Aug 9, 2008

Remote Triggered Black Hole(RTBH) Configuration Sample

基本設定步驟如下:
(1)每個Router上設置一筆static route指向null0,通常會使用192.0.2.0/24這個unused IP Range。
(2)"Tigger" Router上設置redistribution,通常是透過static route,同時設置不同的參數,包括設定192.0.2.0/24範圍的IP Address當成是next-hop。
(3)當Remote Router學習到網路資訊時,它們會在routing table中針對被攻擊的網段或是主機IP位址設置一筆路由,next-hop為192.0.2.0/24這個範圍的IP Address。

R1(config)#ip route 192.0.2.2 255.255.255.255 null0
R2(config)#ip route 192.0.2.2 255.255.255.255 null0

R2(config)#route-map BLACKHOLE
R2(config-route-map)#match tag 911
R2(config-route-map)#set community no-export
R2(config-route-map)#set ip next-hop 192.0.2.2
R2(config-route-map)#set origin igp

R2(config)#router bgp 100
R2(config-router)#address-familiy ipv4 unicast
R2(config-router-af)#redistribute static route-map BLACKHOLE

R2(config)#ip route 203.203.203.203 255.255.255.255 192.0.2.2 tag 911
!假設203.203.203.203是攻擊受害者,我們在R2上利用BGP宣告設置black hole
!利用static route設置受害者所使用的IP Address來Trigger RTBH,宣告給所有BGP Border Speaker

R1(config)#int null0
R1(config-if)#no ip unreachable

R2(config)#int null0
R2(config-if)#no ip unreachable
Post a Comment