Wanguard Sensor (passive) + Flowspec + Wanguard Filter (scrubber)
π‘οΈ Implementasi DDoS Mitigation dengan Wanguard Flowspec + Filter
(Tanpa RTBH)
Latar Belakang
DDoS bisa menyerang langsung IP publik tenant. Solusi klasik seperti RTBH (Remote Triggered Black Hole) sering digunakan, tapi punya kekurangan utama: memutus total akses ke IP korban.
Solusi yang lebih presisi dan modern adalah menggabungkan:
-
π§ Wanguard Sensor untuk deteksi serangan
-
π₯ Wanguard Filter sebagai scrubber
-
π‘ BGP Flowspec untuk filtering trafik jahat
-
π« Tanpa perlu RTBH (No blackhole)
Tujuan Arsitektur
-
Melindungi tenant dari DDoS tanpa mematikan IP korban
-
Menyaring trafik jahat di edge (Nokia router) sebelum masuk ke internal jaringan
-
Membersihkan trafik yang lebih kompleks melalui Wanguard Filter
Komponen yang Digunakan
| Komponen | Peran |
|---|---|
| Wanguard Sensor | Mendeteksi pola DDoS (NetFlow/sFlow/port mirror) |
| Wanguard Filter | Menyaring trafik berdasarkan signature (packet/flow-based) |
| Router Nokia SR OS | Menjadi edge router, menerima rule Flowspec |
| BGP Session Flowspec | Kanal komunikasi antara Wanguard dan router |
| Redirect to Scrubber (opsional) | Untuk serangan layer 7 atau spoofed traffic |
Arsitektur dan Flow
+------------------+
| INTERNET |
+--------+---------+
|
Incoming Traffic
|
v
+------------------+
| EDGE ROUTER |
| (Nokia SR OS) |
+---+----------+---+
| |
| | Mirror/SPAN/NetFlow
| v
Clean or Malicious +----------------------+
| | WANGUARD SENSOR |
| | (Passive Monitoring) |
| +----------+-----------+
| |
+--------------+ +--------------------+
| | Detects DDoS |
| | Sends BGP Flowspec |
| v |
| +-------------------------+ |
| | BGP FLOWSPEC RULES | |
| +-------------------------+ |
| | |
| Matches attack traffic? |
| | |
+-----v-----+ +----v-----+ +----v-----+
| CLEAN | No β DROP attack | REDIRECT | βββββ | FILTER |
| TRAFFIC | via Flowspec | to SCRUB | |(scrubber)|
+-----------+ +----------+ +----+-----+
| Yes |
| βββββββββββββββββ CLEAN TRAFFIC ONLY |
| |
v v
+---------------------------------------------------------------+
| PROTECTED TENANT |
+---------------------------------------------------------------+
Penjelasan Jalur
- Normal/Clean Traffic:
- Masuk dari Internet ke Edge Router
- Tidak terdeteksi sebagai DDoS
- Tidak cocok dengan rule Flowspec β langsung diteruskan ke tenant
- DDoS Volume Attack (Sederhana):
- Terdeteksi oleh Sensor (via mirror)
-
Sensor mengirim Flowspec ke router
-
Router drop traffic yang cocok (berdasarkan dst IP, port, proto, dst prefix, dsb)
- DDoS Kompleks (Spoofed/Layer 7):
-
Sensor tidak cukup untuk handle via Flowspec
-
Sensor trigger redirect to scrubber (Wanguard Filter)
-
Filter menyaring secara granular, hanya teruskan clean traffic
-
Tenant tetap dapat akses normal
-
Tahapan Implementasi
1. Persiapkan Infrastruktur Dasar
| Komponen | Deskripsi |
|---|---|
| Router (Nokia SR OS) | Pastikan support NetFlow/sFlow/SPAN + BGP Flowspec |
| Server Wanguard Sensor | Pasang di lokasi yang menerima mirror flow |
| Server Wanguard Filter | Opsional, dipasang jika diperlukan scrubber |
| BGP Session Internal | Untuk koneksi Sensor β Router via Flowspec |
2. Konfigurasi MirrorSource /Traffic Flow(NetFlow Exportatau di RouterMirror)
3. Aktifkan Sensor
-
Masuk ke: Sensors > Sensors
-
KonfigurasikanKlikBGPβAddFlowspecNewke router Nokia Diperlukan hanya jika traffic jahat tidak bisa ditangani Flowspec-
SensorIsi:bisa-
redirectName:
via BGP next-hop atau VLAN routingEdgeSensor -
PasangSource:serverpilihfilterRouter1di jalur(yangbisatadimenerimakamuredirectDi Filter:Atur interface inputbuat)-
AktifkanRole:modeDetectionpacket inspectiononly -
AturThresholdoutput(example):ke-
viaPPS
bridge/NAT/routingthreshold:50000 -
BPS threshold:
200000000(200 Mbps)
tenant -
-
Klik Save
trigger -
Contoh BGP Flowspec config (di Sensor):Sensorβ
[BGP]
type = flowspec
router-id = 10.0.0.10
neighbor = 10.0.0.1
local-as = 65001
remote-as = 65001
family = ipv4-flowspec4. Konfigurasi BGP Flowspec di Router Nokia
configure router bgp
group "wanguard-flowspec"
type internal
neighbor 10.0.0.10
family flowspec-ipv4
send
receive5. Buat Flowspec Policy (Drop)
configure policy-options
policy-statement "flowspec-policy"
entry 10
match family flowspec-ipv4
then discard6. Konfigurasi Wanguard Filter (Scrubber)
Sensor ini akan mulai analisis flow/mirror secara pasif.
4. Set BGP Flowspec Connection
-
Masuk ke: Settings > BGP Configuration
-
Klik βAdd New Peerβ
-
Isi:
-
Type:
Flowspec -
Local IP:
10.0.0.10(IP dari server sensor) -
Remote IP:
10.0.0.1(edge router) -
AS Number: sesuai BGP internal (misal: 65001)
-
Enable: β
-
-
Klik Save
Pastikan koneksi BGP Flowspec ini established (lihat status).
5. Buat Response Rule (Flowspec Injection)
-
Masuk ke: Sensors > Responses
-
Klik βAdd New Responseβ
-
Isi:
-
Name:
Flowspec-Drop -
Action:
Inject BGP Flowspec -
Match:
-
TCP SYN flood β dst port = 2211 (contoh)
-
UDP flood β dst port = 53 (contoh)
-
Bisa match berdasarkan pps/bps
-
-
Behavior:
discard
-
-
Klik Save
Wanguard akan otomatis mengirim Flowspec rule saat traffic match attack pattern.
6. Konfigurasi Wanguard Filter (Scrubber)
Kalau kamu pakai Wanguard Filter juga, maka:
-
Masuk ke Filters > Filters
-
Klik βAdd New Filterβ
-
Isi:
-
Mode:
BridgeatauRedirect -
Input Interface:
eth0 -
Output Interface:
eth1Mode Kapan digunakan Penjelasan Bridge Jika Wanguard Filter berada inline (di tengah jalur) Traffic melewati eth0 β difilter β keluar lewat eth1 Redirect Jika router mengarahkan (Flowspec redirect) ke IP filter Traffic masuk ke IP filter lalu dikembalikan setelah dibersihkan Pilih yang mana?
-
Kalau kamu taruh Filter langsung di jalur trafik (di antara router dan infra/tenant): pakai Bridge
-
Kalau kamu gunakan Flowspec redirect, router akan kirim traffic ke IP filter: pakai Redirect
Interface Fungsi Tersambung ke eth0Input: menerima trafik mentah Dari router / port mirror eth1Output: kirim trafik bersih Ke tenant / LAN clean zone -
-
-
Atur rule filtering:
-
TCP SYN threshold
-
Drop spoofed IP
-
Allow specific ports/IPs
TCP SYN ThresholdDigunakan untuk mendeteksi TCP SYN flood
-
Contoh:
1000 ppsArtinya, kalau ke satu IP/port ada >1000 TCP SYN per detik, dianggap attack
Rekomendasi:
-
Di bawah 500 β false positive
-
Di atas 2000 β bisa telat mendeteksi
Saran: 1000β3000 pps tergantung kebutuhan
Drop Spoofed IPFungsi: otomatis drop traffic dari IP tidak valid atau spoofed
Yang dideteksi dan di-drop:
-
Private IP dari Internet (misal
192.168.x.x) -
IP loopback, multicast, reserved
-
TTL aneh (TTL <10)
-
IP yang tidak sesuai routing table
Aktifkan opsi ini untuk mengurangi noise attack yang tidak valid
Allow Specific Ports/IPsFungsi: memperbolehkan traffic tertentu tetap lewat meskipun sedang ada mitigasi
Contoh use case:
-
Kamu ingin tetap allow port 443 (HTTPS) meskipun sedang diserang SYN port 2211
-
Atau ingin tetap allow IP internal tertentu (misal IP CDN)
-
-
Setting Value yang disarankan Mode Redirect(jika pakai Flowspec) atauBridgejika inlineInput Interface eth0(dari router/SPAN/Flowspec)Output Interface eth1(ke tenant atau clean segment)TCP SYN threshold 1000β3000 ppsDrop Spoofed β Aktifkan Allow ports/IP Tambahkan sesuai kebutuhan (port 443, IP tertentu)
-
-
Klik Save & Start Filter
Kamu bisa sambungkan sensor ke filter melalui Response type: Redirect via BGP next-hop jika router support redirect via Flowspec.
7. Uji Coba dan Simulasi
-
Simulasikan SYN flood atau DNS flood
-
Lihat apakah:
-
Sensor mendeteksi trafik
-
Flowspec muncul di router
-
Traffic jahat di-drop
-
Clean traffic tetap jalan
-
8. Monitoring & AlertingLogs
-
AktifkanDashboardnotifikasiβdiuntukWanguard jika ada attack Pantau dashboard:Victim IPpps, bps, protoFlowspec yangserangan aktif-
AktivitasLogsFilter> Flowspec β lihat rule yang di-inject
-
Sensors > Attacks β histori serangan
-
Filters > Cleaned Packets β statistik scrubber
Hasil Akhir yang Diharapkan
| Komponen | Fungsi |
|---|---|
| Sensor | Monitor trafik tanpa mengganggu jalur |
| Router | Menerapkan Flowspec rules (drop/redirect) |
| Filter | (Jika dipakai) Membersihkan trafik lalu meneruskan ke tenant |
| Tenant | Tetap online, trafik jahat disaring sedini mungkin |