Видимо, пошло оно от selective blackhole. На удивление недавно (на ENOG9) обнаружил, что термин частенько не понимается многими и вовсе не является обще принятым :)
Что же он означает? Речь идет о RTBH (remote triggered black hole), который обычно висит на BGP комьюнити 666. При его активации он блокирует весь трафик с/на узел.
Селективный же блокирует либо заданный протокол (часто - UDP) либо же набор протоколов по определенным параметрам (например, популярные UDP амплификаторы).
Операторы, кто поддерживает это дело - редки, делимся в комментах :)
Что же он означает? Речь идет о RTBH (remote triggered black hole), который обычно висит на BGP комьюнити 666. При его активации он блокирует весь трафик с/на узел.
Селективный же блокирует либо заданный протокол (часто - UDP) либо же набор протоколов по определенным параметрам (например, популярные UDP амплификаторы).
Операторы, кто поддерживает это дело - редки, делимся в комментах :)
RETN
ReplyDelete9002:666 - традиционный blackhole для префикса, и
9002:667 для фильтрации всего udp трафика
9002:668 фильтрафия известных амплифаеров (source-port 19,53,123,161,1900)
Без flowspec на сети оператора не обойтись для такого решения.
ReplyDeleteКлиент анонсирует маршрут с необходимым коммьюнити, который соответствует требуемой фильтрации. Этот маршрут попадает на Route Server, который проверяет валидность анонса. Если все ок, то Route Server рассылает Flowspec анонс на граничные маршрутизаторы ;)
Да, это хороший вариант сделать доступ к функционалу flow spec для тех, у кого нет возможности его анонсировать.
DeleteRASCOM :)
ReplyDeleteFlowSpec запущен, доступ на анонсы для клиентов по запросу.
Web-интерфейс тоже в разработке, скоро планируется.
Шикарно! Спасибо, что поделились! Ценообразование - +десяток процентов к цене канала или как-то иначе? Также было бы интересно узнать, про селективный дроп udp / амплификации силами BGP IPv4 Unicast без флоу спека :) С этой инфой могу оформить отдельный пост ради такого события!
DeleteWeb-интерфейс к FlowSpec сделали для своих клиентов.
DeleteТолько мониторинг работы правил или возможность добавления новых правил? Очень интересно, как делается валидация. Поясните?
DeleteИ добавление, и мониторинг.
DeleteИ валидация - как по RFC только еще жестче.
Т.е. должен быть валидный принадлежащий клиенту префикс (суперсеть/надпрефикс), он должен им анонсироваться нам по BGP в клиентской сессии и быть бестом.
Ну и всякие прочие проверки.
- разрешены только правила содержащие IPv4 адреса
Delete- разрешены действия (action): rate-limit 0 (DROP) или rate-limit NNN (от 8000 байт/сек и более)
- разрешена установка протокола в правилах: TCP или UDP или ICMP или ANY (любой протокол)
- в обязательном порядке должен быть указан адрес или подсеть назначения (DST IP), этот адрес/подсеть должны входить в AS-SET/ASN клиента и должен быть активным соответствующий BGP BESTPATH в сети РАСКОМ в сторону данного клиента
- разрешено указание портов источника и/или назначения (SRC PORT / DST PORT) только при условии указания типа протокола TCP или UDP
- разрешено указание в правилах TCP-флагов (управляющих битов) (SYN / ACK / RST / FIN etc.) только при условии указания протокола TCP
- разрешено указание в правилах флага о фрагментации пакета (fragments)
- разрешена установка в правилах флагов ICMP-code/ICMP-type при условии указания протокола ICMP
- разрешено указание в правилах длины пакета (в виде любого значения менее 65000 байт)
- запрещена установка TCP-флагов без указания типа протокола TCP
- запрещена установка флагов ICMP-code/ICMP-type без указания типа протокола ICMP
- запрещено указание в правилах длины пакета большей или равной 65000 байт
- запрещено анонсировать правила по BGP FlowSpec, которые в это же время анонсируются как /32 по BGP c Blackhole Community 20764:6666 (ограничено архитектурой услуги, так как при блэкхоле трафика с помощью RTBH правила BGP FlowSpec не имеют смысла и весь трафик в любом случае дропается).
Классно! Доклады не планируете о своей истории успеха? :) А-то меня с FastNetMon постоянно ругают, что мол никто из операторов не дает флоу спек. Будет отличный контр-пример :)
DeleteПусть для начала немного поработает, соберем статистику, примеры использования и результаты от реальных атак на клиентов.
DeleteПока еще нечего докладывать на сегодня :)
Пусть еще Arbor поругают )))
DeleteНе обращайте внимание!
Спасибо за поддержку :) Такими темпами будет очень хорошее подспорье в отражении атак на перелив канала.
DeleteПока в режиме тестирования - бесплатно. (Потом, возможно, и несколько процентов)
ReplyDeleteСилами BGP IPv4 Unicast без флоу спека не делаем, только аксесс-листами ACL по запросу.
Полагаю, что Web-интерфейс к флоуспеку, когда запустится будет удобенее и проще, чем фиксированные BGP-коммьюнити.