[GTER] Blackholes BGP - Security
Henrique de Moraes Holschuh
hmh at hmh.eng.br
Tue May 23 21:52:09 -03 2017
On Tue, 23 May 2017, Bruno Cabral wrote:
> Nao é dificil criar uma politica de comunidades (*)
>
> Mas o simples fato de receber rotas da UTRS nao te livra de ataques, pois os pacotes precisam chegar no seu roteador para ser descartados
Hmm, a ideia de participar da UTRS é você colocar blackhole na _sua_
saída para os prefixos que você receber da UTRS, e assim evitar que a
_sua_ rede ataque *os outros*.
Ou seja, a UTRS contém prefixos que marcam tráfego que deve ser
descartado. Um uso típico de feeds como a UTRS é trocar o nexthop do
que receber da feed para um IP privado de sacrifício que você configurou
como rota de descarte nos seus roteadores internos, e propagar isso no
iBGP/IGP.
Cliente seu que estiver na botnet vai ter o tráfego de ataque descartado
no primeiro roteador de acesso, livrando (parte do?) seu backbone, suas
saídas de borda com trânsito/peer, e ajudando a vítima do ataque (já que
diminui o tráfego que tenta chega no alvo do ataque). Melhor para todo
mundo.
Evidentemente a recíproca é veradeira, e quando você resolver anunciar
um /32 seu que esteja sob ataque para a UTRS, vai diminuir o tráfego de
ataque cruzando a rede de todo mundo que participa da UTRS (e vai
diminuir o volume do ataque que chega até os seus upstreams e/ou IX).
O único detalhe nesse troço é a parte de "confiar desconfiando" no que
vai receber da feed de blackhole (seja UTRS, ou qualquer outra). Vai
precisar filtrar.
--
Henrique Holschuh
More information about the gter
mailing list