ddos filtering (Was: RE: [Nlnog] xs4all problemen ?)

[Jeroen Massar]

-----BEGIN PGP SIGNED MESSAGE-----

Boudewijn Visser [mailto:bvisser-nlnog at xs4all.nl] wrote:

<SNIP>

> > Daarnaast hebben ik in samenwerking met Rob Thomas (Cymru),
> > Michel Py en William Leibzon van Completewhois, dat wat
> > van de week op NANOG werd geannounced de volgende draft
> > gesubmit voor de komende IETF:
> >
> > "Redistribution of Cooperative Filtering Information"
> > http://arneill-py.sacramento.ca.us/draft-py-idr-redisfilter-00.txt
> >
> > Het is een voorgestelde ORF extensie die het mogelijk maakt om
> 
> Om de mensen wat zoekwerk te besparen :
> 
> ORF - Outbound Route Filter
> 
> Vertel je peer wat je niet wilt zien aan routes, en je krijgt ze ook
> niet.

Ik had het er in mijn hoofd bij getyped, alleen je moet dus
niet tig dingen door elkaar doen, I forgot. Niet iedereen
zal hier mee bekend zijn nog, het is vrij nieuw ook.

Je kan momenteel dus afaik alle filters die je normaal definieert
zoals "10.0.0.0/8 le 32" per BGP aan je peer vertellen maar ook
ASpath filters zijn mogelijk. Nadeel was dus dat dit aan je peer
wordt verteld en niet verder aan andere routers.

> > filters te reannouncen. Zo kan je bijv de BGP announcement
> > al stoppen voordat je iets raakt. Het omgedraaide van de Bogon
> > Route Servers dus. Ook heel handig voor DDoS filtering dus.
> > We zouden dit systeem voor de AMS-IX op kunnen zetten zodat er
> > iig filters komen tussen de partijen die we (ehm jullie)
> > vertrouwen dat ze confidentieel omgaan met de info want als
> > de kids weten hoe het steekt... pisang. Daarom zeg ik over het
> 
> Mwww. Geen gek idee om niet al te publiek te speculeren, maar,
> ik neem aan dat je niet bedoeld om die draft RFC in te zetten,
> want daar ontbreekt de vendor support nog voor.

Nopes, die draft moet eerst nog door de politieke molen, maar
dat gebeurt binnenkort, kijken wat ie doet :)

> Iets anders zou misschien wel mogelijk zijn, maar alleen zinvol
> als de bronnen zitten bij de (andere) deelnemers aan het initiatief.

Je kan momenteel een cisco/zebra oid pakken en dan de routes van
ddos'ers (sources) announcen met een bepaalde community oid.
Zie oa. http://www.secsup.org/CustomerBlackHole/

> Ik heb een beetje het idee dat degenen die zouden deelnemen aan zoiets
> degenen zijn die toch al weinig een bron van problemen zijn, en
> indien wel, toch al snel bereikbaar om er op de gewone manier 
> wat aan te doen.

Ja, dat is helaas zeker zo, maar als je dus samen werkt kan je iig
zorgen dat die traffic niet bij de deelnemers komen. Een upstream
zou bovenstaand mechanisme kunnen maken waardoor hun die IP's al
nullrouten, geen traffic naar jou.

Filteren van die prefixen is netter en sneller though.

> > bovenstaande ook niet echt veel want dit wordt publicly archived.
> > En hier in nederland zitten (!hoi!) genoeg kinderen zoals we
> > zelf helaas maar al te goed weten en die snappen dit best.
> 
> [..]
> 
> >
> > Zo'n filter zou heel handig zijn, je kan dan iig ook op 1 plek
> > een filter definieren en *flop* al je routers snappen hem.
> > (u)RPF er bij et tada. Uitgebreide voorbeelden op aanvraag :)
> 
> Bovenstaande kan ieder voor zich al doen, naar source danwel 
> destinations droppen en de informatie daarvoor via (i)BGP verspreiden.
> Wat sneller en makkelijker dan op een aantal plaatsen allemaal filters
> zetten.

Dat filters plaatsen kan dan op 1 plek want je verzend de info
per BGP en ORF. Huidige ORF werkt nu dus alleen tussen 2 routers.

Greets,
 Jeroen

-----BEGIN PGP SIGNATURE-----
Version: Unfix PGP for Outlook Alpha 13 Int.
Comment: Jeroen Massar / jeroen at unfix.org / http://unfix.org/~jeroen/

iQA/AwUBP5XYZymqKFIzPnwjEQIoOwCfYePMK/XTgNDtyakAfbMzMudbevUAn2Qc
99QXrQ7Mi0aQYGiIvxx5t1jE
=0i2D
-----END PGP SIGNATURE-----