[ITNOG] DDos Mitigation all'Internet Exchange?

[Marco d'Itri]

On Jan 10, "Gioanola, Marco" <mgioanola@arbor.net> wrote:

> Non mi risulta che abbiano poi proceduto in questa direzione, ma mi
> interesserebbe molto sentire le opinioni di chi si collega agli IX
> italiani e di chi questi IX li gestisce. E'
> pensabile/fattibile/auspicabile un ruolo degli IX nella mitigation degli
> attacchi DDoS, fosse anche solo a livello di blackholing? Qual è, se
Come giustamente notato, è follia pensare che qualcuno possa fare 
blackholing di un IP sulla piattaforma del IX in un modo che riguardi 
anche terzi non interessati alla questione.
D'altra parte, se l'unica soluzione proposta a un DDoS è chiudere una o 
più sessioni al IX (e ricordiamoci dei route server che complicano le 
cose...) allora siamo molto vicini al punto in cui questo non è più 
adeguato.

Partiamo pure dal presupposto che qualsiasi soluzione che richieda di 
contattare i propri peer e convincerli a fare cose dal loro lato:
- non è ovvio che funzioni (anzi...)
- comunque quando funziona ha una latenza troppo alta
- non scala con l'aumentare dei peer

La soluzione più elegante sarebbe estendere ai propri peer le funzioni 
di blackholing controllato via BGP che già si mettono a disposizione dei 
propri clienti.
È abbastanza ovvio però che questo non può funzionare a meno che alcuni 
grandi reti inizino ad imporlo come condizione per fare peering, visto 
che chi dovrebbe fare il lavoro (la sorgente del attacco) non sarebbe 
chi ne beneficierà (il destinatario del attacco).

Molto più semplice la soluzione proposta da AMS-IX nell'ultima slide, 
di fare una cosa simile mediante i route server. Però richiede 
necessariamente che tutte le route siano correttamente registrate nel 
IRR e filtrate e, diversamente da MIX e DE-CIX, AMS-IX ha già detto di 
non averne voglia.
Visto che qui ne avremmo la possibilità, forse possiamo esplorare 
meglio questa opzione: proviamo a riflettere un po' su cosa 
comporterebbe.
Forse non era chiaro a tutti, ma appunto lo scopo di questa funzione 
sarebbe fare blackholing del *proprio* IP destinazione dell'attacco, 
non delle sorgenti...

Dopo questo rimane solo che l'IX fornisca una API che permetta di 
installare sulla propria porta di una ACL personalizzata, che però deve 
essere L3 per essere utile. Questa è la soluzione che non richiede 
alcuno sforzo implementativo ai membri del IX, ma richiede che gli 
switch possano gestire ACL L3 sulle porte L2, e senza problemi di 
prestazioni. (E su questo punto non sono preparato.)

> esiste, la frequenza dell'adozione di accordi bilaterali tra peer per
> l'utilizzo di community di null route?
Io non ne ho mai visto uno, e tu?

-- 
ciao,
Marco