为什么BGP FLOWSPEC在DDOS缓解方面是一个进步

是否记得服务提供商通常何时需要使用远程触发黑洞（RTBH）来缓解DDOS攻击？使用RTBH，我们只有两种方法，基于源和基于目标。我们基本上采取最难的方法。从源中删除所有流量或将所有流量丢弃到目标。这可能是有意和无用的流量。

对于那些不熟悉RTBH的人，当我们说目标-RTBH时，我们已经将特定的下一跳设置为Null0。当启动触发路由器时，它会将路由注入此目标，将下一跳更改为专门配置的下一跳。我们还可以将其识别为“下拉”下一跳。

与基于目标的源相比，源RTBH利用触发路由器将源路由注入到丢弃。关键因素是单播反向路径转发（uRPF），它用于丢弃数据包，因为我们将下一跳设置为Null0。

ACL怎么样？这些仍然是DDoS最广泛使用的缓解工具。不幸的是，这些提供了太多的开销和维护。具有数百个ACE的ACL变得麻烦并且难以定义配置的特定线路。

利用一种允许我们更细化的机制会很棒。如果我们可以根据以下内容创建与特定流匹配的指令，该怎么办？

• 资源
• 目的地
• 第4层
• 数据包特定项（长度，片段，例如）

这就是BGP Flowspec提供的：一种非常精细的DDoS缓解方法。

在RFC 5575中定义并由IETF更新，我们现在使用新的SAFI定义：

• AFI 1 / SAFI 133 - Flowspec规则的IPv4传播
• AFI 1 / SAFI 134 - VPNv4传播Flowspec规则
• AFI 2 / SAFI 133 - 流传规则的IPv6传播
• AFI 2 / SAFI 134 - VPNv6传播Flowspec规则

BGP Flowspec与特定流程匹配，通过此流程，我们可以有效地安装动态操作，可以丢弃流量，将其放入不同的转发实例进行进一步检查，或者警察到所需的速率。

以下是BGP Flowspec支持的一些匹配字段：

• 目的地址
• 来源地址
• IP协议
• 源端口
• 目的端口
• ICMP代码
• TCP标志

BGP Flowspec将扩展社区定义为要对匹配字段执行的操作，例如：

• 交通率（下降/警察）
• 下一跳重定向
• VRF重定向
• DSCP标记

我们来看一下BGP Flowspec架构的图示：

image.png

在我们查看此图时，我们必须首先确认Flowspec路由器。这是注入BGP Flowspec NLRI的控制器。Flowspec路由器将这些流通告给提供商网络中的其他路由器。一旦收到，这些设备就会在硬件中对流进行编程，并根据查找，设备可以采取适当的措施。在此拓扑中，我们将在Edge处将DDoS流​​量速率限制为1M。