<div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">I think most here know (way better than me) the concepts of DDoS, anomaly detection, and reactions.<br><br>Some of the reactions that can be implemented to reduce the impact of an attack are Remote-Triggered BlackHole and FlowSpec Filtering.<br><br>In theory, using FlowSpec would be possible to de source the trigger of that FlowSpec announcement receives the measurements of the Flowspec-Enforcer-Box the measurements of those rules.<br>But in fact, considering FlowSpec-Enforcement as-a-service, I've never seen that happens between FlowSpec-RulesGenerator-Box and FlowSpec-Enforcer-Box that are operated by different organizations.<br>(If some company does, please let me know.)<br><br><br>So, in practical actions, the 

FlowSpec-RulesGenerator-Box needs to play a guessing game of how long will take until the attack ceases.<br>- First, send that FlowSpec Filtering for 3 minutes.<br>- After that initial timer expires and removing the FlowSpec Filtering, measure the Flows of his own equipment.<br>- If the attack is still there, re-announce the FlowSpec Filter Rule for more 15 minutes.<br>- Wait to expire again, if the attack is still there re-announce for more 30 minutes, and keep this on an eternal loop.</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><br>The same occurs with Remote-Triggered-Blackhole.<br>I need to remove it and feel it is still there.<br>And every time I do that, small partial outages occur at the destination network.</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><br><br>Have you already imagined if those who implemented the RTBH or FlowSpec could give you some feedback of how is the usage of that BH or FlowSpecDrop?<br><br>I really still don't know how to do this...</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">Or even know if already there is a solution to that and I'm trying to invent the wheel.<br><br>What do you think about that?<br>Any Ideas?<br><br></div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><font size="2"><span style="font-family:courier new,monospace">Douglas Fernando Fischer</span><br style="font-family:courier new,monospace"><span style="font-family:courier new,monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;word-wrap:break-word;color:black;text-align:left;line-height:130%;font-family:courier new,monospace"></div></div></div>