[GTER] Blackholes BGP - Security

Henrique de Moraes Holschuh hmh at hmh.eng.br
Tue May 23 21:52:09 -03 2017


On Tue, 23 May 2017, Bruno Cabral wrote:
> Nao é dificil criar uma politica de comunidades (*)
> 
> Mas o simples fato de receber rotas da UTRS nao te livra de ataques, pois os pacotes precisam chegar no seu roteador para ser descartados

Hmm, a ideia de participar da UTRS é você colocar blackhole na _sua_
saída para os prefixos que você receber da UTRS, e assim evitar que a
_sua_ rede ataque *os outros*.

Ou seja, a UTRS contém prefixos que marcam tráfego que deve ser
descartado.  Um uso típico de feeds como a UTRS é trocar o nexthop do
que receber da feed para um IP privado de sacrifício que você configurou
como rota de descarte nos seus roteadores internos, e propagar isso no
iBGP/IGP.

Cliente seu que estiver na botnet vai ter o tráfego de ataque descartado
no primeiro roteador de acesso, livrando (parte do?) seu backbone, suas
saídas de borda com trânsito/peer, e ajudando a vítima do ataque (já que
diminui o tráfego que tenta chega no alvo do ataque).  Melhor para todo
mundo.

Evidentemente a recíproca é veradeira, e quando você resolver anunciar
um /32 seu que esteja sob ataque para a UTRS, vai diminuir o tráfego de
ataque cruzando a rede de todo mundo que participa da UTRS (e vai
diminuir o volume do ataque que chega até os seus upstreams e/ou IX).

O único detalhe nesse troço é a parte de "confiar desconfiando" no que
vai receber da feed de blackhole (seja UTRS, ou qualquer outra).  Vai
precisar filtrar.

-- 
  Henrique Holschuh



More information about the gter mailing list