[GTER] É possível fazer que um determinado AS não alcance o meu através da operadora X?

Douglas Fischer fischerdouglas at gmail.com
Wed Nov 29 10:25:55 -02 2017


Na verdade não tem nada de HACK...

É comportamento padrão de todas(eu acho) engines de BGP que despreze rotas
que tenham no AS-Path o seu próprio ASN.
Para desabilitar esse comportamento padrão se usa o comando "allow as in".

Oque o Rôney sugeriu foi se valer desse comportamento para tentar evitar
que o Facebook conheça um caminho até você através dessa operadora.

Se sua operadora for razoavelmente grande, isso pode funcicionar.
Mas se for pequena, na verdade se o AS-Path de sua operadora for muito
grande, existe a probabilidade de essa solução não ser efetiva...


CUIDADO!
Eu já fiz uma BAITA CAGADA matei a conectividade do /22 mais utilizado de
um datacenter tentando fazer essa gambiarra.
Estávamos sobre DoS, e identificamos que não era DDoS, e tudo partia de um
ASN russo(para variar).
Não dava para fazer BlackHole pois iria matar desnecessariamente a
conectividade com o resto do mundo que não aqueles lazarentos.
Tive a brilhante ideia de fazer o anúncio de minha rota injetando o ASN dos
bastardos no AS-Path.
Aí é que veio a vassourada...
O problema é que se não estivesse na FIB da operadora, ela não iria
propagar.
Então criei o route-map que ajustava só o AS-Path daquele prefixo.
Clear-soft e tuuuuuuu.....
A operadora fazia Regex do AS-Path, e rejeitou minha rota...
Foram os 3 minutos mais demorados de minha vida!





Em 28 de novembro de 2017 20:52, Tiago SR <listas at tiagosr.com> escreveu:

> Interessante isso aí. Me parece mais um hack, hehe.
>
> Como esse AS-PATH seria tratado? Somente o Facebook vai descartar, por ter
> o ASN dele no meio?
> Será que não teria problema com alguma operadora no meio do caminho
> descartando o anúncio devido ao AS-PATH estranho?
>
>
>  ---- On Thu, 23 Nov 2017 18:24:37 -0200 Rôney Eduardo <
> roneyeduardosantos at gmail.com> wrote ----
>  > Você pode anunciar para a operadora pela qual não quer que venha
>  > tráfego do Facebook, da seguinte forma:
>  >
>  > SEU_AS, AS_FACEBOOK, SEU_AS.
>  >
>  > Em Mikrotik, ficaria mais ou menos assim (coloque como a primeira
>  > regra de export):
>  >
>  > /routing filter add chain=OUT
>  > set-bgp-prepend-path=SEU-AS,AS-FACEBOOK,SEU-AS action=passthrough
>  >
>  > --
>  > Rôney Eduardo
>  >
>  > Em 23 de novembro de 2017 09:31, Samuel Lopes dos Santos
>  > <samulosan at gmail.com> escreveu:
>  > > Bom dia,
>  > >
>  > > No caso do IX-SP, por exemplo é necessário apenas usar a communitie
> 65000
>  > > para que o facebook não tente acançar o meu AS através do PTT. Existe
> algo
>  > > semelhante nas operadoras como a Vivo e Algar ?
>  > > Supondo que eu queira que meu somente tráfego para o AS do facebook
> venha
>  > > pela operadora X , a única forma de fazer isso é anunciando os meu
> prefixos
>  > > /24 para essa operadora ? O problema é que fazendo isso otráfego que
> eu não
>  > > desejo que venha por ela será afetado também.
>  > > --
>  > > gter list    https://eng.registro.br/mailman/listinfo/gter
>  > --
>  > gter list    https://eng.registro.br/mailman/listinfo/gter
>  >
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list