Servicios de activación remota de agujeros negros
El filtrado RTBH (Remotely Triggered Black Hole) es una función autogestionada que le permite bloquear el tráfico innecesario antes de que entre en la red protegida Equinix Internet Exchange (IX). RTBH le protege de los ataques de denegación de servicio distribuido (DDoS).
-
Equinix proporciona a Black Hole Host la dirección IP .240 (en APAC), o .253 (en AMER y EMEA) en la subred IX con la dirección mac 0050.56bb.bbbb.
-
Todo el tráfico unicast hacia el Host Black Hole es denegado en los puertos de cara al cliente (por ACL de dirección mac).
Para que el filtrado surta efecto, el anuncio de Black Hole debe ser aceptado por otros socios peering. Los participantes peering pueden aceptar los prefijos con longitud de prefijo = 32 y comunidad BGP 65535:666. La participación en la función RTBH es opcional.
Información sobre el anfitrión
AMER
| Metro | IPv4 Address | IPv6 Address | Mac Address |
|---|---|---|---|
| Atlanta | 198.32.182.253 | 2001:504:10::2:4115:253 | dead:dead:dead |
| Chicago | 208:115:137.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Dallas | 206.223.118.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Washington DC | 206.126.239.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| VA | 198.32.190.253 | 2001:504:e::2:4115:253 | dead:dead:dead |
| Denver | 198.32.114.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Houston | 198.32.135.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Los Angeles | 206.223.123.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Miami | 198.32.242.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Miami | 198.32.114.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| New York | 198.32.118.253 | 2001:504:f::2:4115:253 | dead:dead:dead |
| Seattle | 198.32.134.253 | 2001:504:12::2:4115:253 | dead:dead:dead |
| Silicon Valley | 206.223.117.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Portland | 198.32.176.253 | 2001:504:d::2:4115:253 | dead:dead:dead |
| Toronto | 198.32.181.253 | 2001:504:d::2:4115:253 | dead:dead:dead |
| São Paulo | 64.191.232.253 | 2001:504:0:7:0:2:4115:253 | dead:dead:dead |
APAC
| Metro | IPv4 Address | IPv6 Address | MAC Address |
|---|---|---|---|
| Hong Kong | 119.27.63.240 | 2001:de8:7::2:4115:240 | 0050.56bb.bbbb |
| Melbourne | 183.177.61.240 | 2001:de8:6:1:0:2:4115:240 | 0050.56bb.bbbb |
| Osaka | 203.190.227.240 | 2001:de8:5:1:0:2:4115:240 | 0050.56bb.bbbb |
| Perth | 101.97.43.240 | 2001:de8:6:2:0:2:4115:240 | 0050.56bb.bbbb |
| Singapore | 27.111.231.240 | 2001:de8:4::2:4115:240 | 0050.56bb.bbbb |
| Sydney | 45.127.175.240 | 2001:de8:6::2:4115:240 | 0050.56bb.bbbb |
| Tokyo | 203.190.230.240 | 2001:de8:5::2:4115:240 | 0050.56bb.bbbb |
EMEA
| Metro | IPv4 Address | IPv6 Address | MAC Address |
|---|---|---|---|
| Amsterdam | 185.1.112.253 | 2001:7f8:83::2:4115:253 | dead:dead:dead |
| Dublin | 185.1.109.253 | 2001:7f8:c3::2:4115:253 | dead:dead:dead |
| Frankfurt | 185.1.102.253 | 2001:7f8:bd::2:4115:253 | dead:dead:dead |
| Geneva | 192.65.185.253 | 2001:7f8:1c:24a::2:4115:253 | dead:dead:dead |
| Helsinki | 185.1.86.253 | 2001:7f8:af:0::2:4115:253 | dead:dead:dead |
| London | 185.1.104.253 | 2001:7f8:be::2:4115:253 | dead:dead:dead |
| Lisbon | 185.1.116.253 | 2001:7f8:c7::2:4115:253 | dead:dead:dead |
| Manchester | 185.1.101.253 | 2001:7f8:bc::2:4115:253 | dead:dead:dead |
| Madrid | 185.1.22.253 | 2001:7f8:c6::2:4115:253 | dead:dead:dead |
| Milan | 185.1.106.253 | 2001:7f8:c0::2:4115:253 | dead:dead:dead |
| Paris | 195.42.144.253 | 2001:7f8:43:0::2:4115:253 | dead:dead:dead |
| Stockholm | 185.1.107.253 | 2001:7f8:c1::2:4115:253 | dead:dead:dead |
| Zurich | 194.42.48.253 | 2001:7f8:c:8235::2:4115:253 | dead:dead:dead |
Otras comunidades BGP soportadas
Es necesario iniciar sesión.
| Definition | Community String |
|---|---|
| Default Open Policy – Announce to all except to AS12345 | 24115:24115 0:12345 |
| Default Closed Policy – Announce to none except to AS12345 | 0:24115 24115:12345 |
| Prepend once to AS12345 | 65501:12345 |
| Prepend twice to AS12345 | 65502:12345 |
| Prepend three times to AS12345 | 65503:12345 |
| Black Hole Traffic | 65535:666 |
Ataques distribuidos de denegación de servicio
El ataque de Denegación de Servicio Distribuido (DDoS) causa la interrupción de los servicios debido al tráfico entrante innecesario en su puerto. El filtrado RTBH puede ayudar a liberar la utilización del puerto de este tráfico innecesario.
Para liberar la utilización de puertos, el servidor de rutas MLPE de Equinix inserta una ruta BGP en la red que obliga a los routers a detener todo el tráfico hacia el Black Hole Host con direcciones IP y MAC predefinidas.
Antes de que comience el ataque DDoS
- Establecer peering BGP a servidores de rutas MLPE a través de la subred de peering MLPE IX. Puede anunciar su prefijo 1.1.1.0/24 a los servidores de rutas MLPE.
- Los servidores de rutas MLPE vuelven a anunciar su prefijo a otros participantes del peering.
- El siguiente salto para alcanzar el prefijo 1.1.1.0/24 es .100 que es su dirección IP de peering.
Cuando comienza el ataque DDoS
-
Hay un tráfico de ataque DDoS hacia el servidor 1.1.1.1.
-
Su puerto se inunda de tráfico entrante causando interrupciones en todos los servicios de producción.
-
Libera la utilización del puerto deteniendo el tráfico hacia 1.1.1.1.
Mitigación de riesgos DDoS
Para mitigar el riesgo de ataques DDoS:
Fase 1 de mitigación
-
Anuncia 1.1.1.1/32 con la comunidad BGP 65535:666 de Black Hole.
-
Los servidores de rutas MLPE modifican estos anuncios de prefijo (etiquetados con 65535:666) con next-hop a .240 (en APAC) o .253 (en AMER y EMEA), y vuelven a anunciar el mismo prefijo a otros participantes de peering.
Fase 2 de mitigación
-
Los socios de peering empiezan a resolver la dirección IP de siguiente salto .240 (en APAC) o .253 (en AMER y EMEA) para llegar a 1.1.1.1.
-
El host Black Hole responde con un ARP con la dirección mac 0050.56bb.bbbb.
Éxito de la mitigación
-
El tráfico de ataque con next-hop .240 (en APAC) o .253 (en AMER y EMEA) es detenido por la lista de acceso entrante del switch Equinix IX.
-
Se mitiga el ataque DDoS que atraviesa el puerto de su conmutador.
