[GTER] Algum upstream brasileiro impede tráfego assimétrico (ex.: uRPF)?
Rubens Kuhl
rubensk at gmail.com
Thu Sep 24 21:47:37 -03 2015
2015-09-24 20:44 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
> Talvez possa ser inoportuno, mas quero levantar a bandeira do uRPF.
> Na minha opinião uRPF (em loose mode) é o "bloqueio da porta 25" do
> problema com DDoS no Brasil e no Mundo.
>
O problema é que todo o espaço IPv4 está alocado, exceto talvez na região
do AfriNIC, então o loose RPF consegue matar pouca coisa...
> Na prática, não existe DDoS sem spoofing minha gente!
> Vamos acabar com esse mal!
>
>
Apoiado, mas o controle de saída é o caminho.
> uRPF é muito efetivo na questão do spoofing.
> Quando bem configurado e usado da maneira certa não gera problema com
> asymetric routing.
> Não é custoso do ponto de vista do desempenho do hardware(quando comparado
> com um mecanismo de anti-DDoS).
>
>
Custa 2 lookups de FIB ao invés de um. É significativo para plataformas de
hardware forwarding, de quem se espera muitos Mpps... de PC Routers,
Mikrotiks e etc., afeta mas já está num degrau abaixo.
> Para ceifar essa injeção de rotas fake abordaremos a questões com RPKI,
> IRR, e EPP.
>
Lembrando que path-protection ainda é uma tema pouco consolidado. RPKI já
endereça bem origin-protection.
Rubens
More information about the gter
mailing list