[GTER] Lista de excessões no blackhole

Julio Arruda jarruda-gter at jarruda.com
Wed Dec 12 22:33:09 -02 2007 

Ricardo Maranhão wrote:
> Oi, antes de mais nada gostaria de falar do meu problema.
> 
> Aluguel um servidor num datacenter brasileiro, porém estamos sendo atacados
> constatemente e o datacenter não está conseguindo aguentar. Todos os ataques
> são de origem internacional, então o pessoal da engenharia do datacenter
> instalou o blackhole (nossa maquina fica invisivel para servidores que
> tentam conexão e não são do brasil), porém precisamos de liberar uns 4 a 5
> ips no USA devido a nosso sistema requisitar uma autenticação lá. Ai que vem
> o problema, o datacenter não sabe fazer essa lista de excessão no blackhole.
> Sei que é possível pois tem alguns provedores aqui no brasil que tem esse
> sistema. Será que vocês saberiam como eu poderia tá ajeitando isso? Algum
> lugar com material interessante para leitura?
> 

Blackhole nada mais e' que uma rota mais especifica, que manda para Null 
o trafego. Nao creio que existem 'listas de excecoes' para Blackhole.

Se os ataques sao de algum tipo especifico, que possam ser mitigados com 
uma ACL somente, voce tem como ter excecoes, mas com blackhole somente nao.
Se o upstream tem um scrubber (dispositivo de mitigacao inteligente), 
tambem pode ser feita uma 'excecao' a algum trafego, mas como voce usou 
o termo blackhole, improvavel que seja o seu caso.

Em teoria, seu datacenter poderia fazer o anuncio do BH somente para um 
ou outro upstream (se os ataques nao sao 'muito' distribuidos'), que nao 
incluam os upstreams que oferecem conectividade destes IPs que voce 
precisa que  'vejam' o seu IP. Alem disto, BH podem ter comunities que 
controlam tambem qual a "cobertura" do mesmo (alguns provedores permitem 
voce controlar onde a rota vai ser 'alimentada' pelo uso das communities)

Outra opcao (improvavel) e' que eles estejam usando FlowSpec e nao 
blackhole, mas so sei de uma rede grande no .br usando FlowSpec (e' 
especifico de Juniper), e nao conheco ninguem usando FlowSpec "entre" 
ASs como mecanismo de mitigacao.

Para mais detalhes em Blackhole:
http://www.nanog.org/mtg-0402/morrow.html
Ou mesmo um google por bgp blackhole deve retornar bastante coisa.

More information about the gter mailing list