[GTER] Ataques entrando pelo PTT-SPO com origem ASN 6939 ( HE )
Douglas Fischer
fischerdouglas at gmail.com
Thu Jul 7 16:46:32 -03 2016
"Apenas um combinado" -> Sim!
Na verdade penso que deveria ser um requisito(mais ou menos como os testes
de ativação).
Mas além disso(BlackHole) existiriam questões como:
Essa rota eu não quero que seja repassada para o ASN "TAL".
O problema é o tamanho da palavra de dados da Communitie(32 Bits)
e o tamanho da palavra de dados dos ASNs novos(32bits).
Não sobra espaço para colocar um flag de "faça isso".
Uma ideia seria exigir que todos os ASNs para os quais se deseja que as
rotas sejam repassadas sejam listados como communities de cada rota.
Aí fica "fácil" de se tratar isso nos Route-Maps dos Route-Servers.
Trabalhoso tanto para quem anuncia quanto para quem mantém os
Route-Servers, mas torna factível o controle.
P.S.: Em conversa de buteco(alcoolizada), já viajamos sobre roubar os 3
primeiros bits deixando os outros 29 para os números dos ASNs.
Baita Gambiarra, no melhor estilo R2-Digital(CAS). -> Vômitos.
Em 7 de julho de 2016 15:43, Wilson R Lopes <wilsonlopes00 at gmail.com>
escreveu:
> Não seria uma boa oportunidade para alguma empresa, ou o próprio PTT,
> montar um cleaning center dentro da infra do PTT e vender isso como serviço
> aos participantes ?
>
>
> A questão de community para blackhole não seria uma implementação do PTT,
> mas sim um "combinado" entre os participantes de configurarem uma community
> padrão nos seus routers, que quando recebido um anúncio de um determinado
> ip ou prefixo com esta community marcada, deve descartar o tráfego com
> destino ao ip ou prefixo marcado.
> A função do route server do PTT seria apenas de repassar estes anúncios com
> a community marcada para todos do ATM.
>
>
> Abs,
> Wilson.
>
>
>
>
> Em 7 de julho de 2016 10:31, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
> > E voltamos às benditas communities!
> >
> > i++ para as communities;
> > Assim como o Kurt mencionou.
> >
> >
> > Tem mais de 4 anos que escuto os amigos falando sobre isso!
> > Lembro até de uma apresentação do Rinaldo sobre isso(também tem uns 3
> anos
> > ou mais).
> >
> >
> > O Rubens está certíssimo sobre o IX ser L2, e não pode-se entrar nos
> > pacotes alheios.
> > Mas no caso das Communities, isso não estaria analisando os pacotes.
> > Apenas entregando uma rota com uma observação "mande pro inferno" para os
> > demais participantes
> >
> > Não consigo ver empecilhos técnicos(apesar de ser algo muito complexo)
> para
> > implementação de communities que permitam um controle mais granular dos
> > anúncios:
> > - Para quem deve ser repassada a rota.
> > - Para que não deve ser repassada a rota.
> > - Com qual community deve ser repassada a rota.
> > A parte mais complexa disso é que todos os participantes terão que
> > configurar o BlackHole nos seus bordas.
> > Mas presume-se que tenham capacidade para isso, certo?
> >
> >
> >
> > Além do mais, conseguindo romper essa barreira(que claramente é
> complexa),
> > todos esses controles de bloqueio de anúncios entre participante que
> hoje é
> > feito manualmente através de portal e configuração específica passam a
> ser
> > responsabilidade do ASN, desonerando material humano na gerência dos IX.
> >
> > P.S.: O principal contra disso é a possibilidade
> > de um tanso fazer caquinha. Mas em teoria isso
> > está coberto na definição de "sistema AUTÔNOMO",
> > certo?
> >
> >
> >
> >
> > Em 7 de julho de 2016 07:15, Rubens Kuhl <rubensk at gmail.com> escreveu:
> >
> > > 2016-07-06 23:30 GMT-03:00 Kurt Kraut <listas at kurtkraut.net>:
> > >
> > > > Aloha amigos,
> > > >
> > > >
> > > > Sei que estão tentando ajudar o colega que está tomando DDoS na
> > cachola,
> > > > mas esse é um caso em que o bom é o inimigo do ótimo. Convido todos a
> > > > clamarem por black hole nos IX.br
> > > >
> > >
> > > Black hole do ponto de vista de um IX, que é L2, se pudesse ser
> > > implementado só poderia ser do tipo "Drop MAC origem tal"... mais do
> que
> > > isso e o IX está fuçando nos seus pacotes. ;-)
> > >
> > > Me parece que algo como community de controle de propagação no ATM
> seria
> > > mais o caso, tipo "Não me anuncie para a HE, please"... e isso tem
> > > utilidades diversas em TE, não apenas em resposta a DoS.
> > >
> > >
> > > Rubens
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list