远程触发黑洞服务

远程触发的黑洞 (RTBH) 过滤是一项自我管理的功能，使您能够在不必要的流量进入 Equinix Internet Exchange (IX) 保护的网络之前将其拦截。RTBH 可保护您免受分布式拒绝服务 (DDoS) 攻击。

Equinix为 Black Hole Host 提供 IP 地址 .240（在亚太地区）或 .253（在美洲和欧洲、美洲地区和非洲地区），位于 IX 子网上，MAC 地址为 0050.56bb.bbbb。
所有发往黑洞主机的单播流量在面向客户的端口上都被拒绝（通过 mac 地址 ACL）。

要使过滤生效，黑洞公告必须得到其他对等伙伴的接受。对等伙伴可以接受前缀长度为 32 且 BGP 社区为 65535:666 的前缀。是否参与 RTBH 功能是可选的。

主机信息

美洲地区

Metro	IPv4 Address	IPv6 Address	Mac Address
Atlanta	198.32.182.253	2001:504:10::2:4115:253	dead:dead:dead
Chicago	208:115:137.253	2001:504:0::2:4115:253	dead:dead:dead
Dallas	206.223.118.253	2001:504:0::2:4115:253	dead:dead:dead
Washington DC	206.126.239.253	2001:504:0::2:4115:253	dead:dead:dead
VA	198.32.190.253	2001:504:e::2:4115:253	dead:dead:dead
Denver	198.32.114.253	2001:504:0::2:4115:253	dead:dead:dead
Houston	198.32.135.253	2001:504:0::2:4115:253	dead:dead:dead
Los Angeles	206.223.123.253	2001:504:0::2:4115:253	dead:dead:dead
Miami	198.32.242.253	2001:504:0::2:4115:253	dead:dead:dead
Miami	198.32.114.253	2001:504:0::2:4115:253	dead:dead:dead
New York	198.32.118.253	2001:504:f::2:4115:253	dead:dead:dead
Seattle	198.32.134.253	2001:504:12::2:4115:253	dead:dead:dead
Silicon Valley	206.223.117.253	2001:504:0::2:4115:253	dead:dead:dead
Portland	198.32.176.253	2001:504:d::2:4115:253	dead:dead:dead
Toronto	198.32.181.253	2001:504:d::2:4115:253	dead:dead:dead
São Paulo	64.191.232.253	2001:504:0:7:0:2:4115:253	dead:dead:dead

亚太地区

Metro	IPv4 Address	IPv6 Address	MAC Address
Hong Kong	119.27.63.240	2001:de8:7::2:4115:240	0050.56bb.bbbb
Melbourne	183.177.61.240	2001:de8:6:1:0:2:4115:240	0050.56bb.bbbb
Osaka	203.190.227.240	2001:de8:5:1:0:2:4115:240	0050.56bb.bbbb
Perth	101.97.43.240	2001:de8:6:2:0:2:4115:240	0050.56bb.bbbb
Singapore	27.111.231.240	2001:de8:4::2:4115:240	0050.56bb.bbbb
Sydney	45.127.175.240	2001:de8:6::2:4115:240	0050.56bb.bbbb
Tokyo	203.190.230.240	2001:de8:5::2:4115:240	0050.56bb.bbbb

欧洲、中东和非洲地区

Metro	IPv4 Address	IPv6 Address	MAC Address
Amsterdam	185.1.112.253	2001:7f8:83::2:4115:253	dead:dead:dead
Dublin	185.1.109.253	2001:7f8:c3::2:4115:253	dead:dead:dead
Frankfurt	185.1.102.253	2001:7f8:bd::2:4115:253	dead:dead:dead
Geneva	192.65.185.253	2001:7f8:1c:24a::2:4115:253	dead:dead:dead
Helsinki	185.1.86.253	2001:7f8:af:0::2:4115:253	dead:dead:dead
London	185.1.104.253	2001:7f8:be::2:4115:253	dead:dead:dead
Lisbon	185.1.116.253	2001:7f8:c7::2:4115:253	dead:dead:dead
Manchester	185.1.101.253	2001:7f8:bc::2:4115:253	dead:dead:dead
Madrid	185.1.22.253	2001:7f8:c6::2:4115:253	dead:dead:dead
Milan	185.1.106.253	2001:7f8:c0::2:4115:253	dead:dead:dead
Paris	195.42.144.253	2001:7f8:43:0::2:4115:253	dead:dead:dead
Stockholm	185.1.107.253	2001:7f8:c1::2:4115:253	dead:dead:dead
Zurich	194.42.48.253	2001:7f8:c:8235::2:4115:253	dead:dead:dead

其他支持的BGP社区

需要登录。

Definition	Community String
Default Open Policy – Announce to all except to AS12345	24115:24115 0:12345
Default Closed Policy – Announce to none except to AS12345	0:24115 24115:12345
Prepend once to AS12345	65501:12345
Prepend twice to AS12345	65502:12345
Prepend three times to AS12345	65503:12345
Black Hole Traffic	65535:666

分布式拒绝服务攻击

分布式拒绝服务 (DDoS) 攻击会由于不必要的入站流量而导致端口服务中断。RTBH 过滤可以帮助端口免受这些不必要的流量的影响。

为了释放端口利用率， Equinix MLPE 路由服务器在网络中插入 BGP 路由，强制路由器停止所有到具有预定义 IP 和 MAC 地址的黑洞主机的流量。

DDoS 攻击开始之前

通过MLPE IX对等子网与MLPE路由服务器建立BGP对等关系。你可以向MLPE路由服务器公布你的前缀1.1.1.0/24。
MLPE路由服务器将你的前缀重新公布给其他对等参与者。
到达1.1.1.0/24前缀的下一跳是.100，这是你们对等的IP地址。

DDoS 攻击何时开始

有一个针对服务器1.1.1.1的DDoS攻击流量。
您的端口充斥着入站流量，导致所有生产服务中断。
通过停止到 1.1.1.1 的流量来释放端口利用率。

降低DDoS风险

为了减轻 DDoS 攻击的风险：

缓解阶段1

你用黑洞BGP社区65535:666公告1.1.1.1/32。
MLPE 路由服务器修改这些前缀公告（标记为 65535:666），将下一跳修改为 .240（在亚太地区）或 .253（在美洲地区和欧洲、中东和非洲地区），并向其他对等参与者重新宣布相同的前缀。

缓解阶段2

对等伙伴开始解析下一跳 IP 地址 .240（在亚太地区）或 .253（在美洲和欧洲、美洲地区和非洲地区）以到达 1.1.1.1。
黑洞主机回复了一个ARP，mac地址为0050.56bb.bbbbb。

缓解的成功

下一跳为 .240（在亚太地区）或 .253（在美洲和美洲地区和非洲地区）的攻击流量被Equinix IX 交换机入站访问列表阻止。
通过交换机端口的DDoS 攻击得到缓解。

主机信息​

美洲地区​

亚太地区​

欧洲、中东和非洲地区​

其他支持的BGP社区​

分布式拒绝服务攻击​

DDoS 攻击开始之前​

DDoS 攻击何时开始​

降低DDoS风险​

缓解阶段1​

缓解阶段2​

缓解的成功​