我能实现BGP流程规范吗？

Question

这个问题是关于BGP flowspec的一般信息，我能实现BGP流规范来阻止DDoS吗？RTBH不是我们想要的，因为它黑掉了所有的流量，我们想要Layer 4级别的D2，在那里我们可以告诉BGP去黑洞目的地port 500。

• 大问题是我需要我的ISP或同侪ISP的支持吗？
• 我需要特殊的设备来实施吗？
• 或者这种服务只有ISP才能做，我们可以作为客户使用吗？

我做了谷歌，发现所有的答案，但仍然有一些基本的问题在我的脑海中，我认为我会得到答案在这里。

https://www.netcraftsmen.com/bgp-flowspec-step-forward-ddos-mitigation/

Answer 1

大问题是我需要我的ISP或同侪ISP的支持吗？

通常，您只在自己的网络中使用bgpflowspec规范。我知道只有一个主要的ISP愿意与他们的下游客户进行流程规范，我从未见过任何网络愿意接受他们的同行的bgpflowspec规范。

很难在网络之间对bgpflowspec规范进行适当的过滤，因为您在网络上设置的过滤器(可能是全局的)应该只应用于专门针对您的网络的上游网络。您的“丢弃所有Memcached流量”bgpflowspec规范规则只应适用于您的IP地址，而不应适用于您的同行或上游的所有通信量。您的bgpflowspec规范规则扰乱另一个网络的风险通常太大，无法使其成为适当的解决方案。

配置不当的bgpflowspec规范规则也会严重破坏您自己的网络。很久以前，我通过清空一个前缀列表，极大地改进了我们网络的垃圾邮件过滤能力，该列表用于为垃圾邮件发送者应用SMTP过滤器。那天，我艰难地了解到，在Juniper上，bpgflowspec规则上的一个空IP前缀列表等于“匹配任何IP地址”。

我需要特殊的设备来实施吗？

你需要支持它的路由器。您只使用Cisco标记此问题，但当然只有特定的Cisco模型支持此问题。此外，您还可以使用bgp客户端(如Exabgp )注入bgpflowspec规范路由。

或者这种服务只有ISP才能做，我们可以作为客户使用吗？

您并没有具体说明您在运行哪种网络，使用什么设备和拓扑，以及如何连接到您的上游ISP(s?)。至少您需要在网络中运行BGP，否则，运行bgpflowspec是没有意义的。此外，至少有一些设备需要支持bgpflowspec规范，这些设备应该放置在网络的所有边界附近，这样您就可以实际阻止通信量。