Перейти к содержимому
Калькуляторы

tec1

Новичок
  • Публикации

    7
  • Зарегистрирован

  • Посещение

О tec1

  • Звание
    Абитуриент
  1. Несколько аспектов не отраженных в статье из-за дефицита времени при ее написании. 1. Нежелательно агрегировать инфраструктурно-значимые префиксы, тем самым создавая предпосылки для BGP hijack с помощью more specific. 2. У многих существует строгое убеждение, что корневая причина зла - отсутствие какой-либо фильтрации клиентских анонсов на аплинках. Истины в подобных утверждениях немного. В основном проблема с корректной фильтрацией составная, и носит системный характер. Как уже отмечалось в статье, прежде всего, это программно-аппаратные вендорские ограничения, не позволяющие реализовать на оборудовании полноценные фильтры для довольно больших клиентских as-sets. Второй, не менее значимой составляющей проблемы, является отсутствие в правовом поле единой базы, консолидирующей все записи региональных IRR, что важно для Операторов присутствующих на рынках разных регионов. Последнему, в качестве возражения, может быть сопоставлен http://radb.net/. Но здесь, как показывает практика, есть тоже довольно серьезные проблемы с безопасностью. Еще в прошлом году обратил внимание, что кто угодно, за небольшие деньги может создать аккаунт мантейнера с дальнейшими правами создания objects. На практике это подтвердилось пару месяцев назад, когда один из наших клиентов, пользующейся сервисом Colocation, именно таким способом смог успешно проанонсировать от себя специфики префиксов China Telecom, которые успешно "ушли в мир", в т.ч. и через наших аплинков.
  2. Есть ли альтернатива BGP Flowspec?

    В примере конфигурации упущен один момент. Созданная policy должна быть применена на export к routing-options forwarding-table, например: set routing-options forwarding-table export dcu-psa
  3. Дополнение к тому, откуда брать информацию о ТОП ASNs для того, чтоб держать перманетно в as-path: https://www.spamhaus.org/statistics/botnet-asn/ Могу уверенно подтвердить достоверность информации, основываясь на опыте последних недель. С AS4134 и AS4837 регулярно прилетает свыше 100 Гбит/с разного рода флуда. Шестое место в ТОПе уверенно занимает: AS12389 ROSTELECOM-AS, RU Number of Bots: 198957 Что неудивительно из-за огромного сегмента ШПД.
  4. Дополнение к тому, откуда брать информацию о ТОП ASNs для того, чтоб держать ASNs перманетно в as-path: https://www.spamhaus.org/statistics/botnet-asn/ Могу уверенно подтвердить достоверность информации, основываясь на опыте последних недель. С AS4134 и AS4837 регулярно прилетает свыше 100 Гбит/с разного рода флуда.
  5. Защита от DDoS - геофильтрация трафика на маршрутизаторах Juniper с применением Source Class Usage (SCU) http://nag.ru/articles/article/32177/zaschita-ot-ddos-geofiltratsiya-trafika-na-marshrutizatorah-juniper-s-primeneniem-source-class-usage-scu-.html
  6. Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Естественно, можно все обрабатывать на региональных узлах, зеркалировать через сплиттеры, или на коммутаторах, ну еще и несколько стоек серверов с портами 10GE, чтоб обработать весь трафик. :)
  7. "extFilter - Программа для блокирования сайтов из списка РКН с использованием DPDK. Программа осуществляет блокировку сайтов путем анализа зеркалированного трафика от пользователей." Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? MPLS в сочетании с MP-BGP и BGP Flow-Spec в данной статье рассмотрен исключительно как транспорт для доставки перенаправленного трафика.