[GTER] Queda Rede Completa

Sonia Lopes soniahmarques at gmail.com
Tue Dec 16 17:50:06 -02 2014


Boa tarde,

Adriano,
A principio, ao detectar que o problema era ataque e identificar o IP que
estava sendo atacado, tive que deixar de anunciar minha rede /24
pertencente ao IP do cliente que estava sofrendo ataques, deixando assim,
todos os meus clientes que estavam nessa rede sem acesso. Essa foi a única
forma dos outros clientes de outras redes funcionarem.
Como não consegui contato com o setor de BGP no fim de semana, e o bloco
todo estava sem internet, fiz um NAT colocando toda a minha rede /24 em um
IP de outro bloco, dessa forma os IPs de ataque não 'encontrariam' o IP do
meu cliente que estava sendo atacado, isso foi o 'ajeito' que salvou o fim
de semana.
Em contato com o suporte de BGP da Vivo, eles me solicitaram o reenvio do
'Acordo de Roteamento BGP' que tem uma parte sobre BlackHole que deveria
estar marcado e quando contratei o link eu não tinha marcado (segue abaixo)
Então, eles me passaram um IP e Communities para fechar uma nova sessão
BGP, além da sessão BGP que já nós já tinhamos estabelecida, e nessa sessão
eu anunciei *meu ip* que estava sendo atacado /32 com a community de
blackhole que eles me enviaram, dessa forma, a operadora 'bloqueou' esse
meu IP e o problema foi resolvido.
Identifiquei que o ataque durou aproximadamente uns 4 dias, mas deixei a
sessão estabelecida para caso precisar, só anuncio outro(s) IPs.


----------------------------------------------------------------------------------------------

*1.       *Será necessário habilitar a troca de community, conforme padrões
Telefonica?

(    ) SIM

(    ) NÃO



*2.       *Deseja habilitar black-holefiltering utilizando troca de
community, conforme padrões Telefônica?

(    ) SIM

(    ) NÃO



Observações:

   1. Esse é um recurso que permite ao AS Cliente filtrar, na rede da
   Telefônica, ataques destinados a blocos CIDR alocados ao AS Cliente que
   tenham sido declarados neste documento.
   2. Os bloqueios devem ser efetuados sempre utilizando rotas específicas,
   com máscara igual ou maiores que 30 bits.
   3. Atualmente, são suportados anúncios em sessões distintas (por
   aplicação), sendo:


   1. Sessão BGP de tráfego: até 250 rotas do AS do cliente e terceiros na
      sessão de troca de tráfego (não serão suportadas rotas para BH);
      2. Sessão BGP de *Black-hole*: máximo permitido de 50 (cinqüenta)
      rotas na sessão específica (independente do número de CIDR cadastrados).


   1. Caso seja excedida a quantidade máxima de rotas por sessão informadas
   acima, a mesma poderá ser finalizada automaticamente, devendo o Cliente
   contatar a Telefônica pelos meios já definidos para providenciar a
   reativação da sessão BGP afetada.

------------------------------------------------------------------------------------------------


Qualquer dúvida, estou a disposição.


2014-12-16 13:11 GMT-02:00 Adriano B. Lima <sincymaster at gmail.com>:
>
> Sonia,  qual destino você colocou como blackhole, o seu proprio ip ou o ip
> da rede 54.207.0.0/27?
>
> Em 16 de dezembro de 2014 08:10, Sonia Lopes <soniahmarques at gmail.com>
> escreveu:
> >
> > Bom dia,
> >
> > Passei por isso a aproximadamente 2 meses.
> > Recebi ataque de vários IPs da rede 54.207.0.0/17  para um único IP da
> > minha rede. Em aproximadamente 30s de anúncio dessa minha rede que está o
> > IP, o consumo da banda era total (500Mbps) somente de Download, ninguem
> > mais acessava, a única forma de resolver foi com anúncio de BlackHole com
> > minha operadora (Vivo), mas demorou muito, pois era sexta-feira a noite e
> > só na segunda consegui conversar com alguém de BGP na operadora e tive
> que
> > reenviar o Acordo de BGP, para eles me passarem as communities de
> > BlackHole. A outra operadora que tenho link (OI) não fazia o
> procedimento.
> >
> > 2014-12-16 0:54 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:
> > >
> > > 2014-12-15 22:54 GMT-02:00 Adriano B. Lima <sincymaster at gmail.com>:
> > > >
> > > > O problema é que recebo apenas uma rota default da operadora, então
> > desse
> > > > modo não tenho como criar os filtros para as rotas da Arin, só a
> minha
> > > > operadora pode fazer isso? ou estou errado?
> > > >
> > > >
> > > Independe. O que você precisa é capacidade de controle dos anúncios que
> > > você faz, o que tipicamente se dá por communities. O fato de você não
> ter
> > > os prefixos no seu roteador só faz você ter que olhar num looking-glass
> > > para tentar imaginar para onde você quer evitar ser anunciado, mas não
> > tem
> > > efeito sobre você conseguir ou não exercer o controle que você precisa.
> > >
> > >
> > > Rubens
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> > --
> > -Sonia Lopes-
> > Support Analyst in Fox Conexão <http://www.foxconexao.com.br>
> > Phone: (038) 3213-4100
> > Mobile Phone: (038) 9188-7708 (TIM) (038) 8425-1996 (CLARO)
> > Gtalk [image: Google Talk/]: soniahmarques
> > Skype [image: Skype/]: soniata06
> >
> > [image: Facebook] <http://www.facebook.com/sonialopesss> [image:
> Twitter]
> > <http://twitter.com/sonialopess>
> > <http://www.google.com/profiles/soniahmarques>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



-- 
-Sonia Lopes-
Support Analyst in Fox Conexão <http://www.foxconexao.com.br>
Phone: (038) 3213-4100
Mobile Phone: (038) 9188-7708 (TIM) (038) 8425-1996 (CLARO)
Gtalk [image: Google Talk/]: soniahmarques
Skype [image: Skype/]: soniata06

[image: Facebook] <http://www.facebook.com/sonialopesss> [image: Twitter]
<http://twitter.com/sonialopess>
<http://www.google.com/profiles/soniahmarques>



More information about the gter mailing list