Para auxiliar os participantes na mitigação de ataques, o UEPG IX oferece a funcionalidade de Blackholing.
O que é?
É uma funcionalidade para marcar prefixos de forma a bloquear tráfego malicioso, desviando o tráfego para um IP específico onde o tráfego será descartado.
Como funciona?
O blackhole pode ser utilizado por qualquer membro conectado aos route servers do UEPG IX.
Para colocar um prefixo em blackhole, seguimos a RFC7999.
É possível fazer um blackhole seletivo, da mesma forma que é feito com os demais prefixos, utilizando as mesmas communities disponiveis para a manipulação de anuncios, disponiveis aqui.
Como implementar?
Basta aplicar a community de blackhole (65535:666) em qualquer prefixo anunciado pelo participante. Após a validação (clique aqui para detalhes), os route servers alteram o next-hop desse prefixo para o IP de blackhole.
Para prefixos marcados como blackhole, são aceitos os seguintes tamanhos de prefixos:
IPv4: /32
IPv6: /128
Esse IP (next-hop de blackhole) e seu respectivo endereço MAC possuem filtros aplicados nas portas dos participantes, de forma a bloquear o tráfego.
Os route servers adicionam também a community NO-EXPORT (65535:65281) aos prefixos marcados como blackhole.
É importante ressaltar que os prefixos de blackhole são incluídos no limite máximo de prefixos do participante. Se, devido ao anúncio de prefixos de blackhole, for necessário aumentar o limite, o participante deverá abrir chamado via suporte.
| Blackhole next-hop IPv4 | Blackhole next-hop IPv6 | Blackhole BGP Community |
|---|---|---|
| 45.186.143.6 | 2801:80:37a0::6 | 65535:666 |
O endereço MAC do IP de blackhole é 00:0d:f2:66:66:66
