Blackholing

Lutte contre les DDoS

Afin d'aider nos membres à lutter contre les DDoS (Distributed Denial of Service), France-IX a mis en place un service de Blackholing (BH) disponible à Paris et Marseille. 

 

Qu'est-ce que le Blackholing ?

Le BH est un service permettant d'identifier un DDoS ou du trafic malicieux et de bloquer ce trafic.

Comment cela fonctionne ?

Le BH est utilisable par tous les membres connectés aux serveurs de routes ou directement entre eux. On peut appliquer une politique sélective de BH sur les serveurs de routes (RS). Nous avons implementé le BH sur nos RS selon la RFC7999.

Comment en bénéficier ?

Avec les serveurs de routes :

  • Il suffit d'appliquer la communauté BLACKHOLE (65535:666) à un préfixe pour que son next-hop soit changer par le routeur BH. Nous appliquons également une communauté NO-EXPORT à ce préfixe.

  • Le trafic susceptible d'atteindre le membre est rejeté en bordure de l'infrastructure. Cette solution permet de protéger le port de la victime.

  • Le BH est disponible en IPv4 et en IPv6. Nous vous conseillons d'annoncer des préfixes /32 en IPv4 et /128 en IPv6

Sans les serveurs de routes :

  • Ce service peut être utilisé directement entre les membres en modifiant le next-hop du Network Layer Reachability Information (NLRI). Nous vous conseillons d'utiliser la communauté NO-EXPORT.

  • De plus, nous gardons une trace de tous les prefixes annoncés avec la communauté BLACKHOLE (du début à la fin de l'annonce).

Informations

  • Paris IPv4 IPv6
    RS1 
    37.49.236.250
    		 
    2001:7f8:54::250
    RS2 
    37.49.236.251
    		 
    2001:7f8:54::251
    BH routeur 
    37.49.237.0
    		 
    2001:7f8:54::1:0
  • Marseille IPv4 IPv6
    RS1 
    37.49.232.1
    		 
    2001:7f8:54:5::1
    RS2 
    37.49.232.2
    		 
    2001:7f8:54:5::2
    BH routeur 
    37.49.232.253
    		 
    2001:7f8:54:5::253

L'adresse MAC du BH routeur est : 66:66:66:66:66:66

Préfixes

  •  

      IPv4 IPv6
    Standard 
    8 < x < 24
    		 
    19 < x < 48
    Blackholing 
    8 < x < 32
    		 
    19 < x < 128

Les politiques sélectives de routage restent inchangées sur les serveurs de routes. Voici trois cas d’utilisation de notre service sur les serveurs de routes :

  • Informations
    ASN France-IX 
    51706
    ASN Peer X 
    6500X
    Communauté Blackhole 
    65535:666
    Communauté ne pas annoncer au Peer X 
    0:Peer-as
    Communauté Annoncer au peer X 
    51706:Peer-as
    Communauté Ne pas annoncer à  tous les Peers 
    51706:0
    Annoncer à  leurs peers 
    51706:51706

1 : Annoncer un préfixe Blackholing à tous les membres

2 : Annoncer un préfixe Blackholing à un seul membre (PEER 2)

3 : Annoncer un préfixe Blackholing à tous les membres sauf PEER 2 et PEER3

Rappel : Pour que le service fonctionne correctement, il faut que les membres acceptent les préfixes en accord avec la RFC7999 c'est-à-dire jusqu'à /32 (IPv6 /128) pour les préfixes ayant la communauté BLACKHOLE.

 

Plan du site

Revendeurs

Revendeurs

Marketplace

Marketplace

Pops

France-IX Paris

France-IX Lyon 

France-IX Marseille

France-IX Grenoble

France-IX Aix

France-IX Toulouse

Inscrivez-vous à la newsletter :

S’inscrire
Blog

Copyright - France-IX - 2024

DÉMARRER MAINTENANT DÉMARRER MAINTENANT