[caiu] RES: RES: RES: RES: RES: rede BGP

Eduardo Schoedler eschoedler em viavale.com.br
Quarta Janeiro 19 18:02:52 BRST 2011


Se você configuar o blackhole, derrubar o link e subir ele novamente, não
vai ter ataque até o bgp voltar.
Mas seu anúncio pode cair em dampening na internet por causa do flapping...

--
Eduardo Schoedler


> -----Mensagem original-----
> De: caiu-bounces at eng.registro.br [mailto:caiu-bounces at eng.registro.br]
> Em nome de Rafael Cresci
> Enviada em: quarta-feira, 19 de janeiro de 2011 17:58
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] RES: RES: RES: RES: rede BGP
> 
> Não. Para colocar o sujeito em blackhole, se sua conexão estiver
> gargalada (link saturado), seria necessário ter um outra conexão
> física, separada (sei lá, 32 ou 64kbps tá de bom tamanho), onde você
> faria uma sessão BGP com o AS do seu uplink (ou com um blackhole server
> que eles especificarem, se eles tiverem), mas nessa sessão BGP você não
> anunciaria nenhum bloco de IP e nem teria trânsito sobre ele, só as
> comunidades de blackhole e os Ips bloqueados. Assim se seu link
> principal com eles engargalar, o secundário estaria no ar somente para
> colocar o IP atacado no blackhole da operadora.
> 
> []s
> Rafael
> 
> -----Original Message-----
> From: caiu-bounces at eng.registro.br [mailto:caiu-
> bounces at eng.registro.br] On Behalf Of Suporte HostGaming
> Sent: Wednesday, January 19, 2011 5:40 PM
> To: 'Lista das indisponibilidades da Internet brasileira'
> Subject: [caiu] RES: RES: RES: RES: rede BGP
> 
> Minha maior duvida e em relação ao ataque Veja se tenho os 2 links
> Recebo 100Mbps de ataque beleza, meu link vai ter gargalo, certo Mais
> consigo manda algum comando para roteador da onde ta vindo ataque e
> bloquear esse ataque?
> E problema fica no roteador antes do meu sem ter problemas de lentidão
> em minha rede?
> 
> Obrigado pelas informações estão sendo muito uteis.
> 
> 
> -----Mensagem original-----
> De: caiu-bounces at eng.registro.br [mailto:caiu-bounces at eng.registro.br]
> Em nome de Gustavo Santos Enviada em: quarta-feira, 19 de janeiro de
> 2011 16:50
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] RES: RES: RES: rede BGP
> 
> Tenho um caso com Mikrotik.
> 
> 2 servidores HP Dual Quad core Xeon, rodando ibgp entre eles, um
> upstream em cada servidor, a rede rodando Ospf para endereços IP de
> infraestrutura e IBGP/ RR(route reflectors). Com mais de 30 sessões
> ibgp ( para os roteadores dos pontos de presença) , sessões no Team
> Cymru (para filtro de bogons) ,
> IPV6 com o nic.br tanto no ptt-metro-sp quanto o trânsito experimental,
> sessõe ipv6 com a Hurricane Electric ( tunel 6to4 + bgp) , algumas
> communities e filtros de uso interno, fazendo trânsito para mais 5 AS's
> e Com aproximadament 640mbits de tráfego rodando a bastante tempo sem
> problemas.
> 
> Mas acredito que em caso de ataques DoS ou DDOS de verdade ( mais de
> 1GBPS ou mais com pacotes de 64bytes) , nenhum roteador baseado em PC
> deve suportar, seja ele linux, freebsd, vyatta, mikrotik, bird,quagga
> devem suportar.
> 
> Para suportar estes ataques, apenas roteadores baseados em hardware com
> ASIC ou FCPGA para forwarding devem suportar sem matar a CPU. Em um
> ataque como estes um Juniper / Cisco bons não devem nem sentir , mas
> seu link vai continuar entupido. Ou seja, apenas seu upstream deve
> conseguir resolver o problema.
> 
> 
> 
> Em 19 de janeiro de 2011 11:00, Jonatas M. Victor
> <jonatasmv at gmail.com>escreveu:
> 
> >  Indico também o uso de Quagga, tenho 2 DELL com 3 sessões full + 2
> > parciais c/ operadoras mais iBGP e 240mbits/s funcionando 100%. E com
> > adendo de IGP c/ OSPF. Tudo sobre FreeBSD.
> >
> > 2011/1/18 Rogerio Goncalves <rogerlz at gmail.com>:
> > > Uso vyatta community em links com mais de 200mb e funciona
> perfeitamente.
> > >
> > > Rogério Gonçalves
> > >
> > >
> > >
> > > 2011/1/18 Rosauro - RLINE <rosauro at rline.com.br>
> > >
> > >> em tempo, se quiser usar o vyatta na versão community (free) e se
> > >> virar apenas com os manuais que tem no site, também é possivel,
> mas
> > >> se
> > preferir
> > >> ter mais segurança pode usar a versão paga que tem suporte e
> > atualizações
> > >> mais rápidas.
> > >>
> > >> eu uso a versão Community em 2 roteadores e nunca tive nenhum
> > >> problema,
> > 1
> > >> deles é uma maquina Dell, que atualmente tem 80MB e em poucos dias
> > >> vai passar para 100MB. e roda mais que tranquilo..
> > >>
> > >> Atenciosamente,
> > >>
> > >> Rosauro Baretta
> > >>
> > >> Suporte HostGaming escreveu:
> > >>
> > >>  Rafael,
> > >>>
> > >>> Consigo fazer desvio caso ocorra ataques syn flood na rede?
> > >>> Usando esse vyatta?
> > >>>
> > >>>
> > >>>
> > >>> -----Mensagem original-----
> > >>> De: caiu-bounces at eng.registro.br
> > >>> [mailto:caiu-bounces at eng.registro.br]
> > Em
> > >>> nome de Rafael Cresci
> > >>> Enviada em: terça-feira, 18 de janeiro de 2011 14:23
> > >>> Para: Lista das indisponibilidades da Internet brasileira
> > >>> Assunto: Re: [caiu] RES: RES: rede BGP
> > >>>
> > >>> HG,
> > >>>
> > >>> O quagga tem uma curva de aprendizagem-zinha.
> > >>> Querendo uma versão comercial dele, não muito cara, e com
> suporte,
> > >>> use
> > o
> > >>> Vyatta (www.vyatta.com) que além do mais é uma solução completa.
> > >>>
> > >>> []s
> > >>> Rafael Cresci
> > >>>
> > >>> -----Original Message-----
> > >>> From: caiu-bounces at eng.registro.br [mailto:
> > caiu-bounces at eng.registro.br]
> > >>> On
> > >>> Behalf Of Suporte HostGaming
> > >>> Sent: Tuesday, January 18, 2011 2:19 PM
> > >>> To: 'Lista das indisponibilidades da Internet brasileira'
> > >>> Subject: [caiu] RES: RES: rede BGP
> > >>>
> > >>> Vou ver se adoto esse Quagga
> > >>> Ou mais fácil em últimos caso microtik provisório.
> > >>> Você não faz consultoria não?
> > >>> Rsrs
> > >>>
> > >>>
> > >>> -----Mensagem original-----
> > >>> De: caiu-bounces at eng.registro.br
> > >>> [mailto:caiu-bounces at eng.registro.br]
> > Em
> > >>> nome de Eduardo Schoedler Enviada em: terça-feira, 18 de janeiro
> > >>> de
> > 2011
> > >>> 13:05
> > >>> Para: 'Lista das indisponibilidades da Internet brasileira'
> > >>> Assunto: [caiu] RES: rede BGP
> > >>>
> > >>> Em 18/01/2011 12:02, Suporte HostGaming escreveu:
> > >>>
> > >>>
> > >>>> Eduardo, uma duvida, você recomendaria criação BGP com microtik?
> > >>>>
> > >>>>
> > >>>
> > >>> Segue meus 2 centavos de contribuição.
> > >>>
> > >>> Gosto muito de Cisco.
> > >>> Já usei Mikrotik para fechar sessões bgp, não gostei.
> > >>> Também nunca cheguei a subir um Juniper em produção.
> > >>>
> > >>> Recentemente estamos usando Quagga rodando em hardware Dell com
> > >>> placas
> > de
> > >>> rede Intel, mostrou-se bastante estável e com vantagens.
> > >>> Na mesma máquina estou gerando flows (ng_netflow) e também
> > >>> analisando
> > com
> > >>> flow-tools.
> > >>>
> > >>> --
> > >>> Eduardo Schoedler



Mais detalhes sobre a lista de discussão caiu