Afin d'aider nos membres à lutter contre les DDoS (Distributed Denial of Service), France-IX a mis en place un service de BLACKHOLING (BH) disponible à Paris et Marseille.
Le BH est un service permettant d'identifier un DDoS ou du trafic malicieux et de bloquer ce trafic.
Le BH est utilisable par tous les membres connectés aux serveurs de routes ou directement entre eux. On peut appliquer une politique sélective de BH sur les serveurs de routes (RS). Nous avons implementé le BH sur nos RS selon la RFC7999.
Avec les serveurs de routes :
Il suffit d'appliquer la communauté BLACKHOLE (65535:666) à un préfixe pour que son next-hop soit changer par le routeur BH. Nous appliquons également une communauté NO-EXPORT à ce préfixe.
Le trafic susceptible d'atteindre le membre est rejeté en bordure de l'infrastructure. Cette solution permet de protéger le port de la victime.
Le BH est disponible en IPV4 et en IPv6.
Nous vous conseillons d'annoncer des préfixes /32 en IPv4 et /128 en IPv6
Sans les serveurs de routes :
Ce service peut être utilisé directement entre les membres en modifiant le next-hop du Network Layer Reachability Information (NLRI). Nous vous conseillons d'utiliser la communauté NO-EXPORT
De plus, nous gardons une trace de tous les prefixes annoncés avec la communauté BLACKHOLE (du début à la fin de l'annonce).
Paris | IPv4 | IPv6 |
RS1 |
37.49.236.250 |
2001:7f8:54::250 |
RS2 |
37.49.236.251 |
2001:7f8:54::251 |
BH routeur |
37.49.237.0 |
2001:7f8:54::1:0 |
Marseille | IPv4 | IPv6 |
RS1 |
37.49.232.1 |
2001:7f8:54:5::1 |
RS2 |
37.49.232.2 |
2001:7f8:54:5::2 |
BH routeur |
37.49.232.253 |
2001:7f8:54:5::253 |
L'adresse MAC du BH routeur est :
66:66:66:66:66:66
IPv4 | IPv6 | |
Standard |
8 < x < 24 |
19 < x < 48 |
Blackholing |
8 < x < 32 |
19 < x < 128 |
Les politiques sélectives de routage restent inchangées sur les serveurs de routes. Voici trois cas d’utilisation de notre service sur les serveurs de routes :
Informations | |
ASN France-IX |
51706 |
ASN Peer X |
6500X |
Communauté Blackhole |
65535:666 |
Communauté ne pas annoncer au Peer X |
0:Peer-as |
Communauté Annoncer au peer X |
51706:Peer-as |
Communauté Ne pas annoncer à tous les Peers |
51706:0 |
Annoncer à leurs peers |
51706:51706 |
Annoncer un préfixe en BLACKHOLING à tous les membres
Annonce BGP
Trafic Blackholé
Trafic légitime
/32 (65535:666)
/32 (65535:666)
Annoncer un préfixe en BLACKHOLING à un seul membre (PEER 2)
Annonce BGP
Trafic Blackholé
Trafic légitime
/32 (65535:666)
/32 (65535:666) (0:51706) (51706:65001)
Annoncer un préfixe en BLACKHOLING à tous les membres sauf PEER 2 et PEER 3
Annonce BGP
Trafic Blackholé
Trafic légitime
/32 (65535:666)
/32 (65535:666) (0:65001) (0:65002)
Rappel : Pour que le service fonctionne correctement, il faut que les membres acceptent les préfixes en accord avec la RFC7999 c'est à dire jusqu'à /32 (IPv6 /128) pour les préfixes ayant la communauté BLACKHOLE.