[GTER] RES: BGP - Anuncios Internacionais

[Wladimir Pereira Nery]

Filtro para nao receber o bloco do atacante nao resolve, pois
manipularia apenas o trafego sainte da rede.

---

Max, sobre a duvida do menor prefixo anunciavel e aceitavel na internet,
voce pode utilizar ate o /24 para a solucao que voce encontrou.

Uma confirmacao dos seus anuncios podem ser vistos no endereco
http://lg.he.net

---

De toda forma, o ideal seria o seu upstream fornecer funcionalidades
para aplicar communities BGP, tais como: 'blackholes', bloqueio de
anuncios internacionais, etc.
Nao teria que condenar todos os outros IPs pertencentes ao /24 que nao
estao sob ataque.


Abs.,

Wladimir Pereira



Em Sex, 2012-02-24 às 12:49 -0200, gter-request at eng.registro.br
escreveu:
> Message: 8
> Date: Fri, 24 Feb 2012 11:37:42 -0300
> From: "Rodrigo Augusto" <rodrigo at 1telecom.com.br>
> To: <maxbauer at routerbox.com.br>,       "'Grupo de Trabalho de
> Engenharia e
>         Operacao de Redes'"     <gter at eng.registro.br>
> Subject: [GTER] RES:  BGP - Anuncios Internacionais
> Message-ID: <6093FF873CF04E2CB374962B306935DA at TI01>
> Content-Type: text/plain;       charset="iso-8859-1"
> 
> Voce n?o poderia simplesmente fazer um filtro para n?o receber o bloco
> do
> ASN que est? lhe atacando na sua borda ?
> 
> 
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> Em
> nome de Max Bauer - RouterBox
> Enviada em: sexta-feira, 24 de fevereiro de 2012 09:11
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: [GTER] BGP - Anuncios Internacionais
> 
> Bom dia a todos,
> 
> Pessoal estou com um problema que j? est? se arrastando por v?rios
> dias, 
> e que infelizmente n?o estou conseguindo chegar
> a uma solu??o definitiva, ou ao menos, tempor?ria.
> 
> Sou administrador de um core de rede, onde ? concentrado 1GB de link 
> internet, e a mais ou menos 15 dias, estamos sofrendo
> ataques DDoS diariamente em alguns dos nossos blocos de ip,
> infelizmente 
> a operadora que utilizamos para link internet n?o
> tem qualquer prepara??o para agir nesses casos, sempre que detectamos
> os 
> ataques bloqueamos o ip atacado no servidor,
> por?m somente isso n?o resolve pois os atacantes ainda utilizam da
> banda 
> do circuito ip para chegar no nosso servidor,
> para somente ali ser bloqueado.
> Sempre que entramos em contato com o fornecedor, eles dizem que n?o
> tem 
> o que fazer, que ? para se virarmos... imaginem
> a minha situa??o.
> 
> Vendo esse problema se arrastar por v?rios dias, fui obrigado a
> procurar 
> outro fornecedor que me ajudasse, e que tivesse em
> sua estrutura appliances e experi?ncia para lidar com esse tipo de 
> problema, at? a?, tudo bem, por?m n?o posso me desligar totalmente
> de uma operadora e migrar para a outra de uma ?nica vez, vendo assim, 
> tive uma id?ia, divulgar apenas os blocos que est?o
> sendo atacados na nova operadora, agora a grande quest?o:
> 
> *Para n?o ter problemas com an?ncios internacionais, qual o menor
> bloco 
> de ip que pode ser divulgado?*
> 
> Pergunto isso, pois em alguns sites, tendo lido que an?ncios com
> blocos 
> menores que /23 s?o simplesmente ignorados internacionalmente,
> at? onde isso ? verdade? Pois eu tenho em mente, de "quebrar" os meus 
> blocos em /24 para divulgar na nova operadora apenas os atacados.
> 
> Algu?m tem alguma id?ia para compartilhar com o amigo aqui?
> 
> -- 
> Att.
> 
> Max Bauer Marcelino
> http://www.routerbox.com.br
> 
> maxbauer at routerbox.com.br
> (44) 3232-8300 - Ramal 242
> (44) 9803-5539