[GTER] Algum upstream brasileiro impede tráfego assimétrico (ex.: uRPF)?

Douglas Fischer fischerdouglas at gmail.com
Fri Sep 25 13:12:32 -03 2015


Então Rubens,


O problema é que todo o espaço IPv4 está alocado, exceto talvez na região
> do AfriNIC, então o loose RPF consegue matar pouca coisa...
>
> ​Eu já havia lido sobre isso.

E vi um cabra "resolvendo" isso com VRFs separadas entre Dowstreamers e
Up​streamers.
Não me lembro dos detalhes, mas ele só cuidava para que a rede dele não
fosse origem de Spoofing.
O uRPF ficava só nas interfaces dos Downstreamers, e olhando só para a RIB
equivalente.

Confesso que não saberia reproduzir a parada...
Mas achei interessante.
   (E me lembrei daquela operadora que
    você comentou certa vez que separa
    em VRFs distintos Internet e PTT.)


> > Na prática, não existe DDoS sem spoofing minha gente!
> > Vamos acabar com esse mal!
> >
> >
> Apoiado, mas o controle de saída é o caminho.
>
> ​Certo! Cada um cuida do cômodo e com isso ​

​a casa fica limpa.
Exatamente como o conceito do bloqueio da porta 25...
​

>
> > uRPF é muito efetivo na questão do spoofing.
> > Quando bem configurado e usado da maneira certa não gera problema com
> > asymetric routing.
> > Não é custoso do ponto de vista do desempenho do hardware(quando
> comparado
> > com um mecanismo de anti-DDoS).
> >
> >
> Custa 2 lookups de FIB ao invés de um. É significativo para plataformas de
> hardware forwarding, de quem se espera muitos Mpps... de PC Routers,
> Mikrotiks e etc., afeta mas já está num degrau abaixo.
>

​Entendo perfeitamente!
Mas e quanto custa($$$) um Anti-DDoS?
Se gastando um pouco a mais para as caixas serem mais gordinhas e "a casa
ficar limpa", talvez não se precise gastar com ​

​Arbor e similares...
​

>
>
> > Para ceifar essa injeção de rotas fake abordaremos a questões com RPKI,
> > IRR, e EPP.
> >
>
> Lembrando que path-protection ainda é uma tema pouco consolidado. RPKI já
> endereça bem origin-protection.
>

​Eu sei! Não tão profundamente quanto deveria/gostaria, mas entendo o
conceito.
O "lance" é que temos que começar por algum lugar.
​

​E aí? Porque não começar pelo PTT.BR(IX)?
Transformemos publicação de IRR e cadastramento de regra de EPP requisitos
para participar dos PTTs. E em pouco tempo estaremos a mais de 50% do
caminho...
​
​

>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list