[ITNOG] DDos Mitigation all'Internet Exchange?

[Gioanola, Marco]

On 10/1/14 6:06 PM, "Matteo Berlonghi" <matteob@seflow.net> wrote:


>Ciao,
>         far decidere agli IX quando e come filtrare mi sembra troppo
>limitante. Per esempio noi siamo DDoS protected e sapere che il MIX
>potrebbe, da un momento all' altro mettere in blackholing l' ip potrebbe
>essere un serio problema

No no, ovviamente non stavo suggerendo un'intervento "autonomo" dell'IX.

>
>Inoltre trovo più comodo fare peering ad hoc agli IX. Per esempio all'
>AMS-IX filtriamo i routeserver e facciamo peering con solo i provider a
>meno rischio invio attacchi. Per il MIX in se alla fine gli attacchi
>arrivano principalmente da retn, ixreach e he, le altre reti arrivano
>pochi mbps...

Questa è un'assunzione a mio parere un po' "spericolata", nel senso che se
finora la vostra esperienza è stata che alcuni peer sono più "a rischio"
di altri non è detto che domani sarà ancora così. Io assumerei che tutti i
peer hanno la stessa probabilità di generare/trasportare attacchi verso di
me.

>>>
>>> --
>>> Marco Gioanola
>>> Consulting Engineer, EMEA
>>> Arbor Networks
>>> mgioanola@arbor.net
>>> +39 339 7584747 (m)
>>>
>>> --> See you at Cisco Live, Jan.28th-30th, Milano <--
>>>
>>> Please be advised that this email may contain confidential
>>>information. If
>>> you are not the intended recipient, please notify us by email by
>>>replying
>>> to the sender and delete this message. The sender disclaims that the
>>> content of this email constitutes an offer to enter into, or the
>>> acceptance of, any agreement; provided that the foregoing does not
>>> invalidate the binding effect of any digital or other electronic
>>> reproduction of a manual signature that is included in any attachment.