Serviços de buraco negro acionados remotamente

A filtragem RTBH (Remotely Triggered Black Hole) é um recurso autogerenciado que permite bloquear o tráfego desnecessário antes que ele entre na rede protegida do Equinix Internet Exchange (IX). O RTBH protege você contra ataques de negação de serviço distribuído (DDoS).

A Equinix fornece ao Black Hole Host o endereço IP .240 (na APAC) ou .253 (na AMER e EMEA) na sub-rede IX com o endereço MAC 0050.56bb.bbbb.
Todo o tráfego unicast em direção ao host do Black Hole é negado nas portas voltadas para o cliente (por ACL de endereço MAC).

Para que a filtragem entre em vigor, o anúncio do Buraco Negro deve ser aceito por outros parceiros de peering . Os participantes do peering podem aceitar os prefixos com comprimento de prefixo = 32 e comunidade BGP 65535:666. A participação no recurso RTBH é opcional.

Informações do anfitrião

AMER

Metro	IPv4 Address	IPv6 Address	Mac Address
Atlanta	198.32.182.253	2001:504:10::2:4115:253	dead:dead:dead
Chicago	208:115:137.253	2001:504:0::2:4115:253	dead:dead:dead
Dallas	206.223.118.253	2001:504:0::2:4115:253	dead:dead:dead
Washington DC	206.126.239.253	2001:504:0::2:4115:253	dead:dead:dead
VA	198.32.190.253	2001:504:e::2:4115:253	dead:dead:dead
Denver	198.32.114.253	2001:504:0::2:4115:253	dead:dead:dead
Houston	198.32.135.253	2001:504:0::2:4115:253	dead:dead:dead
Los Angeles	206.223.123.253	2001:504:0::2:4115:253	dead:dead:dead
Miami	198.32.242.253	2001:504:0::2:4115:253	dead:dead:dead
Miami	198.32.114.253	2001:504:0::2:4115:253	dead:dead:dead
New York	198.32.118.253	2001:504:f::2:4115:253	dead:dead:dead
Seattle	198.32.134.253	2001:504:12::2:4115:253	dead:dead:dead
Silicon Valley	206.223.117.253	2001:504:0::2:4115:253	dead:dead:dead
Portland	198.32.176.253	2001:504:d::2:4115:253	dead:dead:dead
Toronto	198.32.181.253	2001:504:d::2:4115:253	dead:dead:dead
São Paulo	64.191.232.253	2001:504:0:7:0:2:4115:253	dead:dead:dead

APAC

Metro	IPv4 Address	IPv6 Address	MAC Address
Hong Kong	119.27.63.240	2001:de8:7::2:4115:240	0050.56bb.bbbb
Melbourne	183.177.61.240	2001:de8:6:1:0:2:4115:240	0050.56bb.bbbb
Osaka	203.190.227.240	2001:de8:5:1:0:2:4115:240	0050.56bb.bbbb
Perth	101.97.43.240	2001:de8:6:2:0:2:4115:240	0050.56bb.bbbb
Singapore	27.111.231.240	2001:de8:4::2:4115:240	0050.56bb.bbbb
Sydney	45.127.175.240	2001:de8:6::2:4115:240	0050.56bb.bbbb
Tokyo	203.190.230.240	2001:de8:5::2:4115:240	0050.56bb.bbbb

EMEA

Metro	IPv4 Address	IPv6 Address	MAC Address
Amsterdam	185.1.112.253	2001:7f8:83::2:4115:253	dead:dead:dead
Dublin	185.1.109.253	2001:7f8:c3::2:4115:253	dead:dead:dead
Frankfurt	185.1.102.253	2001:7f8:bd::2:4115:253	dead:dead:dead
Geneva	192.65.185.253	2001:7f8:1c:24a::2:4115:253	dead:dead:dead
Helsinki	185.1.86.253	2001:7f8:af:0::2:4115:253	dead:dead:dead
London	185.1.104.253	2001:7f8:be::2:4115:253	dead:dead:dead
Lisbon	185.1.116.253	2001:7f8:c7::2:4115:253	dead:dead:dead
Manchester	185.1.101.253	2001:7f8:bc::2:4115:253	dead:dead:dead
Madrid	185.1.22.253	2001:7f8:c6::2:4115:253	dead:dead:dead
Milan	185.1.106.253	2001:7f8:c0::2:4115:253	dead:dead:dead
Paris	195.42.144.253	2001:7f8:43:0::2:4115:253	dead:dead:dead
Stockholm	185.1.107.253	2001:7f8:c1::2:4115:253	dead:dead:dead
Zurich	194.42.48.253	2001:7f8:c:8235::2:4115:253	dead:dead:dead

Outras comunidades BGP compatíveis

É necessário efetuar login.

Definition	Community String
Default Open Policy – Announce to all except to AS12345	24115:24115 0:12345
Default Closed Policy – Announce to none except to AS12345	0:24115 24115:12345
Prepend once to AS12345	65501:12345
Prepend twice to AS12345	65502:12345
Prepend three times to AS12345	65503:12345
Black Hole Traffic	65535:666

Ataques de negação de serviço distribuídos

O ataque de negação de serviço distribuído (DDoS) causa a interrupção dos serviços devido ao tráfego de entrada desnecessário em sua porta. A filtragem RTBH pode ajudar a liberar a utilização da porta desse tráfego desnecessário.

Para liberar a utilização da porta, o servidor de rotas MLPE da Equinix insere uma rota BGP na rede que força os roteadores a interromper todo o tráfego para o host Black Hole com endereços IP e MAC predefinidos.

Antes do início do ataque DDoS

Estabelecer peering BGP para servidores de rota MLPE por meio da sub-rede de peering MLPE IX. Você pode anunciar seu prefixo 1.1.1.0/24 para os servidores de rota do MLPE.
Os servidores de rota do MLPE anunciam novamente seu prefixo para outros participantes do peering.
O próximo salto para alcançar o prefixo 1.1.1.0/24 é .100, que é o seu endereço IP de emparelhamento.

Quando o ataque DDoS começa

Há um tráfego de ataque DDoS em direção ao servidor 1.1.1.1.
Sua porta é inundada com tráfego de entrada, causando interrupção de serviço em todos os serviços de produção.
Libere a utilização da porta interrompendo o tráfego para 1.1.1.1.

Mitigando riscos de DDoS

Para mitigar o risco de ataques DDoS:

Mitigação Estágio 1

Você anuncia 1.1.1.1/32 com a comunidade Black Hole BGP 65535:666.
Os servidores de rota do MLPE modificam esses anúncios de prefixo (marcados com 65535:666) com o próximo salto para .240 (na APAC) ou .253 (na AMER e na EMEA) e anunciam novamente o mesmo prefixo para outros participantes do peering.

Mitigação Estágio 2

Os parceiros de peering começam a resolver o endereço IP do próximo salto .240 (na APAC) ou .253 (na AMER e EMEA) para alcançar 1.1.1.1.
O host do Black Hole responde com um ARP com endereço MAC 0050.56bb.bbbb.

Sucesso da mitigação

O tráfego de ataque com o próximo salto .240 (na APAC) ou .253 (na AMER e EMEA) é interrompido pela lista de acesso de entrada do switch Equinix IX.
O ataque DDoS que passa pela porta de seu switch é atenuado.

Informações do anfitrião​

AMER​

APAC​

EMEA​

Outras comunidades BGP compatíveis​

Ataques de negação de serviço distribuídos​

Antes do início do ataque DDoS​

Quando o ataque DDoS começa​

Mitigando riscos de DDoS​

Mitigação Estágio 1​

Mitigação Estágio 2​

Sucesso da mitigação​