[GTER] Algum upstream brasileiro impede tráfego assimétrico (ex.: uRPF)?

Douglas Fischer fischerdouglas at gmail.com
Thu Sep 24 20:44:49 -03 2015


Talvez possa ser inoportuno, mas quero levantar a bandeira do uRPF.
Na minha opinião uRPF (em loose mode) é o "bloqueio da porta 25" do
problema com DDoS no Brasil e no Mundo.

Na prática, não existe DDoS sem spoofing minha gente!
Vamos acabar com esse mal!

uRPF é muito efetivo na questão do spoofing.
Quando bem configurado e usado da maneira certa não gera problema com
asymetric routing.
Não é custoso do ponto de vista do desempenho do hardware(quando comparado
com um mecanismo de anti-DDoS).



É lógico que os fé-la-da-mãe já possuem meios de tentar burlar esse
mecanismo, que é basicamente tentar injetar rotas não-verdadeiras de baixa
prioridade nos seus upstreamers.
Para ceifar essa injeção de rotas fake abordaremos a questões com RPKI,
IRR, e EPP.
Mas isso sim é tema demasiado complexo para um breve a parte numa thread


Em 24 de setembro de 2015 20:38, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Desse jeito que você descreveu, isso não é nem problema com uRPF.
> Dá quase pra dizer que tem um firewall statefull no caminho...
> Chegou a testar streamings UDP?
>
> Se me lembro bem, o uRPF tem basicamente dois modos:
> - Strict mode, onde o Router valida na FIB dele se o IP de origem é
> alcançável pela interface por onde ele chegou.
> - Loose mode, onde o Router valida na RIB dele se existe alguma rota que
> leve ao o IP de origem do pacote através daquela interface.
>
>
>
> Em 24 de setembro de 2015 11:26, Kurt Kraut via gter <gter at eng.registro.br
> > escreveu:
>
>> Aloha,
>>
>>
>> Acompanhei hoje em um cliente o teste do primeiro peering de trânsito com
>> finalidade assimétrica, nesse contexto, fazer apenas download ou apenas
>> upload pelo link de trânsito. Isso se deve a questões comerciais.
>>
>> O sistema autônomo em questão já possui trânsito com GVT, Vivo e Embratel,
>> todos simétricos (tanto download como upload). Estavam adicionando de
>> forma
>> assimétrica mais um fornecedor do mercado, um player menor.
>>
>> O que aconteceu? Não funcionou. As sessão BGP foi fechada, nos looking
>> glasses dos tiers-1 do mundo dava para ver a rota, traceroute indicava a
>> rota como esperado mas nenhuma conexão TCP dava established através deste
>> novo trânsito. Apenas funcionavam os serviços da empresa através dos
>> demais
>> trânsitos.
>>
>> Isso significaria que esses fornecedores de trânsito, GVT, Vivo e
>> Embratel,
>> estão adotando uRPF para evitar IP spoofing e por tabela impedindo tráfego
>> assimétrico? Alguém já observou se  outras empresas como Algar, Oi TIM
>> etc.
>> têm a mesma prática?
>>
>>
>> Abraços,
>>
>>
>> Kurt Kraut
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list