Konfigurasi BGP Flowspec dengan GoBGP

BGP Flowspec merupakan salah satu solusi yang digunakan untuk mitigasi serangan berjenis DDoS (DDoS mitigation solution) yang dispesifikasi pada RFC 5575. Ide dibalik RFC tersebut adalah menggunakan BGP route untuk meng-advertise detail informasi mengenai serangan yang dilancarkan attacker. Informasi Flow Specification di encoding ke dalam Multi-Protocol BGP NLRI.

Ada beberapa matching rules yang bisa dipakai sebagai  Flow Specification seperti :

Ketika ada trafik yang identik dengan flowspec NLRI, tahap selanjutnya yaitu memberi action terahadap traffic tersebut, beberapa actioan yang dapat dieksekusi antara lain :

Untuk mendemonstrasikan kegunaan BGP flowspec, kita akan melakukan test LAB dengan menggunakan topologi seperti berikut:

Topologi diatas terdiri dari 2 AS Number yaitu AS 64000(attacker ) dan AS 65000(victim). Alur dari topologi diatas yaitu attacker melakukan serangan kepada Victim, ketika paket DDoS  sampai di router edge 2 paket akan di examine based on matching creteria yang sudah didefinisakan, jika paket match maka traffic akan di redirect ke dirty VPRN 100 menuju Scrubbing Center, dan akan diforward keluar dari scrubbing center menuju router Edge 2 GRT (Global Routing Table), oleh edge 2 paket diteruskan ke victim/customer. Posting ini berfokus pada jenis serangan Network attacker ya bukan pada Application attacker.

Software yang digunakan pada LAB ini antara lain:

• GNS3 v2.1.8
• GoBGP v1.3.3
• Nokia vSR TiMOS-B-15.0.R5
• Scrubbing center disimulasikan dengan vSR router dengan tujuan hanya untuk memforward packet.

Basic configuration setiap router bisa bisa dilihat pada listing berikut :

Konfigurasi GoBGP

GoBGP adalah aplikasi open source yang dapat digunakan untuk mengerate macam-macam route bgp seperti Flowspec, EVPN, BMP, dll. GoBGP berjalan diatas linux OS dan dapat diinstall dengan mengunduh paket binary release dari Github. Ketika paket sudah di extract, terdapat dua file didalamnya yaitu gobgpd dan gobgp. Selanjutnya buat file konfigurasi dasar yang berisi informasi neighbor, AS number, tipe route, dan router-id dengan perintah vi nama_file_konfigurasi.conf.

 

Selanjutnya eksekusi file konfigurasi dengan perintah:

Hasilnya router edge 2 dan gobgp akan membuat session bgp family flowspec-ipv4 seperti berikut :

Adding Flowspec Route

Route criteria yang akan dibuat disini adalah matching destination ip victim (192.168.70.2/30) dengan action Redirect ke dirty VPRN dan akan diteruskan ke scrubbing center.

Perintah yang akan digunakan untuk add route pada GoBGP adalah sebagai berikut :

Flow specification tersebut akan diimplementasikan di interface IES yang terkoneksi dengan edge1, pada router nokia implementasi flowspec dilakukan pada ip-filter, disini akan dibuat ip-filter dengan id 100 seperti dibawah ini :

default-action yang digunakan adalah forward, artinya jika ada traffic yang tidak matching dengan flow-spec maka akan diallow, command embed-filter flowspec router “Base” artinya menerapkan flow specification pada router Base (Global Routing Table).