Services relatifs aux trous noirs déclenchés à distance

Le filtrage RTBH (Remotely Triggered Black Hole) est une fonction autogérée qui vous permet de bloquer le trafic inutile avant qu'il ne pénètre dans le réseau protégé d'Equinix Internet Exchange (IX). Le RTBH vous protège des attaques par déni de service distribué (DDoS).

Equinix fournit à Black Hole Host l'adresse IP .240 (dans la région APAC), ou .253 (dans la région AMER et EMEA) sur le sous-réseau IX avec l'adresse mac 0050.56bb.bbbb.
Tout le trafic de monodiffusion vers l'hôte du trou noir est refusé au niveau des ports orientés vers le client (par ACL d'adresse mac).

Pour que le filtrage prenne effet, l'annonce du trou noir doit être acceptée par d'autres partenaires de peering. Les participants au peering peuvent accepter les préfixes avec une longueur de préfixe = 32 et une communauté BGP 65535:666. La participation à la fonction RTBH est facultative.

Informations sur l'hôte

AMER

Metro	IPv4 Address	IPv6 Address	Mac Address
Atlanta	198.32.182.253	2001:504:10::2:4115:253	dead:dead:dead
Chicago	208:115:137.253	2001:504:0::2:4115:253	dead:dead:dead
Dallas	206.223.118.253	2001:504:0::2:4115:253	dead:dead:dead
Washington DC	206.126.239.253	2001:504:0::2:4115:253	dead:dead:dead
VA	198.32.190.253	2001:504:e::2:4115:253	dead:dead:dead
Denver	198.32.114.253	2001:504:0::2:4115:253	dead:dead:dead
Houston	198.32.135.253	2001:504:0::2:4115:253	dead:dead:dead
Los Angeles	206.223.123.253	2001:504:0::2:4115:253	dead:dead:dead
Miami	198.32.242.253	2001:504:0::2:4115:253	dead:dead:dead
Miami	198.32.114.253	2001:504:0::2:4115:253	dead:dead:dead
New York	198.32.118.253	2001:504:f::2:4115:253	dead:dead:dead
Seattle	198.32.134.253	2001:504:12::2:4115:253	dead:dead:dead
Silicon Valley	206.223.117.253	2001:504:0::2:4115:253	dead:dead:dead
Portland	198.32.176.253	2001:504:d::2:4115:253	dead:dead:dead
Toronto	198.32.181.253	2001:504:d::2:4115:253	dead:dead:dead
São Paulo	64.191.232.253	2001:504:0:7:0:2:4115:253	dead:dead:dead

APAC

Metro	IPv4 Address	IPv6 Address	MAC Address
Hong Kong	119.27.63.240	2001:de8:7::2:4115:240	0050.56bb.bbbb
Melbourne	183.177.61.240	2001:de8:6:1:0:2:4115:240	0050.56bb.bbbb
Osaka	203.190.227.240	2001:de8:5:1:0:2:4115:240	0050.56bb.bbbb
Perth	101.97.43.240	2001:de8:6:2:0:2:4115:240	0050.56bb.bbbb
Singapore	27.111.231.240	2001:de8:4::2:4115:240	0050.56bb.bbbb
Sydney	45.127.175.240	2001:de8:6::2:4115:240	0050.56bb.bbbb
Tokyo	203.190.230.240	2001:de8:5::2:4115:240	0050.56bb.bbbb

EMEA

Metro	IPv4 Address	IPv6 Address	MAC Address
Amsterdam	185.1.112.253	2001:7f8:83::2:4115:253	dead:dead:dead
Dublin	185.1.109.253	2001:7f8:c3::2:4115:253	dead:dead:dead
Frankfurt	185.1.102.253	2001:7f8:bd::2:4115:253	dead:dead:dead
Geneva	192.65.185.253	2001:7f8:1c:24a::2:4115:253	dead:dead:dead
Helsinki	185.1.86.253	2001:7f8:af:0::2:4115:253	dead:dead:dead
London	185.1.104.253	2001:7f8:be::2:4115:253	dead:dead:dead
Lisbon	185.1.116.253	2001:7f8:c7::2:4115:253	dead:dead:dead
Manchester	185.1.101.253	2001:7f8:bc::2:4115:253	dead:dead:dead
Madrid	185.1.22.253	2001:7f8:c6::2:4115:253	dead:dead:dead
Milan	185.1.106.253	2001:7f8:c0::2:4115:253	dead:dead:dead
Paris	195.42.144.253	2001:7f8:43:0::2:4115:253	dead:dead:dead
Stockholm	185.1.107.253	2001:7f8:c1::2:4115:253	dead:dead:dead
Zurich	194.42.48.253	2001:7f8:c:8235::2:4115:253	dead:dead:dead

Autres communautés BGP prises en charge

Connexion requise.

Definition	Community String
Default Open Policy – Announce to all except to AS12345	24115:24115 0:12345
Default Closed Policy – Announce to none except to AS12345	0:24115 24115:12345
Prepend once to AS12345	65501:12345
Prepend twice to AS12345	65502:12345
Prepend three times to AS12345	65503:12345
Black Hole Traffic	65535:666

Attaques par déni de service distribué

Les attaques par déni de service distribué (DDoS) perturbent les services en raison d'un trafic entrant inutile dans votre port. Le filtrage RTBH peut aider à libérer l'utilisation du port de ce trafic inutile.

Pour libérer l'utilisation des ports, le serveur de routes Equinix MLPE insère une route BGP dans le réseau qui oblige les routeurs à arrêter tout le trafic vers l'hôte du trou noir avec des adresses IP et MAC prédéfinies.

Avant le début de l'attaque DDoS

Établir un peering BGP avec les serveurs de routes MLPE via le sous-réseau de peering MLPE IX. Vous pouvez annoncer votre préfixe 1.1.1.0/24 aux serveurs de routes MLPE.
Les serveurs de routes MLPE réannoncent votre préfixe aux autres participants au peering.
Le prochain saut pour atteindre le préfixe 1.1.1.0/24 est .100 qui est l'adresse IP de votre peering.

Quand l'attaque DDoS commence

Il y a un trafic d'attaque DDoS vers le serveur 1.1.1.1.
Votre port est inondé de trafic entrant, ce qui entraîne une interruption de service pour tous les services de production.
Libérez l'utilisation du port en arrêtant le trafic vers 1.1.1.1.

Atténuer les risques de déni de service

Pour atténuer le risque d'attaques DDoS :

Atténuation Étape 1

Vous annoncez 1.1.1.1/32 avec la communauté BGP Black Hole 65535:666.
Les serveurs de routes MLPE modifient ces annonces de préfixes (étiquetés avec 65535:666) avec un next-hop à .240 (dans APAC) ou .253 (dans AMER et EMEA), et réannoncent le même préfixe à d'autres participants au peering.

Atténuation Étape 2

Les partenaires d'échange commencent à résoudre l'adresse IP du saut suivant .240 (dans la région APAC) ou .253 (dans la région AMER et EMEA) pour atteindre 1.1.1.1.
Black Hole Host répond par un ARP avec l'adresse mac 0050.56bb.bbbb.

Succès de l'atténuation

Le trafic d'attaque avec le next-hop .240 (dans l'APAC) ou .253 (dans l'AMER et l'EMEA) est arrêté par la liste d'accès entrant du commutateur Equinix IX.
L'attaque DDoS passant par le port de votre commutateur est atténuée.

Informations sur l'hôte​

AMER​

APAC​

EMEA​

Autres communautés BGP prises en charge​

Attaques par déni de service distribué​

Avant le début de l'attaque DDoS​

Quand l'attaque DDoS commence​

Atténuer les risques de déni de service​

Atténuation Étape 1​

Atténuation Étape 2​

Succès de l'atténuation​