[GTER] Algum upstream brasileiro impede tráfego assimétrico (ex.: uRPF)?
Douglas Fischer
fischerdouglas at gmail.com
Fri Sep 25 13:12:32 -03 2015
Então Rubens,
O problema é que todo o espaço IPv4 está alocado, exceto talvez na região
> do AfriNIC, então o loose RPF consegue matar pouca coisa...
>
> Eu já havia lido sobre isso.
E vi um cabra "resolvendo" isso com VRFs separadas entre Dowstreamers e
Upstreamers.
Não me lembro dos detalhes, mas ele só cuidava para que a rede dele não
fosse origem de Spoofing.
O uRPF ficava só nas interfaces dos Downstreamers, e olhando só para a RIB
equivalente.
Confesso que não saberia reproduzir a parada...
Mas achei interessante.
(E me lembrei daquela operadora que
você comentou certa vez que separa
em VRFs distintos Internet e PTT.)
> > Na prática, não existe DDoS sem spoofing minha gente!
> > Vamos acabar com esse mal!
> >
> >
> Apoiado, mas o controle de saída é o caminho.
>
> Certo! Cada um cuida do cômodo e com isso
a casa fica limpa.
Exatamente como o conceito do bloqueio da porta 25...
>
> > uRPF é muito efetivo na questão do spoofing.
> > Quando bem configurado e usado da maneira certa não gera problema com
> > asymetric routing.
> > Não é custoso do ponto de vista do desempenho do hardware(quando
> comparado
> > com um mecanismo de anti-DDoS).
> >
> >
> Custa 2 lookups de FIB ao invés de um. É significativo para plataformas de
> hardware forwarding, de quem se espera muitos Mpps... de PC Routers,
> Mikrotiks e etc., afeta mas já está num degrau abaixo.
>
Entendo perfeitamente!
Mas e quanto custa($$$) um Anti-DDoS?
Se gastando um pouco a mais para as caixas serem mais gordinhas e "a casa
ficar limpa", talvez não se precise gastar com
Arbor e similares...
>
>
> > Para ceifar essa injeção de rotas fake abordaremos a questões com RPKI,
> > IRR, e EPP.
> >
>
> Lembrando que path-protection ainda é uma tema pouco consolidado. RPKI já
> endereça bem origin-protection.
>
Eu sei! Não tão profundamente quanto deveria/gostaria, mas entendo o
conceito.
O "lance" é que temos que começar por algum lugar.
E aí? Porque não começar pelo PTT.BR(IX)?
Transformemos publicação de IRR e cadastramento de regra de EPP requisitos
para participar dos PTTs. E em pouco tempo estaremos a mais de 50% do
caminho...
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list