[GTER] Algum upstream brasileiro impede tráfego assimétrico (ex.: uRPF)?
Rubens Kuhl
rubensk at gmail.com
Fri Sep 25 14:47:11 -03 2015
2015-09-25 13:12 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
> Então Rubens,
>
>
> O problema é que todo o espaço IPv4 está alocado, exceto talvez na região
> > do AfriNIC, então o loose RPF consegue matar pouca coisa...
> >
> Eu já havia lido sobre isso.
>
> E vi um cabra "resolvendo" isso com VRFs separadas entre Dowstreamers e
> Upstreamers.
> Não me lembro dos detalhes, mas ele só cuidava para que a rede dele não
> fosse origem de Spoofing.
>
O que um objetivo diferente... ainda sim, filtros acabam sendo uma solução
mais simples para o problema de não emitir DDoS.
Mesmo que seja um provedor de trânsito, possivelmente com geração
automática de filtros.
> >
> > > uRPF é muito efetivo na questão do spoofing.
> > > Quando bem configurado e usado da maneira certa não gera problema com
> > > asymetric routing.
> > > Não é custoso do ponto de vista do desempenho do hardware(quando
> > comparado
> > > com um mecanismo de anti-DDoS).
> > >
> > >
> > Custa 2 lookups de FIB ao invés de um. É significativo para plataformas
> de
> > hardware forwarding, de quem se espera muitos Mpps... de PC Routers,
> > Mikrotiks e etc., afeta mas já está num degrau abaixo.
> >
>
> Entendo perfeitamente!
> Mas e quanto custa($$$) um Anti-DDoS?
> Se gastando um pouco a mais para as caixas serem mais gordinhas e "a casa
> ficar limpa", talvez não se precise gastar com
>
> Arbor e similares...
>
O Anti-DDoS em geral atua sobre o DDoS recebido, então são alíneas de custo
diferentes.
> > Lembrando que path-protection ainda é uma tema pouco consolidado. RPKI já
> > endereça bem origin-protection.
> >
>
> Eu sei! Não tão profundamente quanto deveria/gostaria, mas entendo o
> conceito.
> O "lance" é que temos que começar por algum lugar.
>
Não é bem assim; se a quase totalidade de problemas que já vimos entre
redes brasileiras precisaria de "path-protection", começar pelo
origin-protection parece ter uma relação custo-retorno bem ruim.
> E aí? Porque não começar pelo PTT.BR(IX)?
> Transformemos publicação de IRR e cadastramento de regra de EPP requisitos
> para participar dos PTTs. E em pouco tempo estaremos a mais de 50% do
> caminho...
>
Exceto quando há mecanismos de influência negativa na linha de "Commons
Dilemma", em geral operar por adesão é melhor do que por coerção, que deve
ser reservada para condições significativamente ruins para a comunidade.
Rubens
More information about the gter
mailing list