[ITNOG] DDos Mitigation all'Internet Exchange?

Pier Carlo Chiodi pc.chiodi@gmail.com
Lun 13 Gen 2014 14:48:18 CET


Il 13/01/2014 12:39, Marco d'Itri ha scritto:
> On Jan 13, Pier Carlo Chiodi <pc.chiodi@gmail.com> wrote:
> 
>> Si potrebbe anche pensare ad un'implementazione graduale; in prima
>> battuta mediante la formalizzazione da parte dell'IX di una community
>> sotto il proprio ASN ad uso e consumo dei peerers e, in un secondo

> Non può essere standardizzato perché ciascuno ha un proprio schema di 
> community, quindi se non si passa per i route server l'IX non può avere 
> nemmeno un ruolo di coordinamento.

Pensavo ad una community generica, relativa all'IX, che verrebbe usata
direttamente dagli afferenti nell'ambito delle sessioni di peering
diretto attivate gli uni con gli altri; un qualcosa del tipo
<IX_ASN>:<tag>, dove <IX_ASN> fosse l'ASN assegnato all'IX ospitante e
<tag> un valore arbitrariamente scelto dall'IX stesso. Ovviamente
avrebbe senso soltanto laddove l'IX avesse un proprio ASN.

Gli afferenti che intendessero implementare questo meccanismo potrebbero
accettare questa community sulla LAN di peering e mettere in
null-routing i prefissi (appositamente filtrati) anche senza l'ausilio
di un route-server. Stesso principio verrebbe poi adattato con poco
sforzo qualora si riuscisse ad implementare la stessa cosa mediante
route-server.

Certo, il rapporto costi/benefici non è facilmente determinabile a
priori, ma sarebbe comunque uno strumento in più da usare in situazioni
calde.

La sto facendo troppo banale? Magari mi sta sfuggendo qualcosa di
macroscopico...

-- 
Pier Carlo Chiodi
http://about.me/piercarlo.chiodi

The opinions expressed here represent my own and not those of any
organization, entity or committee to which I may hold a position.


Maggiori informazioni sulla lista itnog