[ITNOG] DDos Mitigation all'Internet Exchange?

[Gioanola, Marco]

Buongiorno a tutti,
ho solo recentemente letto questa presentazione fatta dall'AMS-IX riguardo
gli attacchi DDoS durante il loro evento annuale "More IP":
http://www.more-ip-event.net/system/documents/6/original/TM-38_NB-DDoS.pdf

Nell'ultima slide vengono menzionate alcune proposte:

	€ Arrange a Peering LAN address for which
		traffic will get immediately blocked that can
		be used as next-hop for blackhole routes?
	€ A common BGP community that willing
		peers can Null0 route upon?


Non mi risulta che abbiano poi proceduto in questa direzione, ma mi
interesserebbe molto sentire le opinioni di chi si collega agli IX
italiani e di chi questi IX li gestisce. E'
pensabile/fattibile/auspicabile un ruolo degli IX nella mitigation degli
attacchi DDoS, fosse anche solo a livello di blackholing? Qual è, se
esiste, la frequenza dell'adozione di accordi bilaterali tra peer per
l'utilizzo di community di null route? Se e come vengono coinvolti gli IX
oggi in caso di attacchi DDoS di ampie dimensioni?

Personalmente trovo che gli IX siano in una posizione di vantaggio per
erogare efficaci servizi di ddos mitigation, ma d'altro canto comprendo
anche le complicazioni infrastrutturali e operative dell'implementazione
ed esercizio di tali servizi da parte loro.

Grazie in anticipo per ogni opinione.


--
Marco Gioanola
Consulting Engineer, EMEA
Arbor Networks
mgioanola@arbor.net
+39 339 7584747 (m)

--> See you at Cisco Live, Jan.28th-30th, Milano <--

Please be advised that this email may contain confidential information. If
you are not the intended recipient, please notify us by email by replying
to the sender and delete this message. The sender disclaims that the
content of this email constitutes an offer to enter into, or the
acceptance of, any agreement; provided that the foregoing does not
invalidate the binding effect of any digital or other electronic
reproduction of a manual signature that is included in any attachment.