[GTER] Blackholes BGP - Security
Douglas Fischer
fischerdouglas at gmail.com
Wed May 24 09:37:40 -03 2017
HMH sempre me ajudando a clarear as ideias!
Te juro que tinha uma interpretação bem diferente da ferramenta...
Me surge uma ideia!
Pacotes que venham de sua rede para esses Black-Holes podem ser legítimos,
mas muito provavelmente serão pacotes provenientes de Ataques.
Com uma Exportação de Flows antes do >/dev/null e isso pode ser usado como
métrica para identificação de BotNets...
(Alerta para invenção da roda)
Será que existe algum trabalho nessa linha?
Em 23 de maio de 2017 21:52, Henrique de Moraes Holschuh <hmh at hmh.eng.br>
escreveu:
> On Tue, 23 May 2017, Bruno Cabral wrote:
> > Nao é dificil criar uma politica de comunidades (*)
> >
> > Mas o simples fato de receber rotas da UTRS nao te livra de ataques,
> pois os pacotes precisam chegar no seu roteador para ser descartados
>
> Hmm, a ideia de participar da UTRS é você colocar blackhole na _sua_
> saída para os prefixos que você receber da UTRS, e assim evitar que a
> _sua_ rede ataque *os outros*.
>
> Ou seja, a UTRS contém prefixos que marcam tráfego que deve ser
> descartado. Um uso típico de feeds como a UTRS é trocar o nexthop do
> que receber da feed para um IP privado de sacrifício que você configurou
> como rota de descarte nos seus roteadores internos, e propagar isso no
> iBGP/IGP.
>
> Cliente seu que estiver na botnet vai ter o tráfego de ataque descartado
> no primeiro roteador de acesso, livrando (parte do?) seu backbone, suas
> saídas de borda com trânsito/peer, e ajudando a vítima do ataque (já que
> diminui o tráfego que tenta chega no alvo do ataque). Melhor para todo
> mundo.
>
> Evidentemente a recíproca é veradeira, e quando você resolver anunciar
> um /32 seu que esteja sob ataque para a UTRS, vai diminuir o tráfego de
> ataque cruzando a rede de todo mundo que participa da UTRS (e vai
> diminuir o volume do ataque que chega até os seus upstreams e/ou IX).
>
> O único detalhe nesse troço é a parte de "confiar desconfiando" no que
> vai receber da feed de blackhole (seja UTRS, ou qualquer outra). Vai
> precisar filtrar.
>
> --
> Henrique Holschuh
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list