Afin d'aider nos membres à lutter contre les DDoS (Distributed Denial of Service), France-IX a mis en place un service de Blackholing (BH) disponible à Paris et Marseille.
Qu'est-ce que le Blackholing ?
Le BH est un service permettant d'identifier un DDoS ou du trafic malicieux et de bloquer ce trafic.
Comment cela fonctionne ?
Le BH est utilisable par tous les membres connectés aux serveurs de routes ou directement entre eux. On peut appliquer une politique sélective de BH sur les serveurs de routes (RS). Nous avons implementé le BH sur nos RS selon la RFC7999.
Comment en bénéficier ?
Avec les serveurs de routes :
Il suffit d'appliquer la communauté BLACKHOLE (65535:666) à un préfixe pour que son next-hop soit changer par le routeur BH. Nous appliquons également une communauté NO-EXPORT à ce préfixe.
Le trafic susceptible d'atteindre le membre est rejeté en bordure de l'infrastructure. Cette solution permet de protéger le port de la victime.
Le BH est disponible en IPv4 et en IPv6. Nous vous conseillons d'annoncer des préfixes /32 en IPv4 et /128 en IPv6
Sans les serveurs de routes :
Ce service peut être utilisé directement entre les membres en modifiant le next-hop du Network Layer Reachability Information (NLRI). Nous vous conseillons d'utiliser la communauté NO-EXPORT.
De plus, nous gardons une trace de tous les prefixes annoncés avec la communauté BLACKHOLE (du début à la fin de l'annonce).
Informations
Paris
IPv4
IPv6
RS1
37.49.236.250
2001:7f8:54::250
RS2
37.49.236.251
2001:7f8:54::251
BH routeur
37.49.237.0
2001:7f8:54::1:0
Marseille
IPv4
IPv6
RS1
37.49.232.1
2001:7f8:54:5::1
RS2
37.49.232.2
2001:7f8:54:5::2
BH routeur
37.49.232.253
2001:7f8:54:5::253
L'adresse MAC du BH routeur est : 66:66:66:66:66:66
Préfixes
IPv4
IPv6
Standard
8 < x < 24
19 < x < 48
Blackholing
8 < x < 32
19 < x < 128
Les politiques sélectives de routage restent inchangées sur les serveurs de routes. Voici trois cas d’utilisation de notre service sur les serveurs de routes :
Informations
ASN France-IX
51706
ASN Peer X
6500X
Communauté Blackhole
65535:666
Communauté ne pas annoncer au Peer X
0:Peer-as
Communauté Annoncer au peer X
51706:Peer-as
Communauté Ne pas annoncer à tous les Peers
51706:0
Annoncer à leurs peers
51706:51706
1 : Annoncer un préfixe Blackholing à tous les membres
2 : Annoncer un préfixe Blackholing à un seul membre (PEER 2)
3 : Annoncer un préfixe Blackholing à tous les membres sauf PEER 2 et PEER3
Rappel : Pour que le service fonctionne correctement, il faut que les membres acceptent les préfixes en accord avec la RFC7999 c'est-à-dire jusqu'à /32 (IPv6 /128) pour les préfixes ayant la communauté BLACKHOLE.