Serviço de Blackholing

O serviço de blackholing é um mecanismo de proteção contra os cada vez mais frequentes ataques de Denial of Service.

Esta funcionalidade está disponível apenas para as sessões com o Servidor de Rotas, embora qualquer relação de peering feita através do GigaPIX possa ser configurada com mecanismos semelhantes acordados pelos membros.

Na nossa implementação fazemos uso do RFC 7999 com a community 65535:666. Qualquer um dos nossos servidores encarregar-se-á de aceitar qualquer prefixos até /32 e de reescrever o next-hop para uma das nossas máquinas:

LX-LAN1: 193.136.250.66 | 2001:7F8:A:1::666
LX-LAN2: 193.136.251.60 | 2001:7F8:A:2::1060

Como exemplo de uma correta utilização deste serviço, demonstramos uma situação em que o membro A deteta a uma quantidade de tráfego anormal dirigida a uma máquina sua.

De forma automática ou manual, o membro consegue forçar um update de BGP de forma a anunciar uma rota mais específica (/32, por exemplo) juntamente com a community 65535:666.

A referida sinalização faz com que os servidores de rotas contornem a verificação de dimensão de prefixos e que reescrevam o atributo NEXT-HOP para uma máquina do GigaPIX. Além de manterem a community de BH, os servidores adicionam a community de “no-export” de forma a garantir que não é exportada para fora da rede do membro que a recebe.

Todas as ASNs dos restantes membros receberão esta sinalização e, caso tenham as políticas ajustadas, irão aceitar o /32 marcado com a community.

A nossa infraestrutura encarregar-se-á de descartar o tráfego antes de chegar à rede do membro A.

Os restantes mecanismos de controlo de exportação podem ser aplicados da mesma forma, garantindo assim, por exemplo, que apenas uma ASN de origem recebe o /32.

Para que o serviço funcione corretamente todos os peers devem ter uma configuração que detete a community de blackholing vinda dos Route Servers e que aceite prefixos com redes menores que /24 ou /64.