Разработили сме няколко механизма (In-line Classification & QoS, DDoS Packet Stamp и Blackholing), които да подпомагат Участниците в Публичния пиъринг при евентуални Volumetric DDoS атаки към техните мрежи.
Основната ни цел е да намалим до възможния минимум, вероятността, в следствие на DDoS атака да бъде загубен полезен трафик.
Техническата реализация e следната:
На вход: Classification
Всеки пакет, който влиза в мрежата на BIX.BG се анализира в реално време, на база множество сложни правила и в случай, че изглежда като някоя от познатите ни към момента DDoS атаки, се премества в специална опашка (DDoS Queue).
На изход: QoS
На изхода на всеки един порт са настроени с различни приоритети няколко опашки, като принципът е следния: приоритетно се обслужва мултикаст трафика (ако има такъв), след него е полезния пиъринг трафик и накрая e DDoS опашката. Резултатът, е че:
Основните предимства на този подход са:
Недостатъците са:
Основната ни цел, е да предоставим удобен механизъм на Участниците да научат, коя част от трафика е била разпозната като потенциален DDoS и в случай, че решат да могат лесно да приложат допълнителни рестриктивни правила в техните мрежи спрямо този трафик.
В тази връзка всички пакети, които са били разпознати на фазата на Classification като DDoS, се маркират на изхода към Участниците съгласно IEEE P802.1p с Priority Code Point (PCP) = 1.
НЕ препоръчваме на Участниците да филтрират целият маркиран трафик, защото е възможно да има и полезен трафик, класифициран като DDoS.
Удачен подход според нас например е:
Възможност за блокиране на трафика към опреден префикс (IP адрес или мрежа), като сигнализацията е чрез BGP4 анонс през вече изградените сесии с Route Servers (RS). Функционалността се отнася само за трафик по VLAN за Публичен пиъринг.
RS приемат префикси маркирани с BLACKHOLE (BH) community 65535:666, като ограниченията за дължините на префиксите са:
Route Servers не преанонсират префикси маркирани с BH (без значение от дължината им) на другите Участници, като за да сработи механизма е достатъчен анонс само на единия от RS-ите.
В рамките на 2 секунди след получаване на валиден BH анонс, BIX.BG блокира на изход към Участника (от гледна точка на Участника е негов вход) целия трафик с Destination IP адрес/и получения по BGP префикс. В случай че Участника има повече от една свързаности за Публичен пиъринг блокирането ще бъде приложено за всичките му свързаности.
Обръщаме внимание че блокирането на трафика се осъществява в мрежата на BIX.BG, на изход в посока мрежата на Участника, което има следните принципни разлики спрямо класическите реализации в повечето IXP (блокиране на вход, чрез манипулиране на маршрутизацията към BH префикса):
Документи |
---|
ОБЩИ УСЛОВИЯ в сила от 01.09.2009г., изменени в сила от 01.12.2010г., 01.05.2011г. и 01.01.2019г. |
СПОРАЗУМЕНИЕ ЗА НИВО НА ОБСЛУЖВАНЕ в сила от 01.09.2009г. |
ОБЩИ УСЛОВИЯ ЗА ПРЕДОСТАВЯНЕ НА ЕДНОПОСОЧЕН ПРЕНОС ЧРЕЗ МУЛТИКАСТ VLAN в сила от 01.04.2011г., изменени в сила от 01.01.2019 г. |
Образец на ПОРЪЧКA ЗА МУЛТИКАСТ VLAN за МУЛТИКАСТ-ПОЛУЧАТЕЛ |
Образец на ПОРЪЧКA ЗА МУЛТИКАСТ VLAN за МУЛТИКАСТ-ИЗТОЧНИК |
Общи условия за предоставяне на Transparent Ethernet Interconnect |
Образец на поръчка за Transparent Ethernet Interconnect |
Декларация за политиката по информационна сигурност |
Сертификат ISO/IEC 27001:2013 |