[GTER] Ataques entrando pelo PTT-SPO com origem ASN 6939 ( HE )

Douglas Fischer fischerdouglas at gmail.com
Thu Jul 7 10:31:52 -03 2016


E voltamos às benditas communities!

i++ para as communities;
Assim como o Kurt mencionou.


Tem mais de 4 anos que escuto os amigos falando sobre isso!
Lembro até de uma apresentação do Rinaldo sobre isso(também tem uns 3 anos
ou mais).


O Rubens está certíssimo sobre o IX ser L2, e não pode-se entrar nos
pacotes alheios.
Mas no caso das Communities, isso não estaria analisando os pacotes.
Apenas entregando uma rota com uma observação "mande pro inferno" para os
demais participantes

Não consigo ver empecilhos técnicos(apesar de ser algo muito complexo) para
implementação de communities que permitam um controle mais granular dos
anúncios:
 - Para quem deve ser repassada a rota.
 - Para que não deve ser repassada a rota.
 - Com qual community deve ser repassada a rota.
A parte mais complexa disso é que todos os participantes terão que
configurar o BlackHole nos seus bordas.
Mas presume-se que tenham capacidade para isso, certo?



Além do mais, conseguindo romper essa barreira(que claramente é complexa),
todos esses controles de bloqueio de anúncios entre participante que hoje é
feito manualmente através de portal e configuração específica passam a ser
responsabilidade do ASN, desonerando material humano na gerência dos IX.

  P.S.: O principal contra disso é a possibilidade
  de um tanso fazer caquinha. Mas em teoria isso
  está coberto na definição de "sistema AUTÔNOMO",
  certo?




Em 7 de julho de 2016 07:15, Rubens Kuhl <rubensk at gmail.com> escreveu:

> 2016-07-06 23:30 GMT-03:00 Kurt Kraut <listas at kurtkraut.net>:
>
> > Aloha amigos,
> >
> >
> > Sei que estão tentando ajudar o colega que está tomando DDoS na cachola,
> > mas esse é um caso em que o bom é o inimigo do ótimo. Convido todos a
> > clamarem por black hole nos IX.br
> >
>
> Black hole do ponto de vista de um IX, que é L2, se pudesse ser
> implementado só poderia ser do tipo "Drop MAC origem tal"... mais do que
> isso e o IX está fuçando nos seus pacotes. ;-)
>
> Me parece que algo como community de controle de propagação no ATM seria
> mais o caso, tipo "Não me anuncie para a HE, please"... e isso tem
> utilidades diversas em TE, não apenas em resposta a DoS.
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list