[GTER] blackhole por community / IPS / IDS

Eduardo Schoedler listas at esds.com.br
Wed Apr 22 12:43:17 -03 2015


Oi José.

Não quero fazer propaganda, mas não é o serviço que andam anunciando para
todos aqui na lista.
Eles mandam um bloco /30 e um endereço do "servidor de túnel" deles.
Você especifica qual ip você irá usar para fechar o túnel (recomendo usar
um ip de loopback do roteador).

Quando está tomando ataque, você anuncia um prefixo mais específico do ip
que está sendo atacado no BGP do tunel, mas mantendo o padrão do BGP que é
até /24.
Assim, todo tráfego (mesmo o brasileiro) será encaminhado aos servidores
deles nos EUA.
Lá eles filtram e te devolvem o tráfego limpo (por dentro do tunel GRE).

Você aumenta drasticamente a latência do acesso, mas não fica fora.

--
Eduardo Schoedler


Em 22 de abril de 2015 11:47, Jose Alves <jose.alves at gmail.com> escreveu:

> Eduardo, pode dar mais detalhes ? Achei interessante o volume. ;)
>
>
> Em qua, 22 de abr de 2015 às 11:18, Eduardo Schoedler <listas at esds.com.br>
> escreveu:
>
> > Em 22 de abril de 2015 08:25, Jose Alves <jose.alves at gmail.com>
> escreveu:
> >
> > > A proposito ? O que voces tem usado ? Esta tecnica com tunnel ?
> >
> >
> > Usamos um serviço americano, ele é implementado dessa forma (BGP over
> GRE).
> > Anuncio um bloco mais específico (/24 por exemplo) nessa sessão, todo
> > tráfego é desviado por dentro do serviço.
> > Chegou a filtrar 6Tbps de ataque esses dias, sem derrubar nosso servidor.
> >
> > --
> > Eduardo Schoedler
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Eduardo Schoedler



More information about the gter mailing list