[ITNOG] DDos Mitigation all'Internet Exchange?

Valeria Rossi valeria.rossi@mix-it.net
Ven 10 Gen 2014 17:54:34 CET


Buongiorno Marco,

dell'ipotesi di applicare metodi di bloccaggio di DDOS sugli IX se ne parla da anni e, da che ne so io, attualmente mi risulta che solo l'IX di Francoforte abbia adottato o comunque proposto delle misure in proposito, tramite piattaforme dedicate.

Quanto riportato nelle slides di AMS-IX Ŕ molto chiaro ed Ŕ di fatto la visione che la stragrande maggioranza degli IX condivide. 
Al di lÓ delle technicalities (tutto si pu˛ fare), il problema principale Ŕ chi da' all'IX l'autoritÓ per filtrare un indirizzo, chi gliela da' per riabilitarlo, per quanto tempo?
Non Ŕ l'IX che ha visibilitÓ diretta di ci˛ che sta avvenendo, l'IX non entra nel merito del pacchetto nÚ pu˛ farlo nÚ vuole farlo (il concetto di neutralitÓ pi¨ volte espresso anche nella presentazione che citi).
MIX a differenza di AMS-IX non annuncia all'esterno il blocco della rete di peering (si sa che Ŕ utile ma non necessario), ed Ŕ stata una scelta basata proprio per limitare a due soli soggetti eventuali problemi di DDOS. Anche noi mettiamo a disposizione statistiche Sflow per coppie di afferenti, che possono aiutare ad identificare la fonte ed intervenire in modo puntuale da parte del soggetto attaccato.

Recentemente ci Ŕ stato chiesto da un operatore collegato a MIX di adottare misure di blocco di DDOS, ma nel pensarci ancora un volta e riflettere su metodi che non minassero la natura agnostica del nostro operare rispetto al tipo di traffico scambiato, e soprattutto nel pensare ai processi formali di eventuali azioni, abbiamo deciso di mantenere la posizione da sempre adottata che Ŕ poi quella di AMS-IX. Lascio da parte eventuali aspetti economici.

Abbiamo comunque invitato questo operatore a parlarne con altri e, qualora vi fossero state proposte viabili  e condivisione delle stesse tra gli operatori, di farcelo sapere per valutarle assieme. 

Ciao,

Valeria


On Jan 10, 2014, at 5:19 PM, Gioanola, Marco wrote:

> Buongiorno a tutti,
> ho solo recentemente letto questa presentazione fatta dall'AMS-IX riguardo
> gli attacchi DDoS durante il loro evento annuale "More IP":
> http://www.more-ip-event.net/system/documents/6/original/TM-38_NB-DDoS.pdf
> 
> Nell'ultima slide vengono menzionate alcune proposte:
> 
> 	€ Arrange a Peering LAN address for which
> 		traffic will get immediately blocked that can
> 		be used as next-hop for blackhole routes?
> 	€ A common BGP community that willing
> 		peers can Null0 route upon?
> 
> 
> Non mi risulta che abbiano poi proceduto in questa direzione, ma mi
> interesserebbe molto sentire le opinioni di chi si collega agli IX
> italiani e di chi questi IX li gestisce. E'
> pensabile/fattibile/auspicabile un ruolo degli IX nella mitigation degli
> attacchi DDoS, fosse anche solo a livello di blackholing? Qual Ŕ, se
> esiste, la frequenza dell'adozione di accordi bilaterali tra peer per
> l'utilizzo di community di null route? Se e come vengono coinvolti gli IX
> oggi in caso di attacchi DDoS di ampie dimensioni?
> 
> Personalmente trovo che gli IX siano in una posizione di vantaggio per
> erogare efficaci servizi di ddos mitigation, ma d'altro canto comprendo
> anche le complicazioni infrastrutturali e operative dell'implementazione
> ed esercizio di tali servizi da parte loro.
> 
> Grazie in anticipo per ogni opinione.
> 
> 
> --
> Marco Gioanola
> Consulting Engineer, EMEA
> Arbor Networks
> mgioanola@arbor.net
> +39 339 7584747 (m)
> 
> --> See you at Cisco Live, Jan.28th-30th, Milano <--
> 
> Please be advised that this email may contain confidential information. If
> you are not the intended recipient, please notify us by email by replying
> to the sender and delete this message. The sender disclaims that the
> content of this email constitutes an offer to enter into, or the
> acceptance of, any agreement; provided that the foregoing does not
> invalidate the binding effect of any digital or other electronic
> reproduction of a manual signature that is included in any attachment.
> 
> 
> 
> 
> -- 
> Mailing list info: http://lists.itnog.it/listinfo/itnog
> 
> -- 
> This message has been scanned for viruses and
> dangerous content by MailScanner, and is
> believed to be clean.
> 


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.



Maggiori informazioni sulla lista itnog