URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 879
[ Назад ]

Исходное сообщение
"ddos "
Отправлено fanrus , 18-Июл-13 18:42

Добрый день,
подскажите плз.
В целях защиты сети от ddos предполагается перенаправлять трафик в сеть очистки некоего провайдера. Может кто-нибудь объяснить как это делается.
Точнее, что делается в RIPE, чтобы провайдер мог анонсировать мою сеть из своей ASN. Как быстро это делается?
Допустим у меня есть ASN и настроен BGP и провайдер будет возвращать трафик по GRE туннелю.

Содержание

ASN route,QRSa, 22:27 , 18-Июл-13
- ASN route,fanrus, 14:17 , 19-Июл-13
ddos ,fantom, 10:55 , 19-Июл-13

Сообщения в этом обсуждении

"ASN route"
Отправлено QRSa , 18-Июл-13 22:27

Насколько я разобрался с требованиями RIPE, нужно создать запись типа:
route:   <IPv4 subnet>/<prefix length>
descr:   Here is a description
origin:   AS<DDOS protection AS>
Полагаю, что для GRE Вам потребуется какой-то адрес из тех, что не будут входить в перечень защищаемых.
Насчет сохранить свою ASN - не уверен (не было опыта), но, вероятно, это делается через ASSET.

"ASN route"
Отправлено fanrus , 19-Июл-13 14:17

> Насколько я разобрался с требованиями RIPE, нужно создать запись типа:
> route:   <IPv4 subnet>/<prefix length>
> descr:   Here is a description
> origin:   AS<DDOS protection AS>
> Полагаю, что для GRE Вам потребуется какой-то адрес из тех, что не
> будут входить в перечень защищаемых.
> Насчет сохранить свою ASN - не уверен (не было опыта), но, вероятно,
> это делается через ASSET.
Да, там все достаточно сложно. Нашел некий алгоритм
http://www.ripe.net/data-tools/db/faq/faq-route-object/what-...
Если следовать этому алгоритму, то получается, что при создании нового объекта route необходимо чтобы прошла авторизация сначала в AS (mnt-routes или mnt-lower), а потом в самом объекте ROUTE (mnt-routes) если такой уже есть.
Т.е. допустим, что я провайдер сети очистки трафика и заказчик попросил очистить трафик, я добавляю некий объект route, указываю в origin свою AS, но так как такой объект route уже существует, то для того чтобы он создался необходимо, чтобы я был прописан как maintainer существующего объекта route? Т.е. получается в объекте route заказчика в атрибуте mnt-routes надо указать провайдера сети очистки, а можно указать несколько maintainer'ов интересно? Объект route заказчика надо удалять интересно или достаточно будет остновить анонс подсети у заказчика?
Правильно ли я понимаю что эти базы как-то анализируются маршрутизаторами в LIR?

"ddos "
Отправлено fantom , 19-Июл-13 10:55

> Добрый день,
> подскажите плз.
> В целях защиты сети от ddos предполагается перенаправлять трафик в сеть очистки
> некоего провайдера. Может кто-нибудь объяснить как это делается.
> Точнее, что делается в RIPE, чтобы провайдер мог анонсировать мою сеть из
> своей ASN. Как быстро это делается?
> Допустим у меня есть ASN и настроен BGP и провайдер будет возвращать
> трафик по GRE туннелю.
Теоретически вам "некий провайдер" должен предложить варианты действий с соответствующими инструкциями.