LAX.Pro & LAX.EB:
有一个长期以来需要大家悉知的事情。中国联通、中国移动低占用网络是 没有 完整的黑洞BGP社区传播路径的。但是中国电信 低占用网络是 有 完整的BGP黑洞社区传播路径的。
附件示例图展示了黑洞可以影响流量的范围
当攻击发送时,黑洞路由已经发送,流量会在如上所示的网络位置停止以避免拥堵。
中国电信CN2 洛杉矶网络总带宽仅约有100Gbps;
联通CUII,移动CMIN2也只有相当容量。
即便DMIT的网络/端口不受影响,无论攻击目标是否为DMIT还是当地其他客户
只要攻击总量超过了如下情况,您就会观测到丢包、延迟抖动等。
- 联通CUII,AS9929 美洲地区总带宽
- 联通AS10099 <> AS9929 转接带宽
- 联通 AS4837 <> AS9929 转接带宽
- 移动AS9808 <> AS58807 转接带宽
- 移动 AS58807 美洲地区总带宽
- 移动 AS58453 <> AS58807 转接带宽(部分地区无AS9808<>AS58807)
- 移动 AS9808 <> AS58453 地区带宽
中国电信 CN2 网络有完整的传播路径,黑洞路由会传播进AS4134 网络并在AS4134 阻止受害IP的所有流量
DMIT 已经在一年前开始向联通国际NOC、移动国际NOC、联通网络部、移动香港公司总部通报该问题。这两家运营商对此并不感兴趣,且无计划完善该功能。
1 黑洞不是DDoS清洗,仅仅只是停止所有前往目标IP的流量。
2 简单来说,若有任何DDoS攻击大于联通/移动低占用网络的容量,前往美洲地区任何客户,美洲地区所有的联通/移动 IDC 丢包。 (分SJC/SEA/LAX)
*3 DMIT 目前未观测到有DDoS在网内发生
LAX.Pro:
由于 CMIN2 未能改善骨干网的丢包情况,DMIT >暂时< 将中国移动为 LAX.Pro 提供的入站流量转到互联网。延迟增加,但丢包率下降。回程保持不变。
IPv6 保持不变。
LAX.EB 继续使用 CMIN2 进行入站,直到丢包率超过可接受的时间。
LAX.Pro 的参考链接
延迟:https://ping.nxtrace.org/goto/iRgzvmmDR?orgId=1
丢包:https://ping.nxtrace.org/goto/zKaiDimDR?orgId=1
LAX.Pro.IPv6 的参考链接
延迟:https://ping.nxtrace.org/goto/c4lWDimvg?orgId=1
丢包:https://ping.nxtrace.org/goto/Iw3GDmmDR?orgId=1
*用户可根据IPv6丢包情况参考目前CMIN2网络状态
非特殊说明,本博所有文章均为博主原创。
如若转载,请注明出处:https://www.dmithost.net/index.php/2025/11/14/operationlogs-2025-11-14/
