Flow Spec
正しくは、Dynamic Firewall Rule Propagation と言うらしい。複数の発生元からの DDoS 攻撃を防ぐ為、BGP を使って分散型トラフィックフィルタリングをするひとつの方法。
http://tools.ietf.org/wg/idr/draft-ietf-idr-flow-spec/
-
- 今のところ実装をしているのは、Juniper (M/T series) と Arbor くらい。Cisco も Author だけど、まだ未実装。(Cisco Guard とかとぶつかるから?)
- フィルタリングを目的としたルーティング情報が、Flow Route (JUNOS の実装では、inetflow.0) として識別をする事ができる
- 動的フロールートを生成するには、arbor 製品との連携が必要
- Juniper だけだと、DDoS が検知された場合に、設定を投入して静的にフロールートを作成する事が必要
- source/destination address、source/destination port などのルール指定も可能
- フローに対するアクションは、BGP 拡張 community で受け渡す
- アクションは、drop だけじゃなく、rate-limit とかも可能