最近DDoSアタックが多くなってきてトラフィックが上がってしまい、サービスに影響が多くなってきた。 それでデータセンター単位でブロックする方法として一番効率高い機能を探したらRTBRという方法を利用している。 RTBRという方法はターゲットIPを網内から通信ができないように遮断するルーティング方法で、処理方法は簡単だけど正常トラフィックまだ遮断するので良いとは言えない。 しかし、ターゲットになって処理まで時間がかかってしまい全てのネットワークが死ぬよりましだ。 最近のハッカーは制限された領域への攻撃が多かったが最近は国家範囲の被害を受けるほど強くなってきたのでサービスに莫大な影響が与えられた。 このRTBRを利用すると次の利点がある。 1.ネットワーク機器の性能がそんなに良くなくてもiBGP advertisement機能が使える一般的なルータでも利用可能。 2.追加のセキュリティ機器が必要ない。 3.遠隔からEdgeルータを利用してすぐ遮断できる。 原理はiBGPを利用してルーティング経路をAS(Autonomous System)内のルータ達に知らせる技術と特定トラフィックをnull0ルーティングしてdropする技術である。 処理手順は次になる。 1.ブラックホールフィルタ用の使うIPを選定、RFC1918に定義したローカルIPブロックを利用。ex) 192.100.100.1 2.ISP内の全てのEdgeルータにターゲットIPをnull0 interfaceにルーティング設定 interface Null0 no icmp unreachable ip route 192.100.100.1 255.255.255.255 null0 3.ブラックホールルータ設定 Network内から一台のルータにブラックホールルータサーバ(Blackhole router server)に指定して、このルータは攻撃を受けた時新しいルーティング情報をEdgeルータ達に知らせる役割をする。iBGPを通って全てのルータにStatic routeをredistributionできるように設定する。 Configuration router bgp 101 redistribute static ro