[ITNOG] DDos Mitigation all'Internet Exchange?

[Marco Marzetti]

Il giorno lun, 13/01/2014 alle 07.44 +0000, Gioanola, Marco ha scritto:
> On 10/1/14 7:13 PM, "Marco d'Itri" <md@Linux.IT> wrote:
> 
> 
> >
> >Come giustamente notato, è follia pensare che qualcuno possa fare
> >blackholing di un IP sulla piattaforma del IX in un modo che riguardi
> >anche terzi non interessati alla questione.
> 
> Ovviamente è follia, e io non intendevo suggerire questo. Ciò che penso si
> potrebbe forse realizzare è un sistema di blackholing (o ancora meglio, di
> mitigation "intelligente") azionato dall'AS vittima e implementato dall'IX
> prima che l'attacco raggiunga, appunto, la vittima.
> 
> Altrettanto ovviamente, è necessario non coinvolgere "terzi non
> interessati", e ciò si realizza solo facendo blackholing (o mitigation)
> del solo /32 sotto attacco, su iniziativa dell'AS relativo.

Ciao,

Toglietemi una curiosità. Perché non "limitarsi" a mitigare l'attacco
invece che fare blackholing?

La soluzione è abbastanza semplice: classificare sulla porta d'ingresso
e gestire la congestione di quella d'uscita con due code di cui una
strettamente prioritaria.

Ci sono limitazione hardware specifiche che lo impediscono?
Se si, quali?

Grazie