Blackhole

UEPG Internet Exchange

Para auxiliar os participantes na mitigação de ataques, o UEPG IX oferece a funcionalidade de Blackholing (BH)

O que é?

É uma funcionalidade para marcar prefixos de forma a bloquear tráfego malicioso, desviando o tráfego para um IP específico onde o tráfego será descartado.

Como funciona?

O blackhole pode ser utilizado pro qualquer membro conectado aos route servers do UEPG IX.

Para colocar um prefixo em blackhole, seguimos a RFC7999.

É possível fazer um blackhole seletivo, da mesma forma que é feito com os demais prefixos, utilizando as mesmas communities disponiveis para a manipulação de anuncios, disponiveis aqui.

Como implementar?

Basta aplicar a community de blackhole (65535:666) em qualquer prefixo anunciado. Após a validação (clique aqui para detalhes), os route servers alteram o next-hop desse prefixo para o IP de blackhole.

Esse IP (next-hop de blackhole) possui filtros Layer 2 aplicado nas portas dos participantes, bloqueando o tráfego mais próximo da sua origem.

Os route servers adicionam também a community NO-EXPORT (65535:65281) aos prefixos marcados como blackhole.

É importante ressaltar que os prefixos de blackhole são incluídos no limite máximo de prefixos do participante. Se, devido ao anúncio de prefixos de blackhole, for necessário aumentar o limite, o participante deverá abrir chamado via suporte.

Blackhole next-hop IPv4Blackhole next-hop IPv6Blackhole BGP Community
45.186.143.62801:80:37a0::665535:666

O endereço MAC do IP de blackhole é 00:0d:f2:66:66:66

Route server dedicado para Blackhole (RSBH)

Este route server irá anunciar SOMENTE prefixos em blackhole e somente aceita anuncios marcados como blackhole.

Isso facilita a implantação de blackhole pelos participante do UEPG IX, pois alguns equipamentos não suportam filtros /32 (IPv4) e /128 (IPv6) em combinação com a community de blackhole e/ou o next-hop de blackhole.

Assim, recomendamos fortemente aos participante a aceitar prefixos até /32 (IPv4) e até /128 (IPv6) recebidas desse RS.

O anuncio de prefixos de blackhole pode ser feito para qualquer um dos 3 route servers, pois ele é redistribuído para todos os demais route servers e, após a validação, aos participante do UEPG IX.

Route ServerIPv4IPv6Obs
RS145.186.143.2512801:80:37a0::a506:1600:1Peering obrigatorio
RS245.186.143.2522801:80:37a0::a506:1600:2Peering obrigatorio
RSBH45.186.143.2532801:80:37a0::a506:1600:3Peering opcional
Recomendação para aceitar prefixos /32 (IPv4) e /128 (IPv6) deste peer