시오.

플로우 트래킹

플로우 감지 애플리케이션은 의심스러운 플로우 테이블에 나열된 플로우를 추적합니다. 테이블의 각 항목을 주기적으로 검사하여 나열된 흐름이 여전히 의심스러운지(대역폭 위반) 여부를 확인합니다. 의심스러운 플로우가 구성 가능한 플로우 탐지 기간보다 긴 기간 동안 테이블에 삽입된 이후 지속적으로 대역폭을 위반한 경우, 단순히 의심스러운 플로우가 아니라 인 플로우로 간주됩니다. 그러나 대역폭이 탐지 기간 미만으로 위반된 경우 위반은 오탐으로 처리됩니다. 플로우 감지는 플로우가 안전한 것으로 간주하고 추적을 중지합니다(테이블에서 삭제).

구성 가능한 타임아웃 기간 동안 범인 플로우를 억제하는 타임아웃 기능을 활성화할 수 있으며, 이 기간 동안 플로우는 플로우 테이블에 유지됩니다. (억제가 기본 동작이지만, 플로우 감지 작업은 플로우 수준 제어 구성에 의해 변경될 수 있습니다.) 나열된 흐름을 확인한 결과 시간 초과가 활성화되고 시간 초과 기간이 만료된 흐름이 발견되면 흐름이 시간 초과되어 흐름 테이블에서 제거됩니다.

시간 제한이 아직 만료되지 않았거나 시간 제한 기능이 활성화되지 않은 경우 애플리케이션은 복구 검사를 수행합니다. 플로우가 마지막으로 대역폭을 위반한 이후의 시간이 구성 가능한 복구 기간보다 긴 경우, 플로우가 복구되어 플로우 테이블에서 제거됩니다. 마지막 위반 이후의 시간이 복구 기간보다 짧으면 플로우 테이블에 플로우가 유지됩니다.

알림을

기본적으로 플로우 감지는 플로우 감지 중에 발생하는 다양한 이벤트에 대한 시스템 로그를 자동으로 생성합니다. 이러한 로그는 플로우 감지 CLI에서 보고서 라고 합니다. 모든 프로토콜 그룹 및 패킷 유형은 기본적으로 적용되지만 개별 패킷 유형에 대해 자동 로깅을 비활성화할 수 있습니다. 보고서 전송 속도를 구성할 수도 있지만 이는 모든 패킷 유형에 전체적으로 적용됩니다.

각 보고서는 다음 두 가지 유형 중 하나에 속합니다.

  • 플로우 보고서—이러한 보고서는 원인 플로우의 식별 및 추적과 관련된 이벤트에 의해 생성됩니다. 각 보고서에는 이벤트가 발생한 흐름에 대한 식별 정보가 포함되어 있습니다. 이 정보는 플로우 테이블을 정확하게 유지 관리하는 데 사용됩니다. 흐름은 보고서의 정보에 따라 테이블에서 삭제되거나 유지됩니다. 표 1 에는 각 플로우 보고서를 트리거하는 이벤트가 설명되어 있습니다.

    표 1: 플로우 감지 보고서에 대한 이벤트 트리거

    이름

    묘사

    DDOS_SCFD_FLOW_FOUND

    의심스러운 흐름이 감지됩니다.

    DDOS_SCFD_FLOW_TIMEOUT

    범인 흐름에 대한 제한 시간이 만료됩니다. 플로우 감지는 플로우 억제(또는 모니터링)를 중단합니다.

    DDOS_SCFD_FLOW_RETURN_NORMAL

    범인 흐름이 대역폭 제한 내로 돌아갑니다.

    DDOS_SCFD_FLOW_CLEARED

    원인 흐름은 명령을 사용하여 clear 수동으로 지워지거나 의심스러운 흐름 모니터링이 다른 어그리게이션 수준으로 이동함에 따라 자동으로 지워집니다.

    DDOS_SCFD_FLOW_AGGREGATED

    제어 흐름은 더 거친 수준으로 집계됩니다. 이 이벤트는 플로우 테이블이 용량에 가까워지거나 특정 플로우 레벨에서 플로우를 찾을 수 없고 더 거친 다음 레벨을 검색해야 할 때 발생합니다.

    DDOS_SCFD_FLOW_DEAGGREGATED

    제어 흐름은 더 미세한 수준으로 분해됩니다. 이 이벤트는 플로우 테이블이 꽉 차지 않았거나 플로우 제어가 효과적이며 패킷 유형에 대한 폴리서의 플로우에 대한 총 도착 속도가 고정된 내부 기간 동안 대역폭 미만일 때 발생합니다.

  • Bandwidth violation reports(대역폭 위반 보고서) - 이러한 보고서는 의심스러운 플로우 발견과 관련된 이벤트에 의해 생성됩니다. 각 보고서에는 이벤트가 발생한 흐름에 대한 식별 정보가 포함되어 있습니다. 이 정보는 의심스러운 플로우를 추적하고 플로우 테이블에 배치된 플로우를 식별하는 데 사용됩니다. 표 2 에서는 각 위반 보고서를 트리거하는 이벤트에 대해 설명합니다.

    표 2: 대역폭 위반 보고서에 대한 이벤트 트리거

    이름

    묘사

    DDOS_PROTOCOL_VIOLATION_SET

    제어 프로토콜에 대한 수신 트래픽이 구성된 대역폭을 초과했습니다.

    DDOS_PROTOCOL_VIOLATION_CLEAR

    위반된 제어 프로토콜에 대한 수신 트래픽이 정상으로 돌아왔습니다.

보고서는 이벤트에 의해 트리거된 경우에만 전송됩니다. 즉, null 또는 빈 보고서가 없습니다. 보고서가 주기적으로 작성되기 때문에 마지막 보고서 이후의 간격 동안 발생하는 이벤트만 관심 있는 이벤트입니다.

관련 설명서

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
17.3R1 시리즈
Enhanced Subscriber Management는 Junos OS 릴리스 17.3R1부터 컨트롤 플레인 디도스(DDoS) 공격 보호를 위한 플로우 감지를 지원합니다.