[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC
Lucas Willian Bocchi
lucas.bocchi at gmail.com
Sun Nov 23 20:29:23 -02 2014
Para este cliente importante, não consegue IP's para fazer um NAT ou
redirecionamento de portas (apenas por enquanto) para resolver se
possível?
Em 23 de novembro de 2014 20:06, Rubens Kuhl <rubensk at gmail.com> escreveu:
>>
>> Porque ao meu entender a GLBX vai anunciar meu prefixo para todos exceto
>> para o XXX das communities que é o que diz a documentação e o suporte
>> deles.
>> Mas acho que so vai deixar de anunciar meu prefixo para XXX quando XXX for
>> peering deles.
>>
>
> Como você citou de um grande cliente que é relevante para a resposta a essa
> crise, seria interessante saber os CIDR e ASN das filiais ou datacenters
> internacionais e mapear por quais AS você tem conectividade, mas com foco
> no sentido de lá pra cá: quais AS são o conjunto mínimo para que seus
> anúncios cheguem lá e quais outros AS são opções. Talvez seja possível
> montar um caminho que chegue até esses pontos sem te expor às origens do
> ataque.
>
>
>
> 1) Por onde voc
>
>> Nesse caso vai funcionar para uns poucos mas não todos ja que meu problema
>> é quando esses AS são o transito, no meio do AS-Path e não na direita.
>> Ou seja já estou desesperançoso. Não creio que eu encontre uma solução BGP.
>> O mundo não é organizado suficiente para conseguirmos filtrar a esse ponto.
>>
>
> Um meio termo seria a GBLX te deixar anunciar communities de controle dos
> peers dela, não só os dela. Exemplo: digamos ela tenha conexão com a UUNET
> ASN 702. Pelas communities padrão a GBLX pode não te anunciar para o 702...
> mas se ela te deixar marcar algo como 702:<alguma coisa>, você vai poder
> especificar uma política de controle da UUNET que controle o próximo hop de
> AS.
>
> Rubens alguma outra sugestão?
>> Ou perco a esperança de vez do lado BGP?
>>
>>
> Acho que você deve continuar tentando dos dois lados... mas trabalhar na
> resistência do seu roteador me parece ter um melhor ganho de longo termo,
> pois possibilitará resposta a outros perfis de ataque diferentes.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list