[ITNOG] Mitigazione DDoS presso gli IXPs

[Lukas Tribus]

Ciao,


l'ho appena configurato verso il DE-CIX (la conversione della mia
community verso il settagio del next-hop blackholing) - non
è rocket science.

Usare il route-server non è un requisito, basta che il prefisso
viene accettato dal peer.


> C'è da dire che potere utilizzare in modo uniforme gli stessi meccanismi
> di blackholing sia per i transiti che per gli IX semplifica molto
> l'operatività.
> [...]
> Certo, ma la maggior parte dei clienti non ha interesse a pagare per 
> una vera mitigazione e quindi il blackholing risolve il problema 
> immediato di evitare danni collaterali.
> 
> Visto che qualcuno lo ritiene utile e non serve nuova infrastruttura per 
> farlo a me sembra una buona idea implementare questa funzione.

Concordo (con tutto) e infatti non dovrebbe essere super impegnativo.

Quello che serve è una L2 ACL che scarta IPv4 e IPv6-NON-ND verso quel
MAC e un software che gestisce ARP e IPv6 ND, tutto qua.



Lukas