[GTER] GVT usando RPF?

Henrique de Moraes Holschuh hmh at hmh.eng.br
Wed Apr 9 11:42:35 -03 2014


On Tue, 08 Apr 2014, Rinaldo Vaz wrote:
> onde partem ataques de Amplificação de DNS/NTP já que o RPF bloqueia IP
> Spoofing.

RPF é uma péssima ferramenta para anti-spoofing no caso geral.  Não só ele
tipicamente só vai poder filtrar uma parte das possibilidades de spoofing,
ainda por cima ele vai descartar tráfego válido.

RPF exige uma situação particular de topologia e política de anuncio de
rotas (implementada por todas as partes envolvidas) para não causar danos
colaterais.

> > Entao acredito que se alguém ainda tem problemas com GVT, experimente
> > anunciar uma rota mais especifica para ela no link comercial, com as
> > communities "AS:1 AS:2 AS:3 AS:4 AS:5 AS:6" - já que a GVT não implementa a
> > community no-export (para mim nunca funcionou).

Ninguém tem que compactuar com problemas operacionais causados pela ganância
de operadora em querer obrigar que *cliente de cliente* de trânsito vá pelos
enlaces de trânsito, mesmo quando o tal "cliente de cliente" é peer direto
da tal operadora (por exemplo, via ATM do PTTMetro).

Note que estou assumindo que é de propósito.

Agora, exigir que seu provedor de trânsito forneça um serviço com capacidade
técnica de anúncio de rotas seletivo (onde você pode informar para o seu
provedor de trânsito que não quer que ele anuncie determinada rota para
algum determinado upstream dele) é um problema no Brasil.  Infelizmente, é
muito mais fácil ou mudar de provedor de trânsito, ou abrir mão do peering
com a tal operadora.

-- 
  "One disk to rule them all, One disk to find them. One disk to bring
  them all and in the darkness grind them. In the Land of Redmond
  where the shadows lie." -- The Silicon Valley Tarot
  Henrique Holschuh



More information about the gter mailing list