Blackhole

UEPG Internet Exchange

Para auxiliar os participantes na mitigação de ataques, o UEPG IX oferece a funcionalidade de Blackholing.

O que é?

É uma funcionalidade para marcar prefixos de forma a bloquear tráfego malicioso, desviando o tráfego para um IP específico onde o tráfego será descartado.

Como funciona?

O blackhole pode ser utilizado por qualquer membro conectado aos route servers do UEPG IX.

Para colocar um prefixo em blackhole, seguimos a RFC7999.

É possível fazer um blackhole seletivo, da mesma forma que é feito com os demais prefixos, utilizando as mesmas communities disponiveis para a manipulação de anuncios, disponiveis aqui.

Como implementar?

Basta aplicar a community de blackhole (65535:666) em qualquer prefixo anunciado pelo participante. Após a validação (clique aqui para detalhes), os route servers alteram o next-hop desse prefixo para o IP de blackhole.

Para prefixos marcados como blackhole, são aceitos os seguintes tamanhos de prefixos:

IPv4: aceita máscaras entre /8 e /32 inclusive

IPv6: aceita máscaras entre /3 e /128 inclusive

Esse IP (next-hop de blackhole) e seu respectivo endereço MAC possuem filtros aplicados nas portas dos participantes, de forma a bloquear o tráfego.

Os route servers adicionam também a community NO-EXPORT (65535:65281) aos prefixos marcados como blackhole.

É importante ressaltar que os prefixos de blackhole são incluídos no limite máximo de prefixos do participante. Se, devido ao anúncio de prefixos de blackhole, for necessário aumentar o limite, o participante deverá abrir chamado via suporte.

Blackhole next-hop IPv4Blackhole next-hop IPv6Blackhole BGP Community
45.186.143.62801:80:37a0::665535:666

O endereço MAC do IP de blackhole é 00:0d:f2:66:66:66

 

Skip to content