<div dir="ltr"><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small">Hey Rich!<br>I'm in love with this RFC...<br><br>It is not an easy one, so I did not understand it completely yet.<br>But It is almost what I was thinking...<br><br></div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">Does anyone saw any docs about deploying it?<br>Any software that implements it?<br><br><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em ter., 2 de fev. de 2021 às 15:53, Compton, Rich A <<a href="mailto:Rich.Compton@charter.com">Rich.Compton@charter.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div lang="EN-US" style="overflow-wrap: break-word;">

<div class="gmail-m_7036071811221143920WordSection1">

<p class="MsoNormal"><span style="font-size:12pt">Hi, here is a Flowspec best practices document that I helped write that will hopefully help folks from shooting themselves in the foot

<a href="http://m3aawg.org/flowspec-BP" target="_blank">http://m3aawg.org/flowspec-BP</a>.  As you stated, route policies can be applied to restrict what type of flowspec rules can or can’t be accepted.  For example, only allow a rule from the Flowspec controller if it specifies

 a /32 destination IP and is tagged with a particular community, reject all else.

<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt">Douglas, I think what you are looking for is DOTS:

<a href="https://tools.ietf.org/html/rfc8811" target="_blank">https://tools.ietf.org/html/rfc8811</a>  DOTS has a data channel which allows the DOTS client and server to communicate telemetry about the attack.  The RFC is pretty new.  I don’t think that there are any companies

 that have implemented it yet.  Hopefully this protocol will be adopted by DDoS mitigation companies soon.

<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt">-Rich Compton<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p>

<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0in 0in">

<p class="MsoNormal"><b><span style="font-size:12pt;color:black">From: </span></b><span style="font-size:12pt;color:black">NANOG <nanog-bounces+rich.compton=<a href="mailto:charter.com@nanog.org" target="_blank">charter.com@nanog.org</a>> on behalf of Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>><br>

<b>Date: </b>Tuesday, February 2, 2021 at 10:10 AM<br>

<b>To: </b>Tom Beecher <beecher@beecher.cc><br>

<b>Cc: </b>NANOG list <<a href="mailto:nanog@nanog.org" target="_blank">nanog@nanog.org</a>><br>

<b>Subject: </b>[EXTERNAL] Re: RTBH and Flowspec Measurements - Stop guessing when the attack will over<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div style="border:1pt solid rgb(90,90,90);padding:2pt">

<p class="MsoNormal" style="line-height:12pt;background:rgb(35,92,112)">

<strong><span style="font-size:10pt;font-family:Calibri,sans-serif;color:white">CAUTION:</span></strong><span style="font-size:10pt;color:white"> The e-mail below is from an external source. Please exercise caution before opening attachments, clicking

 links, or following guidance. </span><u></u><u></u></p>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:12pt;font-family:"Courier New"">Well... That is a point of view!<br>

And I must respect that.<br>

<br>

Against this position, there are several companies, including some tier 1, that sells this as an $extra$.<br>

<br>

About the "Please break me at my earliest inconvenience." part:<br>

I believe that the same type of prefix filtering that applies to Downstream-BGP-Routes applies to RTBH and Flowspec.<br>

So, exactly as in common BGP Route-Filtering:<br>

- If the network operator does it correctly, it should work correctly.<br>

- If the network operator deals with that without the needed skills, expertise, attention+devotion, wrong things will come up.<br>

<br>

<br>

But, this still does not helps to find a solution do an organization A that sends some flowspec our RTBH to organization B(presuming organization B will accept that),  and organization B do some reports of what is match with that flowspec or RTBH.<br>

<br>

That, in my opinion, is the only way to stop guessing how long will an attack will last, and start to define the end of a flowspec/RTBH action based on real information related to that.<br>

I want to close the feedback loop.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:12pt;font-family:"Courier New""><u></u> <u></u></span></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">Em ter., 2 de fev. de 2021 às 13:07, Tom Beecher <beecher@beecher.cc> escreveu:<u></u><u></u></p>

</div>

<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">

<div>

<p class="MsoNormal">Personally, I would absolutely, positively, never ever under any circumstances provide access to a 3rd party company to push a FlowSpec rule or trigger RTBH on my networks. No way.  You would be handing over a nuclear trigger and saying

 "Please break me at my earliest inconvenience." <u></u><u></u></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">On Tue, Feb 2, 2021 at 5:56 AM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal" style="margin-bottom:12pt"><span style="font-size:12pt;font-family:"Courier New"">OK, but do you know any company the sells de Flowspec as a service, in the way that the Attack Identifications are not made by their equipment, just receiving

 de BGP-FlowSpec and applying that rules on that equipments... And even then give back to the customer some way to access those statistics?<br>

<br>

I just know one or two that do that, and(sadly) they do it on fancy web reports or PDFs.<br>

Without any chance of using that as structured data do feedback the anomaly detection tools to determine if already it is the time to remove that Flowsperc rule.<br>

<br>

What I'm looking for is something like:<br>

A) XML/JSON/CSV files streamed to my equipment from the Flowspec Upstream Equipments saying "Heepend that, that, and that." Almost in real time.<br>

B) NetFlow/IPFIX/SFlow streamed to my equipment from the Upstream Equipment, restricted to the DST-Address that matches to the IP blocks that were involved to the Flowspec or RTBH that I Annouced to then.<br>

C) Any other idea that does the job of gives me the visibility of what is happening with FlowSpec-rules, or RTBH on theyr network.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:12pt;font-family:"Courier New""><u></u> <u></u></span></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">Em seg., 1 de fev. de 2021 às 22:07, Dobbins, Roland <<a href="mailto:Roland.Dobbins@netscout.com" target="_blank">Roland.Dobbins@netscout.com</a>> escreveu:<u></u><u></u></p>

</div>

<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal"><br>

<br>

<u></u><u></u></p>

<blockquote style="margin-top:5pt;margin-bottom:5pt">

<p class="MsoNormal">On Feb 2, 2021, at 00:34, Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<u></u><u></u></p>

</blockquote>

</div>

<blockquote style="margin-top:5pt;margin-bottom:5pt">

<div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal"><span style="font-size:12pt;font-family:"Courier New"">Or even know if already there is a solution to that and I'm trying to invent the wheel.<u></u><u></u></span></p>

</div>

</div>

</div>

</blockquote>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">Many flow telemetry export implementations on routers/layer3 switches report both passed & dropped traffic on a continuous basis for DDoS detection/classification/traceback. <u></u><u></u></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">It's also possible to combine the detection/classification/traceback & flowspec trigger functions. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">[Full disclosure: I work for a vendor of such systems.]<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p style="margin:0in;font-stretch:normal"><span style="font-size:17.5pt;color:rgb(69,69,69)">--------------------------------------------</span><span style="font-size:13pt;color:rgb(69,69,69)"><u></u><u></u></span></p>

<p style="margin:0in;font-stretch:normal"><span style="font-size:17.5pt;color:rgb(69,69,69)">Roland Dobbins <<a href="mailto:roland.dobbins@netscout.com" target="_blank">roland.dobbins@netscout.com</a>></span><span style="font-size:13pt;color:rgb(69,69,69)"><u></u><u></u></span></p>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><br clear="all">

<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal">-- <u></u><u></u></p>

<div>

<p class="MsoNormal"><span style="font-size:10pt;font-family:"Courier New"">Douglas Fernando Fischer<br>

Engº de Controle e Automação</span> <u></u><u></u></p>

</div>

</blockquote>

</div>

</blockquote>

</div>

<p class="MsoNormal"><br clear="all">

<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal">-- <u></u><u></u></p>

<div>

<p class="MsoNormal"><span style="font-size:10pt;font-family:"Courier New"">Douglas Fernando Fischer<br>

Engº de Controle e Automação</span> <u></u><u></u></p>

</div>

</div>

The contents of this e-mail message and <br>any attachments are intended solely for the <br>addressee(s) and may contain confidential <br>and/or legally privileged information. If you<br>are not the intended recipient of this message<br>or if this message has been addressed to you <br>in error, please immediately alert the sender<br>by reply e-mail and then delete this message <br>and any attachments. If you are not the <br>intended recipient, you are notified that <br>any use, dissemination, distribution, copying,<br>or storage of this message or any attachment <br>is strictly prohibited.</div>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><font size="2"><span style="font-family:"courier new",monospace">Douglas Fernando Fischer</span><br style="font-family:"courier new",monospace"><span style="font-family:"courier new",monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%;font-family:"courier new",monospace"></div></div>