[GTER] Co-operative DDoS Mitigation

Diego Canton de Brito diegocanton at ensite.com.br
Fri Oct 23 00:32:45 -02 2015


 

Desculpe, mas filtrar na caixa da borda, onde passa clientes BGP? Meio
loucura isso né? 

Acho que o ideal seria a filtragem diretamente nos Roteadores de
acesso/Concentradores, quanto mais perto da origem do problema melhor,
filtra direto onde os cliente se conectam, infelizmente clientes com ASN
devem fazer o mesmo em seus respectivos roteadores não sendo
responsabilidade do operador de transito, haja em vista o "potencial de
merda" que isso tem (no sentido de incorrer no risco maior de gerar
problemas do que resolver). 

---

Att.

-------------------------

DIEGO CANTON DE BRITO

Em 2015-10-21 21:23, Fabiano Ribeiro escreveu: 

> Compartilho da opinião do Bruno, mas acredito que para uma grande
> operadora manter o controle de todos os prefixos que passam por sua rede
> pode se tornar bastante complexo. Se a operadora agrega vários clientes em
> uma única caixa, como vejo alguma fazerem, manter regras mesmo que
> stateless dando match em gigabits de tráfego pode ser bastante oneroso para
> a caixa, isso para não falar de Reverse Path que é o correto porém mais
> oneroso ainda.
> 
> Em 20 de outubro de 2015 19:56, Bruno Cabral <bruno at openline.com.br>
> escreveu:
> Pelos ISPs que atendo, a maioria é desconhecimento mesmo. !3runo Cabral -- Cursos e Consultoria BGP Ainda dentro do assunto DDoS, estava conversando com um amigo esses dias sobre filtros de saída e pensando nas razões porque muitos ASNs não possuem. Quem não possui ou que tenha conhecimento poderia citar os quais os principais impedimentos e dificuldades ? Mesmo sabendo que a maioria dos ataques venha lá de fora, já daria pra ter uma base boa das dificuldades que existem hoje para se implementar filtros de saída permitindo apenas suas próprios ranges como endereço de origem nos pacotes. Obrigado Fernando -- gter list https://eng.registro.br/mailman/listinfo/gter [1]

--
gter list https://eng.registro.br/mailman/listinfo/gter [1]

 

Links:
------
[1] https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list