[GTER] RFC 5575
Daniel Damito S S D da Silva
daniel.damito at sagenetworks.com.br
Tue May 26 13:09:39 -03 2020
Justo, me perdoe. Quem oferece isto no Brasil é a Sparkle e a Angola
Cables, até onde sei.
Outro ponto de atenção é que você precisará validar as rotas da tabela de
flow com as rotas da inet4 (ou 6). Ou seja, se anunciares uma regra de
flowspec com destino ao prefixo 192.0.2.0/24, também precisará anunciar
esta rota igualmente na outra sessão BGP.
Em ter., 26 de mai. de 2020 às 13:05, Bruno Vane <broonu at gmail.com>
escreveu:
> Daniel,
>
> Mas no caso quem fará a mitigação será meu upstream, então não consumirá
> minha banda.
>
> Em ter., 26 de mai. de 2020 às 13:02, Daniel Damito S S D da Silva <
> daniel.damito at sagenetworks.com.br> escreveu:
>
> > Observações:
> >
> > - O flowspec vai ajudar a mitigar os ataques que não excedam a capacidade
> > de seus links. Se tens capacidade de 40 Gbps 35 Gbps, por exemplo, o
> > Flowspec só conseguirá ajudar a mitigar até 5 Gbps;
> > - O flowspec sozinho é um pouco maçante de se operar manualmente. Ele é
> > melhor utilizado quando usado com ferramentas de detecção e envio de
> > flowspec automatizados, como Wanguard (Andrisoft), NTA (NSFocus), Arbor
> > (Netscout) e outros.
> >
> >
> >
> > Em ter., 26 de mai. de 2020 às 12:31, Fernando Frediani <
> > fhfrediani at gmail.com> escreveu:
> >
> > > Bruno, isso é algo interessantíssimo em se ter com seu provedor de
> > > Trânsito IP.
> > >
> > > Muita gente conta com blackhole para mitigar ataques DDoS e acredita
> que
> > > eles por si só são suficientes. Ledo engano pois quando usado com IPs
> > > que estão em produção na verdade você estará ajudando seu atacante.
> > >
> > > Com o BFP Flowspec quando aceito pelo upstream te permite granularizar
> > > as regras de ingresso de determinado tráfego com ACLs, fazendo drop em
> > > determinadas condições e em outras não o que é uma grande vantagem.
> > > Alguns fornecedores de Trânsito no Brasil estão começando a oferecer
> > > esse serviço seja já incluso na oferta de Trânsito ou sob contratação
> > > adicional (que pelo que eu pude ver não é nada muito fora do normal em
> > > questão de custo e vale bastante a apena). Geralmente isso é
> > > comercializado em número de regras na ACL que você pode mandar pra
> eles.
> > > E em um cenário ideal quem vai fazer isso pra você é algum sistema
> > > automatizado que você tenha para fazer a detecção do ataque e gerar as
> > > regras para serem anuncias para o upstream.
> > >
> > > Em resumo, é sim algo bastante interessante em muitos cenários e uma
> > > ferramenta a mais de proteção. Se o seu upstream tem vale a pena
> > > avaliar, se não tem vale pedir pra ele implementar.
> > >
> > > Abraços
> > > Fernando
> > >
> > > On 26/05/2020 11:43, Bruno Vane wrote:
> > > > Bom dia a todos,
> > > >
> > > > Alguém está usando a solução da RFC5575 pra mitigação de ataques?
> > > > Se sim, podem me dizer como tem sido a experiência, se é
> satisfatória e
> > > se
> > > > compensa contratar esse serviço com as operadoras?
> > > > Obrigado!
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> > --
> >
> >
> > *Caso este e-mail tenha sido enviado com cópia para outros, favor
> utilizar
> > a opção "Responder para todos".*
> > *Daniel Damito *
> > Network Specialist
> >
> > +55 19 99973-3946
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
*Caso este e-mail tenha sido enviado com cópia para outros, favor utilizar
a opção "Responder para todos".*
*Daniel Damito *
Network Specialist
+55 19 99973-3946
More information about the gter
mailing list