[GTER] É possível fazer que um determinado AS não alcance o meu através da operadora X?
Douglas Fischer
fischerdouglas at gmail.com
Wed Nov 29 10:25:55 -02 2017
Na verdade não tem nada de HACK...
É comportamento padrão de todas(eu acho) engines de BGP que despreze rotas
que tenham no AS-Path o seu próprio ASN.
Para desabilitar esse comportamento padrão se usa o comando "allow as in".
Oque o Rôney sugeriu foi se valer desse comportamento para tentar evitar
que o Facebook conheça um caminho até você através dessa operadora.
Se sua operadora for razoavelmente grande, isso pode funcicionar.
Mas se for pequena, na verdade se o AS-Path de sua operadora for muito
grande, existe a probabilidade de essa solução não ser efetiva...
CUIDADO!
Eu já fiz uma BAITA CAGADA matei a conectividade do /22 mais utilizado de
um datacenter tentando fazer essa gambiarra.
Estávamos sobre DoS, e identificamos que não era DDoS, e tudo partia de um
ASN russo(para variar).
Não dava para fazer BlackHole pois iria matar desnecessariamente a
conectividade com o resto do mundo que não aqueles lazarentos.
Tive a brilhante ideia de fazer o anúncio de minha rota injetando o ASN dos
bastardos no AS-Path.
Aí é que veio a vassourada...
O problema é que se não estivesse na FIB da operadora, ela não iria
propagar.
Então criei o route-map que ajustava só o AS-Path daquele prefixo.
Clear-soft e tuuuuuuu.....
A operadora fazia Regex do AS-Path, e rejeitou minha rota...
Foram os 3 minutos mais demorados de minha vida!
Em 28 de novembro de 2017 20:52, Tiago SR <listas at tiagosr.com> escreveu:
> Interessante isso aí. Me parece mais um hack, hehe.
>
> Como esse AS-PATH seria tratado? Somente o Facebook vai descartar, por ter
> o ASN dele no meio?
> Será que não teria problema com alguma operadora no meio do caminho
> descartando o anúncio devido ao AS-PATH estranho?
>
>
> ---- On Thu, 23 Nov 2017 18:24:37 -0200 Rôney Eduardo <
> roneyeduardosantos at gmail.com> wrote ----
> > Você pode anunciar para a operadora pela qual não quer que venha
> > tráfego do Facebook, da seguinte forma:
> >
> > SEU_AS, AS_FACEBOOK, SEU_AS.
> >
> > Em Mikrotik, ficaria mais ou menos assim (coloque como a primeira
> > regra de export):
> >
> > /routing filter add chain=OUT
> > set-bgp-prepend-path=SEU-AS,AS-FACEBOOK,SEU-AS action=passthrough
> >
> > --
> > Rôney Eduardo
> >
> > Em 23 de novembro de 2017 09:31, Samuel Lopes dos Santos
> > <samulosan at gmail.com> escreveu:
> > > Bom dia,
> > >
> > > No caso do IX-SP, por exemplo é necessário apenas usar a communitie
> 65000
> > > para que o facebook não tente acançar o meu AS através do PTT. Existe
> algo
> > > semelhante nas operadoras como a Vivo e Algar ?
> > > Supondo que eu queira que meu somente tráfego para o AS do facebook
> venha
> > > pela operadora X , a única forma de fazer isso é anunciando os meu
> prefixos
> > > /24 para essa operadora ? O problema é que fazendo isso otráfego que
> eu não
> > > desejo que venha por ela será afetado também.
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list