[ITNOG] Mitigazione DDoS presso gli IXPs
Matteo Berlonghi
matteob@seflow.net
Mar 29 Mar 2016 22:59:48 CEST
eh si come se ricevere 50 ge di ddos su tutti gli uplink li risolvi
implementando il blackholing al mix che ti leva si e no 2ge.... ora
lascia parlare i grandi su.
Come ho già scritto quella soluzione usata al de-cix e ams-ix e altri
grandi IX ha senso in quanto il traffico malevolo arriva da decine di
provider e può facilmente saturare gran parte della lan di peering. E'
una soluzione nata inizialmente per proteggere l' IX stesso, poi in
secondo momento è andata in cascata sugli operatori.
Al mix invece questa soluzione aggiunge costi inutili in quanto il
traffico malevolo arriva da 3 operatori, in quel caso basta utilizzare
il filtering dei route server per risolvere completamente il problema e
demandare il bh sugli upstream.
Il 29/03/2016 22:51, marco@lamehost.it ha scritto:
> On 2016-03-25 16:18, Matteo Berlonghi wrote:
>> Qulle soluzioni al mix, al giorno d'oggi han poco senso, alla fine
>> sono 3 gli operatori interessati durante un DDoS. Basta annunciare
>> nei route server la loro community per filtrarli e il problema è
>> risolto.
>>
>> Inoltre il blackholing non è una vera mitigazione.
>>
>> Io lo reputo inutile e ve lo dico con i dati che ho in mano, ossia dai
>> 40 ai 45 DDoS ricevuti al giorno
>>
>> --
>> Matteo Berlonghi
>> Chief Technical Officer
>> mail: matteob@seflow.net
>> tel: +39.0256566235 ext. 801
>
> Sopratutto se l'assenza di certe soluzioni da la possibilita' a
> privati di offrire servizi a pagamento in lista
> URL: http://i0.kym-cdn.com/photos/images/masonry/000/259/943/694.png
>
> Stupidaggini a parte: Quello di non implementare una funzionalita'
> perche' "ora non serve" mi sembra poco lungimirante.
>
>
--
Matteo Berlonghi
Chief Technical Officer
mail: matteob@seflow.net
tel: +39.0256566235 ext. 801
Maggiori informazioni sulla lista
itnog