[GTER] Um DDoS lotou seu enlace. Você sabe para onde estão indo seus pacotes BGP?
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Tue Feb 22 11:39:18 -03 2011
On 22-02-2011 11:15, Diogo Montagner wrote:
> Switch com qos na frente do roteador não vai resolver se o upstream
> não tiver qos na saida (link que vai em direção ao switch). Voce não
> tem como fazer a priorização se o congestionamento ocorreu antes de
> voce (no caso o switch).
Isto é óbvio.
Citei o uso de uma switch como forma alternativa para impedir o DDoS no
plano de dados, de alcançar a CPU do roteador. Em um roteador por
hardware que preste, estas defesas estão embutidas no próprio e só
precisam ser configuradas. Em um roteador por software que não aguente
por si só tratar tanto pacote na firewall da interface, precisa da
"ajuda extra" da switch que vai filtrar na matriz de comutação em line-rate.
> Esse paper do CXPST para mim não ficou claro alguns detalhes do test
> bed. Eu não encontrei a presença da informação do tipo de roteadores
> utilizado na simulação. O que eu consegui concluir é que o teste foi
> baseado em roteadores que possuem control-plane separado do
> forward-plane mas eles não independentes. O artigo fala em data
> traffic congestionando um link a ponto de desconectar dois
> roteadores: para mim isto só acontece se o control-plane e
> forward-plane estão compartilhando recursos.
O tráfego BGP vem pelo mesmo enlace que os dados a serem transportados,
o que está de acordo com a prática mais comum (99.9999% dos casos :-p ).
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the gter
mailing list