<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Times New Roman \(Body CS\)";

        panose-1:2 2 6 3 5 4 5 2 3 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

span.EmailStyle20

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

</head>

<body lang="EN-US" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:12.0pt">Hi, here is a Flowspec best practices document that I helped write that will hopefully help folks from shooting themselves in the foot

<a href="http://m3aawg.org/flowspec-BP">http://m3aawg.org/flowspec-BP</a>.  As you stated, route policies can be applied to restrict what type of flowspec rules can or can’t be accepted.  For example, only allow a rule from the Flowspec controller if it specifies

 a /32 destination IP and is tagged with a particular community, reject all else.

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:12.0pt">Douglas, I think what you are looking for is DOTS:

<a href="https://tools.ietf.org/html/rfc8811">https://tools.ietf.org/html/rfc8811</a>  DOTS has a data channel which allows the DOTS client and server to communicate telemetry about the attack.  The RFC is pretty new.  I don’t think that there are any companies

 that have implemented it yet.  Hopefully this protocol will be adopted by DDoS mitigation companies soon.

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:12.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:12.0pt">-Rich Compton<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:12.0pt"><o:p> </o:p></span></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">NANOG <nanog-bounces+rich.compton=charter.com@nanog.org> on behalf of Douglas Fischer <fischerdouglas@gmail.com><br>

<b>Date: </b>Tuesday, February 2, 2021 at 10:10 AM<br>

<b>To: </b>Tom Beecher <beecher@beecher.cc><br>

<b>Cc: </b>NANOG list <nanog@nanog.org><br>

<b>Subject: </b>[EXTERNAL] Re: RTBH and Flowspec Measurements - Stop guessing when the attack will over<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div style="border:solid #5A5A5A 1.0pt;padding:2.0pt 2.0pt 2.0pt 2.0pt">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;line-height:12.0pt;background:#235C70">

<strong><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:white">CAUTION:</span></strong><span style="font-size:10.0pt;color:white"> The e-mail below is from an external source. Please exercise caution before opening attachments, clicking

 links, or following guidance. </span><o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Courier New"">Well... That is a point of view!<br>

And I must respect that.<br>

<br>

Against this position, there are several companies, including some tier 1, that sells this as an $extra$.<br>

<br>

About the "Please break me at my earliest inconvenience." part:<br>

I believe that the same type of prefix filtering that applies to Downstream-BGP-Routes applies to RTBH and Flowspec.<br>

So, exactly as in common BGP Route-Filtering:<br>

- If the network operator does it correctly, it should work correctly.<br>

- If the network operator deals with that without the needed skills, expertise, attention+devotion, wrong things will come up.<br>

<br>

<br>

But, this still does not helps to find a solution do an organization A that sends some flowspec our RTBH to organization B(presuming organization B will accept that),  and organization B do some reports of what is match with that flowspec or RTBH.<br>

<br>

That, in my opinion, is the only way to stop guessing how long will an attack will last, and start to define the end of a flowspec/RTBH action based on real information related to that.<br>

I want to close the feedback loop.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">Em ter., 2 de fev. de 2021 às 13:07, Tom Beecher <beecher@beecher.cc> escreveu:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<p class="MsoNormal">Personally, I would absolutely, positively, never ever under any circumstances provide access to a 3rd party company to push a FlowSpec rule or trigger RTBH on my networks. No way.  You would be handing over a nuclear trigger and saying

 "Please break me at my earliest inconvenience." <o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Tue, Feb 2, 2021 at 5:56 AM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-size:12.0pt;font-family:"Courier New"">OK, but do you know any company the sells de Flowspec as a service, in the way that the Attack Identifications are not made by their equipment, just receiving

 de BGP-FlowSpec and applying that rules on that equipments... And even then give back to the customer some way to access those statistics?<br>

<br>

I just know one or two that do that, and(sadly) they do it on fancy web reports or PDFs.<br>

Without any chance of using that as structured data do feedback the anomaly detection tools to determine if already it is the time to remove that Flowsperc rule.<br>

<br>

What I'm looking for is something like:<br>

A) XML/JSON/CSV files streamed to my equipment from the Flowspec Upstream Equipments saying "Heepend that, that, and that." Almost in real time.<br>

B) NetFlow/IPFIX/SFlow streamed to my equipment from the Upstream Equipment, restricted to the DST-Address that matches to the IP blocks that were involved to the Flowspec or RTBH that I Annouced to then.<br>

C) Any other idea that does the job of gives me the visibility of what is happening with FlowSpec-rules, or RTBH on theyr network.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Courier New""><o:p> </o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">Em seg., 1 de fev. de 2021 às 22:07, Dobbins, Roland <<a href="mailto:Roland.Dobbins@netscout.com" target="_blank">Roland.Dobbins@netscout.com</a>> escreveu:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">On Feb 2, 2021, at 00:34, Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<o:p></o:p></p>

</blockquote>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Courier New"">Or even know if already there is a solution to that and I'm trying to invent the wheel.<o:p></o:p></span></p>

</div>

</div>

</div>

</blockquote>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">Many flow telemetry export implementations on routers/layer3 switches report both passed & dropped traffic on a continuous basis for DDoS detection/classification/traceback. <o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">It's also possible to combine the detection/classification/traceback & flowspec trigger functions. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">[Full disclosure: I work for a vendor of such systems.]<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p style="margin:0in;font-stretch:normal"><span style="font-size:17.5pt;color:#454545">--------------------------------------------</span><span style="font-size:13.0pt;color:#454545"><o:p></o:p></span></p>

<p style="margin:0in;font-stretch:normal"><span style="font-size:17.5pt;color:#454545">Roland Dobbins <<a href="mailto:roland.dobbins@netscout.com" target="_blank">roland.dobbins@netscout.com</a>></span><span style="font-size:13.0pt;color:#454545"><o:p></o:p></span></p>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><br clear="all">

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">-- <o:p></o:p></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">Douglas Fernando Fischer<br>

Engº de Controle e Automação</span> <o:p></o:p></p>

</div>

</blockquote>

</div>

</blockquote>

</div>

<p class="MsoNormal"><br clear="all">

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">-- <o:p></o:p></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">Douglas Fernando Fischer<br>

Engº de Controle e Automação</span> <o:p></o:p></p>

</div>

</div>

The contents of this e-mail message and <br>any attachments are intended solely for the <br>addressee(s) and may contain confidential <br>and/or legally privileged information. If you<br>are not the intended recipient of this message<br>or if this message has been addressed to you <br>in error, please immediately alert the sender<br>by reply e-mail and then delete this message <br>and any attachments. If you are not the <br>intended recipient, you are notified that <br>any use, dissemination, distribution, copying,<br>or storage of this message or any attachment <br>is strictly prohibited.</body>

</html>