Part 8 BGP : RTBH (Remotely Triggered Black Hole) untuk Mitigasi Serangan DDoS
Selamat datang di Part 8! Pernahkah satu IP pelanggan Anda diserang DDoS masif hingga membuat seluruh jaringan ISP Anda ikut lambat atau lumpuh? Inilah mimpi buruk setiap Network Engineer.
Saat serangan DDoS berkapasitas besar datang (misal 50 Gbps), melakukan pemblokiran (filtering) di router lokal kita sudah terlambat karena trafik "sampah" tersebut sudah terlanjur masuk dan memenuhi pipa Upstream kita. Solusinya? Kita harus menyuruh router Upstream untuk membuang trafik tersebut di sisi mereka, sebelum masuk ke jaringan kita. Teknik ini disebut BGP RTBH (Remotely Triggered Black Hole).
(DDoS 50 Gbps)")) -->|"Menyerang Target
192.168.100.99"| B(("Router Upstream
(AS: 65002)")) B -->|"TRAFIK DIBUANG!
(Blackhole / Null0)"| C(("Tong Sampah")) D["Router Kita (Lokal)
(AS: 65001)"] -.->|"Mengiklan BGP:
Tolong blokir 192.168.100.99
(Tag Community: 65002:666)"| B style A fill:#ff5f56,stroke:#fff,stroke-width:2px,color:#fff style B fill:#2d2d2d,stroke:#66d9ef,stroke-width:2px,color:#fff style C fill:#2d2d2d,stroke:#a0a0a0,stroke-width:2px,color:#fff style D fill:#2d2d2d,stroke:#a6e22e,stroke-width:2px,color:#fff
Setiap ISP Upstream besar biasanya menyediakan BGP Community khusus untuk RTBH (paling umum adalah ASN:666). Jika kita mengiklankan sebuah IP spesifik (/32) yang ditempeli community tersebut, Upstream akan otomatis mengalihkan semua trafik ke IP tersebut ke "tong sampah" (null route).
Langkah 1: Mendefinisikan Community Blackhole Upstream
Mari asumsikan ASN Upstream kita adalah 65002, dan mereka menetapkan community 65002:666 sebagai trigger Blackhole. IP pelanggan kita yang sedang diserang DDoS adalah 192.168.100.99.
set policy-options community COMM-BLACKHOLE members 65002:666
Langkah 2: Menyiapkan Policy RTBH
Kita perlu memperbarui Export Policy kita ke arah Upstream agar saat kita mengiklankan IP korban (192.168.100.99/32), IP tersebut otomatis dilabeli community blackhole.
Perhatian: Pastikan term (rule) RTBH ini berada di urutan paling ATAS pada Export Policy Anda, agar tereksekusi lebih dulu sebelum rule normal.
# Sisipkan Term RTBH (Khusus prefix /32 dari IP korban) set policy-options policy-statement UPSTREAM-OUT term RTBH-TRIGGER from route-filter 192.168.100.99/32 exact set policy-options policy-statement UPSTREAM-OUT term RTBH-TRIGGER then community add COMM-BLACKHOLE set policy-options policy-statement UPSTREAM-OUT term RTBH-TRIGGER then accept # Insert term agar posisinya berada paling atas (sebelum term MY-PREFIX normal) insert policy-options policy-statement UPSTREAM-OUT term RTBH-TRIGGER before term MY-PREFIX
Langkah 3: Mengeksekusi (Trigger) Blackhole
Agar router kita mengirimkan IP 192.168.100.99/32 ke protokol BGP, kita harus memancingnya dengan membuat static route dengan status discard (buang). Ini sekaligus mengamankan internal router kita sendiri jika masih ada sedikit sisa trafik DDoS yang masuk.
set routing-options static route 192.168.100.99/32 discard commit
Langkah 4: Verifikasi
Untuk memastikan IP tersebut sudah berhasil diiklankan ke Upstream dengan label (community) yang benar, gunakan perintah verifikasi di bawah ini:
show route advertising-protocol bgp 10.10.20.1 detail | match "192.168.100.99|Communities"
* 192.168.100.99/32 (1 entry, 1 announced)
Communities: 65002:666
Jika community 65002:666 sudah menempel, artinya Router Upstream Anda akan langsung mengeksekusi buang trafik (Null Route) untuk IP tersebut. Kapasitas link internet ISP Anda akan kembali lega dalam hitungan detik, menyelamatkan ribuan pelanggan lainnya dari imbas gangguan.
Catatan: Konsekuensi dari RTBH adalah IP target (192.168.100.99) akan "mati" total (unreachable) dari internet selama periode Blackhole, namun ini adalah pengorbanan yang diperlukan (sacrifice) untuk menyelamatkan keseluruhan jaringan.
Post a Comment