Blackholing wird zur Bekämpfung massiver DDoS-Angriffe eingesetzt, die die physische Verbindung zwischen DE-CIX und einem Kundenrouter überlasten. Eine ausführliche Beschreibung, wie Blackholing beim DE-CIX funktioniert, finden Sie hier.
Neben der Signalisierung eines Blackholes via Direct Peering, können Sie Blackholes an allen Exchangen (außer bestimmten Partnerstandorten) auch über die Routeserver signalisieren.
Blackholing über Direct Peering
Wenn Sie ein Blackhole in einer Direct Peering-Sitzung signalisieren wollen, müssen Sie den entsprechenden Next-Hop manuell einstellen (siehe Tabelle unten).
Bitten Sie dazu auch Ihre Peers bis zu /32 für IPv4 und /128 für IPv6 von Ihnen zu akzeptieren, damit der Service auch gemäß funktioniert.
Blackholing über die Routeserver
Wenn Sie ein bestimmtes IP-Präfix mithilfe des Routeservers signalisieren wollen, gibt es zwei Möglichkeiten:
- Die BGP-Ankündigung mit dem IP-Präfix, das mit einem Blackhole versehen werden soll, wird mit der BGP-Community BLACKHOLE (65535:666) gekennzeichnet. Es wird empfohlen, die BGP-Community BLACKHOLE zu verwenden, um ein Blackhole zu signalisieren, da dies die Handhabung erheblich vereinfacht.
oder - Die BGP-Ankündigung mit dem IP-Präfix, das signalisiert werden soll, enthält eine vordefinierte Blackhole IP-Adresse als Next-Hop. In der nachstehenden Tabelle sind die IPv4 und IPv6 Blackhole IP-Adressen für die verschiedenen IXPs des DE-CIX aufgeführt.
| Internet Exchange | Blackhole next-hop IPv4 adresse | Blackhole next-hop IPv6 adresse | BGP BLACKHOLE community |
|---|---|---|---|
| Frankfurt | 80.81.193.66 | 2001:7f8::1a27:66:95 | 65535:666 |
| ASEAN | 103.162.254.66 | 2001:df6:480::94f9:b:dead | |
| Athen (SEECIX) | 185.1.172.66 | 2001:7f8:f5::de1a:b:dead | |
| Barcelona | 185.1.119.66 | 2001:7f8:10a::e1ca:b:dead | |
| Chicago | 149.112.11.66 | 2001:504:102::f528:b:dead | |
| Dallas | 206.53.202.66 | 2001:504:61::f423:42:1 | |
| Dubai (UAE-IX) | 185.1.8.66 | 2001:7f8:73::efbe:42:1 | |
| Düsseldorf | 185.1.170.66 | 2001:7f8:9e::de3a:42:1 | |
| Esbjerg | 185.0.17.66 | 2001:7f8:143::3:e21:b:dead | |
| Hamburg | 185.1.210.66 | 2001:7f8:3d::a8f4:42:1 | |
| Helsinki | 185.0.5.66 | 2001:7f8:13a::3:1358:b:dead | |
| Istanbul | 185.1.48.66 | 2001:7f8:3f::50eb:42:1 | |
| Johor Bahru | 103.119.235.66 | 2403:4ac0:2::953e:b:dead | |
Kinshasa (ACIX) | 196.60.92.66 | 2001:43ff:6000::93a7:b:dead | |
| Kopenhagen | 185.0.4.66 | 2001:7f8:139::3:1359:b:dead | |
| Kristiansand | 185.0.6.66 | 2001:7f8:13b::3:1341:b:dead | |
| Kuala Lumpur | 103.119.234.66 | 2403:4ac0:1::9532:b:dead | |
| Lagos (AF-CIX) | 196.49.90.66 | 2001:43f8:1690::93a1:b:dead | |
| Leipzig | 185.1.245.66 | 2001:7f8:df:0:3:1f77:b:dead | |
| Lissabon | 185.1.131.66 | 2001:7f8:d5::aad1:42:1 | |
| Madrid | 185.1.192.66 | 2001:7f8:a0::be99:42:1 | |
| Malaysia | 103.119.232.66 | 2403:4ac0::951f:b:dead | |
| Marseille | 185.1.47.66 | 2001:7f8:36::50ed:42:1 | |
| München | 185.1.208.66 | 2001:7f8:44::b87c:42:1 | |
| New York | 206.82.104.66 | 2001:504:36::f63a:63:34 | |
| Nordics | 185.0.8.66 | 2001:7f8:13e::3:12c2:b:dead | |
| Oslo | 185.0.7.66 | 2001:7f8:13c::3:1336:b:dead | |
| Palermo | 185.1.46.66 | 2001:7f8:32::61fb:42:1 | |
| Phoenix | 149.112.27.66 | 2001:504:116::6:1bca:b:dead | |
| Richmond | 206.53.137.66 | 2001:504:44::6:218:b:dead | |
| Ruhrgebiet (Ruhr-CIX) | 185.1.197.66 | 2001:7f8:106::e223:b:dead | |
| Singapore | 103.159.71.66 | 2001:df5:7880::2614:b:dead |
Bitte setzen Sie die NO_EXPORT oder NO_ADVERTISE Community nicht auf die als Blackhole markierten BGP-Ankündigungen, da dies die Routeserver anweist, diese Ankündigung nicht weiterzuleiten. Die Routeservern fügen NO_EXPORT automatisch hinzu.
Konfigurationsbeispiele für den Aufbau einer BGP-Sitzung mit den Routeservern finden Sie in den Routeserver Guides.
