Zarejestruj się na Inna Sieć!
Masz już konto? Zaloguj się

📬 ISN 155: Ewolucja pakietów i obrona sieci: Co musisz wiedzieć?

W 155. numerze newslettera przyjrzymy się kluczowym koncepcjom IPv6, zaawansowanym narzędziom do mitigacji ataków DDoS oraz wartości dokumentacji w pracy z sieciami. Odkryj ewolucję rozmiarów pakietów w sieciach komputerowych i zgarnij paczkę książek od Cisco!
Rafał Rudewicz
9 min czytania
📬 ISN 155: Ewolucja pakietów i obrona sieci: Co musisz wiedzieć?

Kluczowe koncepcje IPv6

IPv6 Deployment Series Part 9: Understanding IPv6 Specific Concepts and the Associated Addressing
Managed Services, Professional Services and IT Solutions Provider
BlueAllykgarner

Wraz z wyczerpywaniem się puli adresów IPv4, przejście na IPv6 staje się nieuniknione. Zrozumienie unikalnych cech IPv6 jest kluczowe dla skutecznego projektowania i zarządzania nowoczesnymi sieciami.

Grupy multicastowe

W IPv6 zrezygnowano z koncepcji adresu rozgłoszeniowego (broadcast) na rzecz bardziej efektywnego mechanizmu multicast. Wszystkie adresy multicast w IPv6 zaczynają się od prefiksu FF00::/8.

Adresy multicast o zasięgu lokalnym (link-local)

Szczególnie istotne są adresy multicast o zasięgu lokalnym, rozpoczynające się od FF02::. Obejmują one:

  1. Adres All-Nodes (FF02::1): Odpowiednik adresu rozgłoszeniowego w IPv4. Używany m.in. do wysyłania niezamówionych ogłoszeń routera.
  2. Adres All-Routers (FF02::2): Nowa koncepcja w IPv6, optymalizująca komunikację między hostami a routerami na segmencie sieci.

Adresy link-local to unikalna cecha IPv6, umożliwiająca komunikację między urządzeniami w tym samym segmencie sieci bez konieczności konfiguracji globalnego adresu IP.

  • Prefiks: FE80::/10
  • Automatycznie konfigurowane na każdym interfejsie IPv6
  • Kluczowe dla procesu wykrywania sąsiadów i konfiguracji adresów

Protokół Neighbor Discovery (NDP)

NDP zastępuje funkcje protokołów ARP i DHCP znanych z IPv4. Wykorzystuje adresy link-local i składa się z pięciu typów komunikatów:

  1. Neighbor Advertisement: Ogłoszenie własności adresu
  2. Neighbor Solicitation: Zapytanie o adres warstwy łącza
  3. Router Advertisement (RA): Kluczowy dla konfiguracji hosta
  4. Router Solicitation: Żądanie informacji konfiguracyjnych
  5. Redirect: Informacja o lepszej trasie dla ruchu

Router Advertisement

Pakiety RA są kluczowe dla automatycznej konfiguracji hostów w IPv6. Zawierają informacje o:

  • Metodzie konfiguracji adresu (SLAAC, DHCPv6 stanowy lub bezstanowy)
  • Prefiksie sieci
  • Czasie życia adresu
  • MTU łącza

Duplicate Address Detection (DAD)

DAD to mechanizm zapobiegający konfliktom adresów w środowiskach, gdzie konfiguracja odbywa się automatycznie (SLAAC) lub poprzez DHCPv6 bezstanowy.

  • Wykorzystuje specjalny pakiet Neighbor Solicitation
  • Kluczowy dla bezpieczeństwa i stabilności sieci IPv6

Zrozumienie koncepcji multicast, adresów link-local oraz protokołu Neighbor Discovery jest fundamentalne dla skutecznego wdrażania i zarządzania sieciami IPv6. Te mechanizmy nie tylko zastępują znane z IPv4 rozwiązania, ale także wprowadzają nowe możliwości w zakresie automatyzacji, skalowalności i efektywności sieci.

Zaawansowane narzędzie do mitigacji ataków DDoS

The ultimate weapon against DDoS — BGP Flowspec | APNIC Blog
Guest Post: How to filter malicious traffic directly at the network edge, without third-party scrubbing centres.
APNIC BlogPavel Odintsov

W dzisiejszym świecie, gdzie ataki Distributed Denial-of-Service (DDoS) stają się coraz bardziej wyrafinowane, inżynierowie sieciowi poszukują efektywnych rozwiązań do ochrony infrastruktury. BGP Flowspec (RFC 8955) oferuje potężne narzędzie do walki z atakami wolumetrycznymi bez konieczności korzystania z zewnętrznych centrów oczyszczania ruchu DDoS. Przyjrzyjmy się bliżej, jak to działa i jakie ma zastosowanie w praktyce.

Czym jest atak DDoS wolumetryczny?

Atak DDoS wolumetryczny generuje ogromną ilość ruchu sieciowego skierowanego na ofiarę. Przepustowość takiego ataku może sięgać od setek megabitów do kilkuset gigabitów na sekundę. Ataki te często wykorzystują technikę amplifikacji, zwiększając swoją siłę rażenia.

Anatomia pakietów DDoS

Chociaż teoretycznie wszystkie pola nagłówków IPv4 i IPv6 mogą być wykorzystane w ataku, w praktyce najczęściej spotykamy się z następującymi typami ruchu:

  1. Amplifikacja DNS: UDP, port źródłowy 53, możliwa fragmentacja, duże pakiety
  2. Amplifikacja NTP: UDP, port źródłowy 123, możliwa fragmentacja, duże pakiety
  3. TCP SYN flood: TCP, flaga SYN ustawiona, losowe porty źródłowe
  4. Amplifikacja SSDP: UDP, port źródłowy 1900, duże pakiety, możliwa fragmentacja

BGP Flowspec jako uniwersalne rozwiązanie

Głównym wyzwaniem w filtrowaniu ruchu DDoS jest różnorodność protokołów i interfejsów używanych przez producentów sprzętu sieciowego do zarządzania ACL i zaporami. BGP Flowspec działa jak "lingua franca", oferując ustandaryzowany sposób konfiguracji filtrów na urządzeniach różnych producentów.

Możliwości filtrowania BGP Flowspec

BGP Flowspec pozwala na filtrowanie ruchu na podstawie następujących kryteriów:

  • Prefiks źródłowy i docelowy (IPv4 lub IPv6)
  • Numer protokołu IP
  • Zakresy portów źródłowych i docelowych dla TCP i UDP
  • Kod ICMP
  • Flagi TCP
  • Długość pakietu
  • Flagi fragmentacji
  • DSCP

Wspierane akcje dla ruchu

BGP Flowspec oferuje różne akcje, które można podjąć wobec zidentyfikowanego ruchu:

  • Odrzucenie
  • Ograniczenie przepustowości
  • Akceptacja
  • Oznaczenie (DSCP)
  • Przekierowanie do VRF
  • Przekierowanie do następnego przeskoku

Wsparcie producentów dla BGP Flowspec

Większość głównych producentów sprzętu telekomunikacyjnego oferuje wsparcie dla BGP Flowspec, w tym:

  • Juniper (MX, PTX)
  • Cisco (ASR 1000, ASR 9000, NCS 5500)
  • Nokia SR
  • Huawei
  • Arista
  • Extreme
  • 6Wind VSR

Należy jednak pamiętać, że implementacje mogą się różnić między producentami, co wymaga uwagi przy konfiguracji i wykorzystaniu w środowisku multi-vendor.

Ograniczenia specyficzne dla producentów

Różnice w implementacji BGP Flowspec między producentami mogą prowadzić do pewnych ograniczeń operacyjnych. Oto kilka przykładów:

Arista

  • Ograniczone wsparcie dla flag fragmentacji i TCP
  • Brak możliwości łączenia portów źródłowych i docelowych z flagami fragmentacji w jednej regule

Extreme

  • Ograniczone wsparcie dla flag fragmentacji
  • Brak wsparcia dla dwubajtowych flag TCP
  • Precyzja ograniczania przepustowości oparta na wielokrotnościach 22 Kbps

Cisco ASR 9000

  • Maksymalnie pięć zakresów wielowartościowych w jednej regule Flowspec
  • Wzajemne wykluczanie się opcji dopasowania pierwszego i ostatniego fragmentu IPv6

BGP Flowspec w środowisku międzyoperatorskim

BGP Flowspec może być stosowany między różnymi systemami autonomicznymi (ASN), co pozwala na wykorzystanie zasobów operatora do filtrowania ataków DDoS. Wiele firm telekomunikacyjnych oferuje taką usługę, często za dodatkową opłatą.

Operatorzy, którzy oferują wsparcie dla BGP Flowspec, to między innymi Core Backbone, Sparkle, RETN, Rascom, SMARTNET, Inter.Link i Hurricane Electric.

Korzystanie z BGP Flowspec w środowisku międzyoperatorskim wymaga jednak szczególnej uwagi ze względu na:

  • Konieczność dokładnej walidacji reguł przed ich akceptacją
  • Ograniczoną widoczność efektywności poszczególnych reguł
  • Twarde limity liczby reguł BGP Flowspec

BGP Flowspec to dojrzały protokół, który oferuje skuteczne narzędzie do mitigacji ataków DDoS wolumetrycznych bez konieczności korzystania z zewnętrznych centrów oczyszczania ruchu. Jego uniwersalność i wsparcie ze strony głównych producentów sprzętu sieciowego czynią go atrakcyjnym rozwiązaniem.

Paczka książek od Cisco

Humble Tech Book Bundle: Cisco Certification Prep by Cisco Press and Pearson IT
Get this library of tech ebooks and courses from Cisco Press today—pay what you want & support charity!
Humble Bundle

18 e-booków od Cisco Press za niecałe 20$ i do tego większość kasy pójdzie na cele charytatywne. W paczce Humble Bundle od Cisco Press znajdziesz między innymi książki z CCST, CCNP Security, Data Center i Collaboration.

Po co Ci dokumentacja?

Best Practices for Network Documentation: A Guide for Network Engineers — Layer8Packet
Effective network documentation is crucial for managing complex infrastructures, enabling smooth troubleshooting, scaling, and collaboration within IT teams. This blog outlines the best practices for creating and maintaining network documentation, including standardized formats, automation tools lik
Layer8PacketPat Allen

Dokumentacja sieciowa jest niezbędnym elementem zarządzania infrastrukturą, który wspiera procesy rozwiązywania problemów, współpracę zespołową oraz zgodność z regulacjami. Artykuł opisuje najlepsze praktyki dokumentowania sieci.

Ewolucja rozmiarów pakietów w sieciach komputerowych

Świetnie! Udało ci się pomyślnie zarejestrować.
Witaj z powrotem! Zalogowałeś się pomyślnie.
Pomyślnie subskrybowałeś Inna Sieć.
Twój link wygasł.
Sukces! Sprawdź swoją skrzynkę e-mailową, aby uzyskać magiczny link do logowania.
Sukces! Twoje informacje rozliczeniowe zostały zaktualizowane.
Twoje informacje rozliczeniowe nie zostały zaktualizowane.