[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC
Rubens Kuhl
rubensk at gmail.com
Sun Nov 23 20:06:16 -02 2014
>
> Porque ao meu entender a GLBX vai anunciar meu prefixo para todos exceto
> para o XXX das communities que é o que diz a documentação e o suporte
> deles.
> Mas acho que so vai deixar de anunciar meu prefixo para XXX quando XXX for
> peering deles.
>
Como você citou de um grande cliente que é relevante para a resposta a essa
crise, seria interessante saber os CIDR e ASN das filiais ou datacenters
internacionais e mapear por quais AS você tem conectividade, mas com foco
no sentido de lá pra cá: quais AS são o conjunto mínimo para que seus
anúncios cheguem lá e quais outros AS são opções. Talvez seja possível
montar um caminho que chegue até esses pontos sem te expor às origens do
ataque.
1) Por onde voc
> Nesse caso vai funcionar para uns poucos mas não todos ja que meu problema
> é quando esses AS são o transito, no meio do AS-Path e não na direita.
> Ou seja já estou desesperançoso. Não creio que eu encontre uma solução BGP.
> O mundo não é organizado suficiente para conseguirmos filtrar a esse ponto.
>
Um meio termo seria a GBLX te deixar anunciar communities de controle dos
peers dela, não só os dela. Exemplo: digamos ela tenha conexão com a UUNET
ASN 702. Pelas communities padrão a GBLX pode não te anunciar para o 702...
mas se ela te deixar marcar algo como 702:<alguma coisa>, você vai poder
especificar uma política de controle da UUNET que controle o próximo hop de
AS.
Rubens alguma outra sugestão?
> Ou perco a esperança de vez do lado BGP?
>
>
Acho que você deve continuar tentando dos dois lados... mas trabalhar na
resistência do seu roteador me parece ter um melhor ganho de longo termo,
pois possibilitará resposta a outros perfis de ataque diferentes.
Rubens
More information about the gter
mailing list