Informationen zum Service

Blackholing Guide

Blackholing wird zur Bekämpfung massiver DDoS-Angriffe eingesetzt, die die physische Verbindung zwischen DE-CIX und einem Kundenrouter überlasten. Eine ausführliche Beschreibung, wie Blackholing beim DE-CIX funktioniert, finden Sie hier.

Neben der Signalisierung eines Blackholes via Direct Peering, können Sie Blackholes an allen Exchangen (außer bestimmten Partnerstandorten) auch über die Routeserver signalisieren. 

Blackholing über Direct Peering

Wenn Sie ein Blackhole in einer Direct Peering-Sitzung signalisieren wollen, müssen Sie den entsprechenden Next-Hop manuell einstellen (siehe Tabelle unten).
Bitten Sie dazu auch Ihre Peers bis zu /32 für IPv4 und /128 für IPv6 von Ihnen zu akzeptieren, damit der Service auch gemäß funktioniert.

Blackholing über die Routeserver

Wenn Sie ein bestimmtes IP-Präfix mithilfe des Routeservers signalisieren wollen, gibt es zwei Möglichkeiten:

  • Die BGP-Ankündigung mit dem IP-Präfix, das mit einem Blackhole versehen werden soll, wird mit der BGP-Community BLACKHOLE (65535:666) gekennzeichnet. Es wird empfohlen, die BGP-Community BLACKHOLE zu verwenden, um ein Blackhole zu signalisieren, da dies die Handhabung erheblich vereinfacht.
    oder
  • Die BGP-Ankündigung mit dem IP-Präfix, das signalisiert werden soll, enthält eine vordefinierte Blackhole IP-Adresse als Next-Hop. In der nachstehenden Tabelle sind die IPv4 und IPv6 Blackhole IP-Adressen für die verschiedenen IXPs des DE-CIX aufgeführt.
 Internet ExchangeBlackhole next-hop IPv4 adresseBlackhole next-hop IPv6 adresseBGP BLACKHOLE community
Frankfurt80.81.193.662001:7f8::1a27:66:95

65535:666  

ASEAN103.162.254.662001:df6:480::94f9:b:dead
Athen (SEECIX)185.1.172.662001:7f8:f5::de1a:b:dead
Barcelona185.1.119.662001:7f8:10a::e1ca:b:dead
Chicago149.112.11.662001:504:102::f528:b:dead
Dallas206.53.202.662001:504:61::f423:42:1
Dubai (UAE-IX)185.1.8.662001:7f8:73::efbe:42:1
Düsseldorf185.1.170.662001:7f8:9e::de3a:42:1
Esbjerg185.0.17.662001:7f8:143::3:e21:b:dead
Hamburg185.1.210.662001:7f8:3d::a8f4:42:1
Helsinki185.0.5.662001:7f8:13a::3:1358:b:dead
Istanbul185.1.48.662001:7f8:3f::50eb:42:1
Johor Bahru103.119.235.662403:4ac0:2::953e:b:dead
Karatschi (Pakistan IE)58.181.127.662001:df2:b940:0:2:2413:b:dead
Kinshasa (ACIX)196.60.92.662001:43ff:6000::93a7:b:dead
Kopenhagen185.0.4.662001:7f8:139::3:1359:b:dead
Kristiansand185.0.6.662001:7f8:13b::3:1341:b:dead
Kuala Lumpur103.119.234.662403:4ac0:1::9532:b:dead
Lagos (AF-CIX)196.49.90.662001:43f8:1690::93a1:b:dead
Leipzig185.1.245.662001:7f8:df:0:3:1f77:b:dead
Lissabon185.1.131.662001:7f8:d5::aad1:42:1
Madrid185.1.192.662001:7f8:a0::be99:42:1
Malaysia103.119.232.662403:4ac0::951f:b:dead
Marseille185.1.47.662001:7f8:36::50ed:42:1
München185.1.208.662001:7f8:44::b87c:42:1
New York206.82.104.662001:504:36::f63a:63:34
Nordics185.0.8.662001:7f8:13e::3:12c2:b:dead
Oslo185.0.7.662001:7f8:13c::3:1336:b:dead
Palermo185.1.46.662001:7f8:32::61fb:42:1
Phoenix149.112.27.662001:504:116::6:1bca:b:dead
Richmond206.53.137.662001:504:44::6:218:b:dead
Ruhrgebiet (Ruhr-CIX)185.1.197.662001:7f8:106::e223:b:dead
Singapore103.159.71.662001:df5:7880::2614:b:dead

Bitte setzen Sie die NO_EXPORT oder NO_ADVERTISE Community nicht auf die als Blackhole markierten BGP-Ankündigungen, da dies die Routeserver anweist, diese Ankündigung nicht weiterzuleiten. Die Routeservern fügen NO_EXPORT automatisch hinzu.

Konfigurationsbeispiele für den Aufbau einer BGP-Sitzung mit den Routeservern finden Sie in den Routeserver Guides.