FastNetMon

Saturday 4 July 2015

Селективный блэкхол

Видимо, пошло оно от selective blackhole. На удивление недавно (на ENOG9) обнаружил, что термин частенько не понимается многими и вовсе не является обще принятым :)

Что же он означает? Речь идет о RTBH (remote triggered black hole), который обычно висит на BGP комьюнити 666. При его активации он блокирует весь трафик с/на узел.

Селективный же блокирует либо заданный протокол (часто - UDP) либо же набор протоколов по определенным параметрам (например, популярные UDP амплификаторы).

Операторы, кто поддерживает это дело - редки, делимся в комментах :)

14 comments :

  1. RETN
    9002:666 - традиционный blackhole для префикса, и
    9002:667 для фильтрации всего udp трафика
    9002:668 фильтрафия известных амплифаеров (source-port 19,53,123,161,1900)

    ReplyDelete
  2. Без flowspec на сети оператора не обойтись для такого решения.

    Клиент анонсирует маршрут с необходимым коммьюнити, который соответствует требуемой фильтрации. Этот маршрут попадает на Route Server, который проверяет валидность анонса. Если все ок, то Route Server рассылает Flowspec анонс на граничные маршрутизаторы ;)

    ReplyDelete
    Replies
    1. Да, это хороший вариант сделать доступ к функционалу flow spec для тех, у кого нет возможности его анонсировать.

      Delete
  3. RASCOM :)
    FlowSpec запущен, доступ на анонсы для клиентов по запросу.
    Web-интерфейс тоже в разработке, скоро планируется.

    ReplyDelete
    Replies
    1. Шикарно! Спасибо, что поделились! Ценообразование - +десяток процентов к цене канала или как-то иначе? Также было бы интересно узнать, про селективный дроп udp / амплификации силами BGP IPv4 Unicast без флоу спека :) С этой инфой могу оформить отдельный пост ради такого события!

      Delete
    2. Web-интерфейс к FlowSpec сделали для своих клиентов.

      Delete
    3. Только мониторинг работы правил или возможность добавления новых правил? Очень интересно, как делается валидация. Поясните?

      Delete
    4. И добавление, и мониторинг.
      И валидация - как по RFC только еще жестче.
      Т.е. должен быть валидный принадлежащий клиенту префикс (суперсеть/надпрефикс), он должен им анонсироваться нам по BGP в клиентской сессии и быть бестом.
      Ну и всякие прочие проверки.

      Delete
    5. - разрешены только правила содержащие IPv4 адреса
      - разрешены действия (action): rate-limit 0 (DROP) или rate-limit NNN (от 8000 байт/сек и более)
      - разрешена установка протокола в правилах: TCP или UDP или ICMP или ANY (любой протокол)
      - в обязательном порядке должен быть указан адрес или подсеть назначения (DST IP), этот адрес/подсеть должны входить в AS-SET/ASN клиента и должен быть активным соответствующий BGP BESTPATH в сети РАСКОМ в сторону данного клиента
      - разрешено указание портов источника и/или назначения (SRC PORT / DST PORT) только при условии указания типа протокола TCP или UDP
      - разрешено указание в правилах TCP-флагов (управляющих битов) (SYN / ACK / RST / FIN etc.) только при условии указания протокола TCP
      - разрешено указание в правилах флага о фрагментации пакета (fragments)
      - разрешена установка в правилах флагов ICMP-code/ICMP-type при условии указания протокола ICMP
      - разрешено указание в правилах длины пакета (в виде любого значения менее 65000 байт)
      - запрещена установка TCP-флагов без указания типа протокола TCP
      - запрещена установка флагов ICMP-code/ICMP-type без указания типа протокола ICMP
      - запрещено указание в правилах длины пакета большей или равной 65000 байт
      - запрещено анонсировать правила по BGP FlowSpec, которые в это же время анонсируются как /32 по BGP c Blackhole Community 20764:6666 (ограничено архитектурой услуги, так как при блэкхоле трафика с помощью RTBH правила BGP FlowSpec не имеют смысла и весь трафик в любом случае дропается).

      Delete
    6. Классно! Доклады не планируете о своей истории успеха? :) А-то меня с FastNetMon постоянно ругают, что мол никто из операторов не дает флоу спек. Будет отличный контр-пример :)

      Delete
    7. Пусть для начала немного поработает, соберем статистику, примеры использования и результаты от реальных атак на клиентов.
      Пока еще нечего докладывать на сегодня :)

      Delete
    8. Пусть еще Arbor поругают )))
      Не обращайте внимание!

      Delete
    9. Спасибо за поддержку :) Такими темпами будет очень хорошее подспорье в отражении атак на перелив канала.

      Delete
  4. Пока в режиме тестирования - бесплатно. (Потом, возможно, и несколько процентов)
    Силами BGP IPv4 Unicast без флоу спека не делаем, только аксесс-листами ACL по запросу.
    Полагаю, что Web-интерфейс к флоуспеку, когда запустится будет удобенее и проще, чем фиксированные BGP-коммьюнити.

    ReplyDelete

Note: only a member of this blog may post a comment.