Informationen zum Service

Blackholing Guide

Blackholing wird zur Bekämpfung massiver DDoS-Angriffe eingesetzt, die die physische Verbindung zwischen DE-CIX und einem Kundenrouter überlasten. Eine ausführliche Beschreibung, wie Blackholing beim DE-CIX funktioniert, finden Sie hier.

Neben der Signalisierung eines Blackholes via Direct Peering, können Sie Blackholes an allen Exchangen (außer denen in Berlin, Indien und Russland) auch über die Routeserver signalisieren. Dafür bieten wir dedizierte Blackholing Routeserver in Frankfurt und Dubai an.

Blackholing über Direct Peering

Wenn Sie ein Blackhole in einer Direct Peering-Sitzung signalisieren wollen, müssen Sie den entsprechenden Next-Hop manuell einstellen (siehe Tabelle unten).
Bitten Sie dazu auch Ihre Peers bis zu /32 für IPv4 und /128 für IPv6 von Ihnen zu akzeptieren, damit der Service auch gemäß funktioniert.

Blackholing über die Routeserver

Die Verbreitung von BGP-Ankündigungen durch den Blackholing Routeserver, kann auf die gleiche Weise gesteuert werden wie sonst bei herkömmlichen Routeservern.

Wenn Sie ein bestimmtes IP-Präfix mithilfe des konventionellen oder des Blackholing Routeservers signalisieren wollen, gibt es zwei Möglichkeiten:

  • Die BGP-Ankündigung mit dem IP-Präfix, das mit einem Blackhole versehen werden soll, wird mit der BGP-Community BLACKHOLE (65535:666) gekennzeichnet. Es wird empfohlen, die BGP-Community BLACKHOLE zu verwenden, um ein Blackhole zu signalisieren, da dies die Handhabung erheblich vereinfacht.
    oder
  • Die BGP-Ankündigung mit dem IP-Präfix, das signalisiert werden soll, enthält eine vordefinierte Blackhole IP-Adresse als Next-Hop. In der nachstehenden Tabelle sind die IPv4 und IPv6 Blackhole IP-Adressen für die verschiedenen IXPs des DE-CIX aufgeführt.
 Internet ExchangeBlackhole next-hop IPv4 adresseBlackhole next-hop IPv6 adresseBGP BLACKHOLE community
Frankfurt80.81.193.662001:7f8::1a27:66:95

65535:666  

Athen (SEECIX)185.1.172.662001:7f8:f5::de1a:b:dead
Barcelona185.1.119.662001:7f8:10a::e1ca:b:dead
Chicago149.112.11.662001:504:102::f528:b:dead
Dallas206.53.202.662001:504:61::f423:42:1
Dubai (UAE-IX)185.1.8.662001:7f8:73::efbe:42:1
Düsseldorf185.1.170.662001:7f8:9e::de3a:42:1
Hamburg80.81.203.662001:7f8:3d::a8f4:42:1
Istanbul185.1.48.662001:7f8:3f::50eb:42:1
Madrid185.1.192.662001:7f8:a0::be99:42:1
Lissabon185.1.131.662001:7f8:d5::aad1:42:1
Marseille185.1.47.662001:7f8:36::50ed:42:1
München80.81.202.662001:7f8:44::b87c:42:1
New York206.82.104.662001:504:36::f63a:63:34
Palermo185.1.46.662001:7f8:32::61fb:42:1
Richmond206.53.137.662001:504:44::6:218:b:dead
Ruhrgebiet (Ruhr-CIX)185.1.197.662001:7f8:106::e223:b:dead

Bitte setzen Sie die NO-EXPORT oder NO-ADVERTISE Community nicht auf die als Blackhole markierten BGP-Ankündigungen, da dies die Routeserver anweist, diese Ankündigung nicht weiterzuleiten.

Konfigurationsbeispiele für den Aufbau einer BGP-Sitzung mit dem Blackholing Routeserver finden Sie in den Routeserver Guides.

Blackholing über spezielle Blackholing Routeserver

In Frankfurt und Dubai (UAE-IX) betreiben wir dedizierte Blackholing Routeserver. Der Grund für die Bereitstellung eines Blackholing Routeservers ist, dass einige Routerhersteller die Akzeptanz von /32 (IPv4) oder /128 (IPv6) BGP-Ankündigungen, je nach Verfügbarkeit der Blackhole BGP Community oder eines bestimmten nächsten Hops, nicht unterstützen. Mit einem bestimmten Blackholing Routeserver können (und sollten) Peers /32 (IPv4) oder /128 (IPv6) Ankündigungen akzeptieren, ohne die BGP-Verbindung zu herkömmlichen Routeservern ändern zu müssen. 

rsbh.fra.de-cix.net80.81.192.1582001:7f8::1a27:5051:c09e
rsbh.uae-ix.net185.1.8.2522001:7f8:73::efbe:fc:1

Der Blackholing Routeserver besteht aus einem Gerät. Die für den Blackholing Routeserver Service eingesetzte Software ist BIRD.

Der Blackholing Routeserver ist mit dem herkömmlichen Routeserversystem verbunden. Alle BGP-Ankündigungen, die als Blackholes markiert sind (z.B. durch Umschreiben des nächsten Hops auf die vordefinierte Blackholing IP-Adresse oder durch Kennzeichnung der BGP-Ankündigung mit der Blackhole BGP Community) und von einem konventionellen oder Blackholing Routeserver empfangen werden, werden automatisch an das andere Routeserversystem weitergeleitet.

Wenn der Blackholing Routeserver eine BGP-Ankündigung erhält, die als Blackhole gekennzeichnet ist, werden die NO-EXPORT und BLACKHOLE Community hinzugefügt, sofern diese Communities nicht bereits vorhanden sind. Dadurch wird sichergestellt, dass jede als Blackhole gekennzeichnete BGP-Ankündigung leicht gefiltert werden kann und sich im Internet-Routingsystem nicht weiterverbreitet.

Der Blackholing Routeserver akzeptiert nur BGP-Ankündigungen, die als Blackholes gekennzeichnet sind. Wenn eine BGP-Ankündigung nicht als Blackhole gekennzeichnet ist, wird die Ankündigung zurückgewiesen. DE-CIX will damit sicherstellen, dass keine Blackholes ausgelöst werden, wenn BGP-Ankündigungen versehentlich an den Blackholing Routeserver weitergegeben werden.

Feature Matrix

Die folgende Matrix fasst die Blackholing Funktionen zusammen, die auf dem konventionellen sowie dem Blackholing Routeserversystem verfügbar sind:

 rs1/rs2rsbh
Blackholing Support

BLACKHOLE BGP Community Support zur Signalisierung von Blackholes

Automatische BGP Next-Hop-Änderung zur vordefinierten Blackhole-IP für BGP Ankündigungen, die als Blackholes signalisiert wurden

Dedizierte BGP-Sitzung für Blackhole-Ankündigungen: Beschränken Sie Ihre Filter nur auf Blackholes und akzeptieren Sie auf sichere Weise bis zu /32 (IPv4) und /128 (IPv6)

Verfügbar am DE-CIX Frankfurt und UAE-IX Dubai

Verfügbar an DE-CIX IXPs, außer Frankfurt und UAE-IX Dubai