[ITNOG] DDos Mitigation all'Internet Exchange?

Matteo Berlonghi matteob@seflow.net
Ven 10 Gen 2014 18:06:43 CET 

Ciao,
         far decidere agli IX quando e come filtrare mi sembra troppo 
limitante. Per esempio noi siamo DDoS protected e sapere che il MIX 
potrebbe, da un momento all' altro mettere in blackholing l' ip potrebbe 
essere un serio problema

Inoltre trovo più comodo fare peering ad hoc agli IX. Per esempio all' 
AMS-IX filtriamo i routeserver e facciamo peering con solo i provider a 
meno rischio invio attacchi. Per il MIX in se alla fine gli attacchi 
arrivano principalmente da retn, ixreach e he, le altre reti arrivano 
pochi mbps...

Insomma sapere che altri decidano cosa io posso filtrare non lo vedo 
come una funzione limitante e quasi "dittatoria".

Ciao

Matteo

Il 10/01/2014 17:54, Valeria Rossi ha scritto:
> Buongiorno Marco,
>
> dell'ipotesi di applicare metodi di bloccaggio di DDOS sugli IX se ne parla da anni e, da che ne so io, attualmente mi risulta che solo l'IX di Francoforte abbia adottato o comunque proposto delle misure in proposito, tramite piattaforme dedicate.
>
> Quanto riportato nelle slides di AMS-IX è molto chiaro ed è di fatto la visione che la stragrande maggioranza degli IX condivide.
> Al di là delle technicalities (tutto si può fare), il problema principale è chi da' all'IX l'autorità per filtrare un indirizzo, chi gliela da' per riabilitarlo, per quanto tempo?
> Non è l'IX che ha visibilità diretta di ciò che sta avvenendo, l'IX non entra nel merito del pacchetto né può farlo né vuole farlo (il concetto di neutralità più volte espresso anche nella presentazione che citi).
> MIX a differenza di AMS-IX non annuncia all'esterno il blocco della rete di peering (si sa che è utile ma non necessario), ed è stata una scelta basata proprio per limitare a due soli soggetti eventuali problemi di DDOS. Anche noi mettiamo a disposizione statistiche Sflow per coppie di afferenti, che possono aiutare ad identificare la fonte ed intervenire in modo puntuale da parte del soggetto attaccato.
>
> Recentemente ci è stato chiesto da un operatore collegato a MIX di adottare misure di blocco di DDOS, ma nel pensarci ancora un volta e riflettere su metodi che non minassero la natura agnostica del nostro operare rispetto al tipo di traffico scambiato, e soprattutto nel pensare ai processi formali di eventuali azioni, abbiamo deciso di mantenere la posizione da sempre adottata che è poi quella di AMS-IX. Lascio da parte eventuali aspetti economici.
>
> Abbiamo comunque invitato questo operatore a parlarne con altri e, qualora vi fossero state proposte viabili  e condivisione delle stesse tra gli operatori, di farcelo sapere per valutarle assieme.
>
> Ciao,
>
> Valeria
>
>
> On Jan 10, 2014, at 5:19 PM, Gioanola, Marco wrote:
>
>> Buongiorno a tutti,
>> ho solo recentemente letto questa presentazione fatta dall'AMS-IX riguardo
>> gli attacchi DDoS durante il loro evento annuale "More IP":
>> http://www.more-ip-event.net/system/documents/6/original/TM-38_NB-DDoS.pdf
>>
>> Nell'ultima slide vengono menzionate alcune proposte:
>>
>> 	€ Arrange a Peering LAN address for which
>> 		traffic will get immediately blocked that can
>> 		be used as next-hop for blackhole routes?
>> 	€ A common BGP community that willing
>> 		peers can Null0 route upon?
>>
>>
>> Non mi risulta che abbiano poi proceduto in questa direzione, ma mi
>> interesserebbe molto sentire le opinioni di chi si collega agli IX
>> italiani e di chi questi IX li gestisce. E'
>> pensabile/fattibile/auspicabile un ruolo degli IX nella mitigation degli
>> attacchi DDoS, fosse anche solo a livello di blackholing? Qual è, se
>> esiste, la frequenza dell'adozione di accordi bilaterali tra peer per
>> l'utilizzo di community di null route? Se e come vengono coinvolti gli IX
>> oggi in caso di attacchi DDoS di ampie dimensioni?
>>
>> Personalmente trovo che gli IX siano in una posizione di vantaggio per
>> erogare efficaci servizi di ddos mitigation, ma d'altro canto comprendo
>> anche le complicazioni infrastrutturali e operative dell'implementazione
>> ed esercizio di tali servizi da parte loro.
>>
>> Grazie in anticipo per ogni opinione.
>>
>>
>> --
>> Marco Gioanola
>> Consulting Engineer, EMEA
>> Arbor Networks
>> mgioanola@arbor.net
>> +39 339 7584747 (m)
>>
>> --> See you at Cisco Live, Jan.28th-30th, Milano <--
>>
>> Please be advised that this email may contain confidential information. If
>> you are not the intended recipient, please notify us by email by replying
>> to the sender and delete this message. The sender disclaims that the
>> content of this email constitutes an offer to enter into, or the
>> acceptance of, any agreement; provided that the foregoing does not
>> invalidate the binding effect of any digital or other electronic
>> reproduction of a manual signature that is included in any attachment.
>>
>>
>>
>>
>> -- 
>> Mailing list info: http://lists.itnog.it/listinfo/itnog
>>
>> -- 
>> This message has been scanned for viruses and
>> dangerous content by MailScanner, and is
>> believed to be clean.
>>
>

-- 
Matteo Berlonghi
Chief Technical Officer
mail: matteob@seflow.net
tel: +39.0256566235 ext. 801

Maggiori informazioni sulla lista itnog