blackhole mikrotik bgp — ddos attack reflection

Конфигурация:
1) политика (/routing filter)
2) объявление сети для bgp (/routing bgp network)
3) static route на /32 (если в пункте два указал syncronize=yes)

Проверка:
/routing bgp advert

set-bgp-communities=9049:6666 - установить bgp-community
bgp-community - фильтр по маршрутам, у которых уже есть указанное community

Необходимые действия:

where

ip: 87.251.41.268

attacked client

as number your provider: 9049

 

/ip route
add bgp-communities="" distance=244 dst-address=87.251.41.268/32 type=blackhole

/routing bgp network
add comment="For BLACKHOLE" network=87.251.41.268/32

/routing filter
add action=accept address-family=ip append-bgp-communities="" chain=TO-DOM.RU comment=ddos prefix=87.251.41.268 prefix-length=32 set-bgp-communities=9049:6666

check that the subnet is being announced via bgp

/routing bgp advertisements print peer=galaxydata

print

PEER PREFIX NEXTHOP AS-PATH 
galaxydata 87.251.41.268/32 168.134.164.31

 

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.