
<div dir="ltr">I think you want UTRS.  It is a trusted community where you can push a prefix and all the other members blackhole it at their network edges.<div><a href="https://www.team-cymru.com/ddos-mitigration-services">https://www.team-cymru.com/ddos-mitigration-services</a><br></div><div><br></div><div>Team Cymru are good people. If you need any help getting it setup, feel free to ping me off-list.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 23, 2023 at 4:15 PM Mike via Members <<a href="mailto:members@fcix.net">members@fcix.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>

<br>

     We are an ISP and have a certain amount of DDoS mitigation on our <br>

ip transit (RTBH advertised to iptransit, and BGP flowspec internal to <br>

us). This works to squelch ddos flows in most cases, even at the expense <br>

of that one end user that is the unfortunate target. However, this <br>

arrangement really only works because our ip transit honors a community <br>

that triggers RTBH so our transit links don't get smashed. In the case <br>

of a peer, such as you fine folks on fcix, however, we have no such <br>

luxury. The route-servers are just playing matchmaker so we know the l2 <br>

nexthop for any route, but there is no direct BGP and thus no way to <br>

advertise an RTBH even assuming we knew which peer was sending to us in <br>

a hypothetical flood. In theory then, while ip transit can be mitigated, <br>

a peer sending a flood cannot (except by locally dropping the bad flows, <br>

which allows the peering port to be flooded).<br>

<br>

     Surely, this situation has been thought about and someone has a <br>

well engineered solution to this problem? I think we likely could <br>

establish BGP peering across fcix and only allow peers that support <br>

RTBH, but that would exclude some who likely we may want peering with <br>

anyways because they have cool rainbow striped packets we also want in <br>

our network anyways, even if they might not support RTBH (I'm looking at <br>

you, AS399306!). I think the likelihood of a ddos being delivered over <br>

the peering connections is far less than the likelihood of being <br>

received over iptransit, still, it seems like this would be an issue to <br>

consider. And if we were to go thru the trouble of establishing BGP with <br>

everyone who says they can support RTBH, it seems like a huge <br>

administrative burden. Is there any other best practice solution or are <br>

we just on our own?<br>

<br>

<br>

Mike Ireton<br>

<br>

Your Town Online, Inc<br>

<br>

AS11472<br>

<br>

<br>

<br>

<br>

<br>

<br>

-- <br>

Members mailing list<br>

<a href="mailto:Members@fcix.net" target="_blank">Members@fcix.net</a><br>

<a href="https://mail.fcix.net/mailman/listinfo/members" rel="noreferrer" target="_blank">https://mail.fcix.net/mailman/listinfo/members</a><br>

</blockquote></div>