¶ Exemplos de comunidades BGP para Blackhole, Mitigação e FlowSpec
¶ Objetivo desta Wiki
Apresentar definições, exemplos e como realizar o cadastro das comunidades BGP utilizadas em anúncios para mitigação, blackhole e FlowSpec.
¶ Tipos de Comunidades BGP e Aplicações
Antes de aplicar qualquer política via comunidades BGP, é importante entender os tipos, conceitos gerais e uso mais comuns.
¶ Blackhole
Definição:
Envia o prefixo para uma rota do tipo null0, descartando todo o tráfego destinado a ele. Essa técnica é utilizada para cessar o impacto de ataques DDoS volumétricos em IPs específicos.
Exemplo de Comunidade utilizada:
00000:666
Prefixos geralmente utilizados:
/32para IPv4/128para IPv6
Importante: Não é recomendado anunciar sub-redes agregadas para blackhole, pois isso pode afetar outros serviços legítimos no mesmo bloco.
Vantagem: rápida mitigação para um IP sob ataque.
Desvantagem: torna o IP inacessível para tráfego legítimo.
¶ Mitigação
Definição:
Redireciona o tráfego do prefixo para sistemas especializados de mitigação (scrubbing centers), onde o tráfego é analisado e filtrado antes de ser reenviado à rede de destino.
Exemplos de Comunidades:
00000:667 # Mitigação padrão
00000:668 # Mitigação 2 (outro perfil ou tipo de mitigação)
Prefixos recomendados:
/24para IPv4/48para IPv6
A escolha da comunidade pode depender do nível de agressividade ou da rota desejada para mitigação.
Vantagem: mantém o IP acessível após filtragem.
Desvantagem: depende da disponibilidade e capacidade dos sistemas de mitigação.
¶ Uso de Templates FlowSpec ou Comunidades
Definição:
BGP FlowSpec permite criar políticas de filtragem e controle de tráfego dinâmico com base em atributos como IP de origem/destino, protocolo, porta, etc. As ações podem ser associadas a comunidades BGP específicas que indicam o que deve ser feito com o tráfego que corresponde à regra.
Existem templates prontos que podem ser utilizados no Anti-DDoS, basta acessar a aba Templates para visualizar:
Esse é um exemplo de um template pré definido para rate-limit de DNS 53 UDP:
¶ Principais ações e comunidades associadas FlowSpec:
| Comunidade | Ação FlowSpec | Descrição |
|---|---|---|
00000:666 |
deny |
Descarta os pacotes (ação padrão de bloqueio) |
00000:777 |
rate-limit |
Limita o tráfego (ex.: 3 Mbps) |
00000:888 |
redirect |
Redireciona tráfego (honeypot, análise etc.) |
A configuração detalhada de cada regra FlowSpec pode ser feita através dos templates pré definidos ou customizados no Anti-DDoS.
¶ Cadastro das Comunidades no Anti-DDoS
Na aba de Comunidades acesse Adicionar Community:
Em seguida defina a Community, a descrição, o tipo, a classificação e salve:
Após isso as comunidades já estarão disponíveis para serem associadas nas Ações e Respostas, e também para os anúncios manuais.
¶ Considerações Finais
A aplicação das comunidades BGP é essencial para uma mitigação eficiente de ataques DDoS e para a otimização do roteamento de tráfego. Entender a função de cada comunidade permite tomar decisões mais precisas e reduzir riscos como indisponibilidade de serviços e impactos colaterais.
Em caso de dúvidas sobre a compatibilidade das comunidades com o seu roteador ou provedor, recomenda-se consultar a documentação técnica oficial ou entrar em contato com o suporte técnico.