遠隔トリガーブラックホールサービス
リモートトリガーブラックホール(RTBH)フィルタリングは、不要なトラフィックがEquinix Internet Exchange(IX)の保護ネットワークに侵入する前にブロックする自己管理機能です。RTBHは分散型サービス拒否(DDoS)攻撃からお客様を保護します。
-
エクイニクスは、ブラックホールホストにIXサブネット上のIPアドレス「.240」(APAC地域)または「.253」(AMERおよびEMEA地域)、macアドレス「0050.56bb.bbbb」を提供しています。
-
ブラックホールホストに向かうすべてのユニキャストトラフィックは、(mac-address ACLによって)顧客に面したポートで拒否されます。
フィルタリングを有効にするには、ブラックホールアナウンスが他のピアリングパートナーに受け入れられなければなりません。ピアリング参加者は、プレフィックス長 = 32、BGP コミュニティ 65535:666 のプレフィックスを受け入れることができます。RTBH 機能への参加はオプションです。
ホスト情報
米州地域
| Metro | IPv4 Address | IPv6 Address | Mac Address |
|---|---|---|---|
| Atlanta | 198.32.182.253 | 2001:504:10::2:4115:253 | dead:dead:dead |
| Chicago | 208:115:137.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Dallas | 206.223.118.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Washington DC | 206.126.239.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| VA | 198.32.190.253 | 2001:504:e::2:4115:253 | dead:dead:dead |
| Denver | 198.32.114.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Houston | 198.32.135.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Los Angeles | 206.223.123.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Miami | 198.32.242.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Miami | 198.32.114.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| New York | 198.32.118.253 | 2001:504:f::2:4115:253 | dead:dead:dead |
| Seattle | 198.32.134.253 | 2001:504:12::2:4115:253 | dead:dead:dead |
| Silicon Valley | 206.223.117.253 | 2001:504:0::2:4115:253 | dead:dead:dead |
| Portland | 198.32.176.253 | 2001:504:d::2:4115:253 | dead:dead:dead |
| Toronto | 198.32.181.253 | 2001:504:d::2:4115:253 | dead:dead:dead |
| São Paulo | 64.191.232.253 | 2001:504:0:7:0:2:4115:253 | dead:dead:dead |
アジア太平洋地域
| Metro | IPv4 Address | IPv6 Address | MAC Address |
|---|---|---|---|
| Hong Kong | 119.27.63.240 | 2001:de8:7::2:4115:240 | 0050.56bb.bbbb |
| Melbourne | 183.177.61.240 | 2001:de8:6:1:0:2:4115:240 | 0050.56bb.bbbb |
| Osaka | 203.190.227.240 | 2001:de8:5:1:0:2:4115:240 | 0050.56bb.bbbb |
| Perth | 101.97.43.240 | 2001:de8:6:2:0:2:4115:240 | 0050.56bb.bbbb |
| Singapore | 27.111.231.240 | 2001:de8:4::2:4115:240 | 0050.56bb.bbbb |
| Sydney | 45.127.175.240 | 2001:de8:6::2:4115:240 | 0050.56bb.bbbb |
| Tokyo | 203.190.230.240 | 2001:de8:5::2:4115:240 | 0050.56bb.bbbb |
欧州・中東・アフリカ
| Metro | IPv4 Address | IPv6 Address | MAC Address |
|---|---|---|---|
| Amsterdam | 185.1.112.253 | 2001:7f8:83::2:4115:253 | dead:dead:dead |
| Dublin | 185.1.109.253 | 2001:7f8:c3::2:4115:253 | dead:dead:dead |
| Frankfurt | 185.1.102.253 | 2001:7f8:bd::2:4115:253 | dead:dead:dead |
| Geneva | 192.65.185.253 | 2001:7f8:1c:24a::2:4115:253 | dead:dead:dead |
| Helsinki | 185.1.86.253 | 2001:7f8:af:0::2:4115:253 | dead:dead:dead |
| London | 185.1.104.253 | 2001:7f8:be::2:4115:253 | dead:dead:dead |
| Lisbon | 185.1.116.253 | 2001:7f8:c7::2:4115:253 | dead:dead:dead |
| Manchester | 185.1.101.253 | 2001:7f8:bc::2:4115:253 | dead:dead:dead |
| Madrid | 185.1.22.253 | 2001:7f8:c6::2:4115:253 | dead:dead:dead |
| Milan | 185.1.106.253 | 2001:7f8:c0::2:4115:253 | dead:dead:dead |
| Paris | 195.42.144.253 | 2001:7f8:43:0::2:4115:253 | dead:dead:dead |
| Stockholm | 185.1.107.253 | 2001:7f8:c1::2:4115:253 | dead:dead:dead |
| Zurich | 194.42.48.253 | 2001:7f8:c:8235::2:4115:253 | dead:dead:dead |
その他のサポートされるBGPコミュニティ
ログインが必要です。
| Definition | Community String |
|---|---|
| Default Open Policy – Announce to all except to AS12345 | 24115:24115 0:12345 |
| Default Closed Policy – Announce to none except to AS12345 | 0:24115 24115:12345 |
| Prepend once to AS12345 | 65501:12345 |
| Prepend twice to AS12345 | 65502:12345 |
| Prepend three times to AS12345 | 65503:12345 |
| Black Hole Traffic | 65535:666 |
分散型サービス拒否攻撃
DDoS(Distributed Denial of Service)攻撃は、不要なインバウンドトラフィックがポートに流入することで、サービスの中断を引き起こします。RTBHフィルタリングは、この不要なトラフィックからポート利用を解放するのに役立ちます。
ポートの利用を解放するため、エクイニクスのMLPEルートサーバーはネットワークにBGPルートを挿入し、ルーターが事前に定義されたIPアドレスとMACアドレスを持つブラックホールホストへのすべてのトラフィックを停止するようにします。
DDoS攻撃が始まる前に
- MLPE IX ピアリングサブネットを経由して MLPE ルートサーバに BGP ピアリングを確立します。MLPE ルートサーバにプレフィックス 1.1.1.0/24 をアナウンスすることができます。
- MLPE ルートサーバは、お客様のプレフィックスを他のピアリング参加者に再アナウンスします。
- 1.1.1.0/24プレフィックスに到達するためのネクストホップは、ピアリングIPアドレスである.100となります。
DDoS攻撃が始まるとき
-
サーバー1.1.1.1に対してDDoS攻撃トラフィックが発生しています。
-
ポートがインバウンドトラフィックで溢れ、すべてのプロダクションサービスにサービスの中断を引き起こしています。
-
1.1.1.1へのトラフィックを停止することで、ポート使用率を解放する。
DDoSリスクの軽減
DDoS攻撃のリスクを軽減する:
ミティゲーションステージ1
-
1.1.1.1/32をブラックホールBGPコミュニティ65535:666でアナウンスしていますね。
-
MLPE ルートサーバーは、ネクストホップを .240(APAC)または .253(AMER、EMEA)にしてこれらのプレフィックスアナウンス(65535:666 のタグ付き)を修正し、同じプレフィックスを他のピアリング参加者に再アナウンスします。
ミティゲーションステージ2
-
ピアリングパートナーは、ネクストホップIPアドレス.240(APAC)または.253(AMERとEMEA)を解決して1.1.1.1に到達するようにします。
-
Black Hole Hostはmac-address 0050.56bb.bbbbのARPで返信する。
ミティゲーションサクセス
-
ネクストホップが.240(APAC)または.253(AMERおよびEMEA)の攻撃トラフィックは、Equinix IXスイッチのインバウンドアクセスリストによって阻止されます。
-
スイッチポートを経由するDDoS攻撃は軽減される。
