[GTER] Algum upstream brasileiro impede tráfego assimétrico (ex.: uRPF)?

Pedro Alves pedro at moebius.com.br
Sat Sep 26 11:40:08 -03 2015


Rubens,

   Usar community no-export para peerings assimetricos com redes mais 
específicas para
não correr risco de uma outra operadora ligadas aos peerings 
assimetricos mandar trafego
e ficar retido no uRPF pode ajudar não ?!

Um Abraço

Pedro Alves

Em 25-Sep-15 2:47 PM, Rubens Kuhl escreveu:
> 2015-09-25 13:12 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
>
>> Então Rubens,
>>
>>
>> O problema é que todo o espaço IPv4 está alocado, exceto talvez na região
>>> do AfriNIC, então o loose RPF consegue matar pouca coisa...
>>>
>> ​Eu já havia lido sobre isso.
>>
>> E vi um cabra "resolvendo" isso com VRFs separadas entre Dowstreamers e
>> Up​streamers.
>> Não me lembro dos detalhes, mas ele só cuidava para que a rede dele não
>> fosse origem de Spoofing.
>>
> O que um objetivo diferente... ainda sim, filtros acabam sendo uma solução
> mais simples para o problema de não emitir DDoS.
> Mesmo que seja um provedor de trânsito, possivelmente com geração
> automática de filtros.
>
>
>
>>>> uRPF é muito efetivo na questão do spoofing.
>>>> Quando bem configurado e usado da maneira certa não gera problema com
>>>> asymetric routing.
>>>> Não é custoso do ponto de vista do desempenho do hardware(quando
>>> comparado
>>>> com um mecanismo de anti-DDoS).
>>>>
>>>>
>>> Custa 2 lookups de FIB ao invés de um. É significativo para plataformas
>> de
>>> hardware forwarding, de quem se espera muitos Mpps... de PC Routers,
>>> Mikrotiks e etc., afeta mas já está num degrau abaixo.
>>>
>> ​Entendo perfeitamente!
>> Mas e quanto custa($$$) um Anti-DDoS?
>> Se gastando um pouco a mais para as caixas serem mais gordinhas e "a casa
>> ficar limpa", talvez não se precise gastar com ​
>>
>> ​Arbor e similares...
>>
> O Anti-DDoS em geral atua sobre o DDoS recebido, então são alíneas de custo
> diferentes.
>
>
>>> Lembrando que path-protection ainda é uma tema pouco consolidado. RPKI já
>>> endereça bem origin-protection.
>>>
>> ​Eu sei! Não tão profundamente quanto deveria/gostaria, mas entendo o
>> conceito.
>> O "lance" é que temos que começar por algum lugar.
>>
> Não é bem assim; se a quase totalidade de problemas que já vimos entre
> redes brasileiras precisaria de "path-protection", começar pelo
> origin-protection parece ter uma relação custo-retorno bem ruim.
>
>
>> ​E aí? Porque não começar pelo PTT.BR(IX)?
>> Transformemos publicação de IRR e cadastramento de regra de EPP requisitos
>> para participar dos PTTs. E em pouco tempo estaremos a mais de 50% do
>> caminho...
>>
> Exceto quando há mecanismos de influência negativa na linha de "Commons
> Dilemma", em geral operar por adesão é melhor do que por coerção, que deve
> ser reservada para condições significativamente ruins para a comunidade.
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter





More information about the gter mailing list