DDOS Фильтрация хостов на cisco

Q: Можно ли нуллроутить трафик не по destination адресу, а по source адресу? Чтобы, например, отбрасывать трафик приходящий из конкретных AS в случае DDoS-а?

Вроде существует подобная фильтрация с помощью fake-AS

A: Маршрутизировать таким образом можно (называется policy-routing), но на сколько это будет Вас спасать — вопрос спорный.

Пример:

ip route 192.168.100.1 255.255.255.255 Null0
 
 ip access-list standard bad-hosts
 permit 1.1.1.1 0.0.0.0
 permit 2.2.2.2 0.0.0.0
 
 route-map NULL-ROUTE permit 5
 match ip address bad-hosts
 set ip next-hop 192.168.100.1
 
 interface Gix/x
 ip policy route-map NULL-ROUTE

Будете просто в ACL bad-hosts дописывать адреса «вражеских» хостов.

habrahabr.ru

Статьи по теме

0