[ITNOG] DDos Mitigation all'Internet Exchange?
Pier Carlo Chiodi
pc.chiodi@gmail.com
Lun 13 Gen 2014 10:03:40 CET
Ciao a tutti,
Il 13/01/2014 08:44, Gioanola, Marco ha scritto:
> On 10/1/14 7:13 PM, "Marco d'Itri" <md@Linux.IT> wrote:
>
> Ovviamente è follia, e io non intendevo suggerire questo. Ciò che penso si
> potrebbe forse realizzare è un sistema di blackholing (o ancora meglio, di
> mitigation "intelligente") azionato dall'AS vittima e implementato dall'IX
> prima che l'attacco raggiunga, appunto, la vittima.
La mitigation "intelligente" credo rientri in quelle attività che MIX,
come detto da Valeria Rossi, e probabilmente come anche altri IXes, non
possono né vogliono fare, proprio per non entrare nel merito del
traffico scambiato dai peers e rimanere, quindi, totalmente super partes.
>
>> - comunque quando funziona ha una latenza troppo alta
>
> "Latenza" nel senso di tempo necessario ad attivare il
> blackholing/mitigation o nel senso di "delay" introdotto dai processi di
> mitigation?
Condivido gli stessi dubbi manifestati da Marco d'Itri; magari sbaglio,
ma credo che intendesse la latenza introdotta dai meccanismi che portano
a reperire i recapiti dei singoli peers da contattare, chiamarli,
spiegare loro la situazione e convincerli a fornire supporto per attuare
una strategia di mitigazione.
>> La soluzione più elegante sarebbe estendere ai propri peer le funzioni
>> di blackholing controllato via BGP che già si mettono a disposizione dei
>> propri clienti.
>
> Concordo; è qui che volevo arrivare.
Anche a mio avviso l'implementazione mediante BGP communities è la più
indolore e facilmente attuabile; in molti scenari immagino che si
tratterebbe soltanto di estendere meccanismi già esistenti e consolidati.
Si potrebbe anche pensare ad un'implementazione graduale; in prima
battuta mediante la formalizzazione da parte dell'IX di una community
sotto il proprio ASN ad uso e consumo dei peerers e, in un secondo
tempo, all'estensione del meccanismo anche ai route-server (ovviamente
solo laddove questi siano correttamente filtrati).
Probabilmente molti gentlemen sarebbero lieti di implementare questo
meccanismo nella propria rete, sperando di trarre benefici dalla stessa
azione fatta da altri, pur senza confidare più di tanto sull'adozione
dello stesso comportamento da parte dei big. Visione filantropica!
--
Pier Carlo Chiodi
http://about.me/piercarlo.chiodi
The opinions expressed here represent my own and not those of any
organization, entity or committee to which I may hold a position.
Maggiori informazioni sulla lista
itnog