[GTER] Ataques entrando pelo PTT-SPO com origem ASN 6939 ( HE )

Wilson R Lopes wilsonlopes00 at gmail.com
Thu Jul 7 15:43:11 -03 2016 

Não seria uma boa oportunidade para alguma empresa, ou o próprio PTT,
montar um cleaning center dentro da infra do PTT e vender isso como serviço
aos participantes ?


A questão de community para blackhole não seria uma implementação do PTT,
mas sim um "combinado" entre os participantes de configurarem uma community
padrão nos seus routers, que quando recebido um anúncio de um determinado
ip ou prefixo com esta community marcada, deve descartar o tráfego com
destino ao ip ou prefixo marcado.
A função do route server do PTT seria apenas de repassar estes anúncios com
a community marcada para todos do ATM.


Abs,
Wilson.




Em 7 de julho de 2016 10:31, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> E voltamos às benditas communities!
>
> i++ para as communities;
> Assim como o Kurt mencionou.
>
>
> Tem mais de 4 anos que escuto os amigos falando sobre isso!
> Lembro até de uma apresentação do Rinaldo sobre isso(também tem uns 3 anos
> ou mais).
>
>
> O Rubens está certíssimo sobre o IX ser L2, e não pode-se entrar nos
> pacotes alheios.
> Mas no caso das Communities, isso não estaria analisando os pacotes.
> Apenas entregando uma rota com uma observação "mande pro inferno" para os
> demais participantes
>
> Não consigo ver empecilhos técnicos(apesar de ser algo muito complexo) para
> implementação de communities que permitam um controle mais granular dos
> anúncios:
>  - Para quem deve ser repassada a rota.
>  - Para que não deve ser repassada a rota.
>  - Com qual community deve ser repassada a rota.
> A parte mais complexa disso é que todos os participantes terão que
> configurar o BlackHole nos seus bordas.
> Mas presume-se que tenham capacidade para isso, certo?
>
>
>
> Além do mais, conseguindo romper essa barreira(que claramente é complexa),
> todos esses controles de bloqueio de anúncios entre participante que hoje é
> feito manualmente através de portal e configuração específica passam a ser
> responsabilidade do ASN, desonerando material humano na gerência dos IX.
>
>   P.S.: O principal contra disso é a possibilidade
>   de um tanso fazer caquinha. Mas em teoria isso
>   está coberto na definição de "sistema AUTÔNOMO",
>   certo?
>
>
>
>
> Em 7 de julho de 2016 07:15, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
> > 2016-07-06 23:30 GMT-03:00 Kurt Kraut <listas at kurtkraut.net>:
> >
> > > Aloha amigos,
> > >
> > >
> > > Sei que estão tentando ajudar o colega que está tomando DDoS na
> cachola,
> > > mas esse é um caso em que o bom é o inimigo do ótimo. Convido todos a
> > > clamarem por black hole nos IX.br
> > >
> >
> > Black hole do ponto de vista de um IX, que é L2, se pudesse ser
> > implementado só poderia ser do tipo "Drop MAC origem tal"... mais do que
> > isso e o IX está fuçando nos seus pacotes. ;-)
> >
> > Me parece que algo como community de controle de propagação no ATM seria
> > mais o caso, tipo "Não me anuncie para a HE, please"... e isso tem
> > utilidades diversas em TE, não apenas em resposta a DoS.
> >
> >
> > Rubens
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list