[GTER] Communities no IX.br

Rubens Kuhl rubensk at gmail.com
Fri Oct 28 13:35:22 -02 2016 

2016-10-27 20:24 GMT-02:00 Rafael Ganascim <rganascim at gmail.com>:

> Em 27 de outubro de 2016 19:23, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
> > 2016-10-27 19:08 GMT-02:00 Antonio M. Moreiras <moreiras at nic.br>:
> >
> > > Em 27/10/16 17:30, Rubens Kuhl escreveu:
>
>
> No ARP não respondido de fato as requisições seguem um caminho não ideal
> dentro dos roteadores (mesmo os grandes). Acho que não responder ARP
> impacta a todos de forma bem negativa.
>
>
>
Não é verdade para um bom número de arquiteturas de roteadores de alta
performance. Uma que eu sei que sofreria um pouco é exatamente uma que já
teve seu tempo e não deveria estar mais em uso, 6500/7600... já mesmo
algumas outras arquiteturas da Cisco não teriam problema, e outras ainda da
Cisco eu não sei. Mas vale sim olhar como reagem



> > Detalhe que isso tem uma solução simples é que quem tiver qualquer
> > restrição com isso transformar a rota para o IP de drop numa discard
> route
> > (RouterOS), colocar um rota mais específica para esse IP apontando para
> > nul0 (IOS), ou diversos outros jeitos. O que eu gosto nesse modelo é que
> > ele já funciona de primeira sem configuração em 1 mil participantes... e
> > quem não gostar da implementação default, pode substituir pela que mais
> lhe
> > agrade de acordo com sua arquitetura de equipamento.
> >
> >
> Isto envolve reconfiguração por parte dos participantes do IX, e um grande
> esforço para achar o next-hop adequado e comum.
>

O next-hop já é preferido... a ação de descarte é que é dependente da
arquitetura.



>
>
>
> > Outro detalhe é que muitos participantes do IX pagam transporte até ele,
> > então o descarte no IX não resolve o fato de que o canal dele pode lotar
> no
> > sentido de uplink e ele ser degradado por um ataque volumétrico.
> >
> >
> >
> O blackhole irá proteger quem está sendo atacado e quer se proteger dos
> miseráveis anti-BCPs que tb participam do IX. Pq os dados não vão chegar
> até ele.
>

Como os ataques baseados em dispositivos IoT vulneráveis mostraram, não é
sempre que DDoS de alto impacto vem de redes não seguidoras de BCPs.


> Agora se algum dos participantes estiver sendo usado para ataque, é melhor
> mesmo que o link dele fique topado até o IX e ele vá tentar descobrir a
> anormalidade.
>

"IX Death Penalty" ? Vixe.


> De verdade não sei o peso computacional para o bloqueio no L2, mas ele, na
> visão limitada que tenho de participante, parece tornar as coisas mais
> simples.
>

Isso acontece muitas vezes em ambientes que são coletivos: achar que o
outro fazer é mais simples. A raiz disso é bem explicada no "Tragédia dos
Comuns":
https://pt.wikipedia.org/wiki/Trag%C3%A9dia_dos_comuns



> A rota de blackhole vem do BGP, e o next-hop é algo válido no lado do
> participante (e drop no lado do IX).


O fato de você dizer "drop no lado do IX" ao invés "de drop eventual no
lado do IX caso o participante falhe em descartar o tráfego localmente" é
bem sintomático do que iria acontecer na prática.


Rubens

More information about the gter mailing list