Services de trous noirs déclenchés à distance

Le filtrage RTBH (Remotely Triggered Black Hole) est une fonction autogérée qui vous permet de bloquer le trafic inutile avant qu'il ne pénètre dans le réseau protégé d'Equinix Internet Exchange (IX). RTBH vous protège des attaques par déni de service distribué (DDoS).

Equinix fournit à Black Hole Host l'adresse IP .240 (en APAC), ou .253 (en AMER et EMEA) sur le sous-réseau IX avec l'adresse mac 0050.56bb.bbbb.
Tout le trafic de monodiffusion vers l'hôte du trou noir est refusé au niveau des ports orientés vers le client (par ACL d'adresse mac).

Pour que le filtrage soit effectif, l'annonce Black Hole doit être acceptée par les autres partenaires de peering. Les participants au peering peuvent accepter les préfixes dont la longueur est égale à 32 et la communauté BGP 65535:666. La participation à la fonctionnalité RTBH est facultative.

Informations sur l'hôte

AMER

Metro	IPv4 Address	IPv6 Address	Mac Address
Atlanta	198.32.182.253	2001:504:10::2:4115:253	dead:dead:dead
Chicago	208:115:137.253	2001:504:0::2:4115:253	dead:dead:dead
Dallas	206.223.118.253	2001:504:0::2:4115:253	dead:dead:dead
Washington DC	206.126.239.253	2001:504:0::2:4115:253	dead:dead:dead
VA	198.32.190.253	2001:504:e::2:4115:253	dead:dead:dead
Denver	198.32.114.253	2001:504:0::2:4115:253	dead:dead:dead
Houston	198.32.135.253	2001:504:0::2:4115:253	dead:dead:dead
Los Angeles	206.223.123.253	2001:504:0::2:4115:253	dead:dead:dead
Miami	198.32.242.253	2001:504:0::2:4115:253	dead:dead:dead
Miami	198.32.114.253	2001:504:0::2:4115:253	dead:dead:dead
New York	198.32.118.253	2001:504:f::2:4115:253	dead:dead:dead
Seattle	198.32.134.253	2001:504:12::2:4115:253	dead:dead:dead
Silicon Valley	206.223.117.253	2001:504:0::2:4115:253	dead:dead:dead
Portland	198.32.176.253	2001:504:d::2:4115:253	dead:dead:dead
Toronto	198.32.181.253	2001:504:d::2:4115:253	dead:dead:dead
São Paulo	64.191.232.253	2001:504:0:7:0:2:4115:253	dead:dead:dead

Asie-Pacifique

Metro	IPv4 Address	IPv6 Address	MAC Address
Hong Kong	119.27.63.240	2001:de8:7::2:4115:240	0050.56bb.bbbb
Melbourne	183.177.61.240	2001:de8:6:1:0:2:4115:240	0050.56bb.bbbb
Osaka	203.190.227.240	2001:de8:5:1:0:2:4115:240	0050.56bb.bbbb
Perth	101.97.43.240	2001:de8:6:2:0:2:4115:240	0050.56bb.bbbb
Singapore	27.111.231.240	2001:de8:4::2:4115:240	0050.56bb.bbbb
Sydney	45.127.175.240	2001:de8:6::2:4115:240	0050.56bb.bbbb
Tokyo	203.190.230.240	2001:de8:5::2:4115:240	0050.56bb.bbbb

EMEA

Metro	IPv4 Address	IPv6 Address	MAC Address
Amsterdam	185.1.112.253	2001:7f8:83::2:4115:253	dead:dead:dead
Dublin	185.1.109.253	2001:7f8:c3::2:4115:253	dead:dead:dead
Frankfurt	185.1.102.253	2001:7f8:bd::2:4115:253	dead:dead:dead
Geneva	192.65.185.253	2001:7f8:1c:24a::2:4115:253	dead:dead:dead
Helsinki	185.1.86.253	2001:7f8:af:0::2:4115:253	dead:dead:dead
London	185.1.104.253	2001:7f8:be::2:4115:253	dead:dead:dead
Lisbon	185.1.116.253	2001:7f8:c7::2:4115:253	dead:dead:dead
Manchester	185.1.101.253	2001:7f8:bc::2:4115:253	dead:dead:dead
Madrid	185.1.22.253	2001:7f8:c6::2:4115:253	dead:dead:dead
Milan	185.1.106.253	2001:7f8:c0::2:4115:253	dead:dead:dead
Paris	195.42.144.253	2001:7f8:43:0::2:4115:253	dead:dead:dead
Stockholm	185.1.107.253	2001:7f8:c1::2:4115:253	dead:dead:dead
Zurich	194.42.48.253	2001:7f8:c:8235::2:4115:253	dead:dead:dead

Autres communautés BGP prises en charge

Connexion requise.

Definition	Community String
Default Open Policy – Announce to all except to AS12345	24115:24115 0:12345
Default Closed Policy – Announce to none except to AS12345	0:24115 24115:12345
Prepend once to AS12345	65501:12345
Prepend twice to AS12345	65502:12345
Prepend three times to AS12345	65503:12345
Black Hole Traffic	65535:666

Attaques par déni de service distribué

Les attaques par déni de service distribué (DDoS) perturbent les services en raison d'un trafic entrant inutile dans votre port. Le filtrage RTBH peut aider à libérer l'utilisation du port de ce trafic inutile.

Pour libérer l'utilisation des ports, le serveur de routes Equinix MLPE insère une route BGP dans le réseau qui oblige les routeurs à arrêter tout le trafic vers l'hôte du trou noir avec des adresses IP et MAC prédéfinies.

Avant le début de l'attaque DDoS

Établir un peering BGP vers les serveurs de route de MLPE via le sous-réseau de peering IX de MLPE. Vous pouvez annoncer votre préfixe 1.1.1.0/24 aux serveurs de route MLPE.
Les serveurs de route MLPE ré-annoncent votre préfixe aux autres participants au peering.
Le prochain saut pour atteindre le préfixe 1.1.1.0/24 est .100 qui est votre adresse IP de peering.

Quand l'attaque DDoS commence

Il y a une attaque DDoS vers le serveur 1.1.1.1.
Votre port est inondé de trafic entrant, ce qui entraîne une interruption de service pour tous les services de production.
Libérez l'utilisation du port en arrêtant le trafic vers 1.1.1.1.

Atténuer les risques DDoS

Pour atténuer le risque d’attaques DDoS:

Étape d'atténuation 1

Vous annoncez 1.1.1.1/32 avec Black Hole BGP community 65535:666.
Les serveurs de routes MLPE modifient ces annonces de préfixes (étiquetés avec 65535:666) avec le next-hop à .240 (en APAC) ou .253 (en AMER et EMEA), et réannoncent le même préfixe aux autres participants au peering.

Étape 2 de l'atténuation

Les partenaires de peering commencent à résoudre l'adresse IP du next-hop .240 (en APAC) ou .253 (en AMER et EMEA) pour atteindre 1.1.1.1.
L'hôte Black Hole répond avec un ARP avec l'adresse mac 0050.56bb.bbbb.

Succès de l'atténuation

Le trafic d'attaque avec le next-hop .240 (en APAC) ou .253 (en AMER et EMEA) est arrêté par la liste d'accès entrant du commutateur IX d'Equinix.
L'attaque DDoS passant par le port de votre commutateur est atténuée.

Informations sur l'hôte​

AMER​

Asie-Pacifique​

EMEA​

Autres communautés BGP prises en charge​

Attaques par déni de service distribué​

Avant le début de l'attaque DDoS​

Quand l'attaque DDoS commence​

Atténuer les risques DDoS​

Étape d'atténuation 1​

Étape 2 de l'atténuation​

Succès de l'atténuation​